Article by: Virginia Badenhope
(本記事は法律の専門家が法律の専門家のために書いたものですが、法務担当者がいないまま Seer の利用を検討している方にとっても、安心材料になるはずです)
自社の法務部門が私たちと同じような状況にあるのであれば、事業側から「もっと多くの AI ツールを使いたい」というリクエストが次々と押し寄せてきているのではないでしょうか。開発チームは Cursor のようなコーディングエージェントを使いたがり、セキュリティチームは AI を活用した調査を導入し、セールスやマーケティングは通話内容のインサイトや競合調査に AI を活用しようとしています。私たちは各チームが試し、購入しようとしているツールに大きな変化が起きていることを目の当たりにしてきました。
サービスの主な機能自体は AI を前提としていない場合でも、いまやほとんどすべてのサービスが何らかの AI 機能を備えています。
ビジネス側も AI の利用には一定のリスクが伴うことは理解していますが、それでも「使わなければ取り残されてしまう」という強いプレッシャーを感じています。あなた自身も同じプレッシャーを感じつつ、自社のデータや知的財産はもちろん、顧客から預かっているデータや知的財産を守るという使命も負っています。
Sentry が Issue Scan や Issue Fix を含む自社の AI/ML 機能を支えるために開発してきた AI エージェントである Seer について法務レビューを依頼されているのであれば、本記事の目的は、Sentry の法務チームである私たちがサードパーティ製の AI ツールを評価する際に用いている基準を、Seer も同じように満たしていることを示すことにあります。
もし Seer の評価を依頼されたとしたら、私たちは承認します。理由は次のとおりです。
では、法務は実際のところ何を気にしているのか?
私たちおよび顧客データと知的財産を保護しつつ、ビジネスの変化するニーズを引き続き支えていくために、Sentry では AI ツールの利用について次の要件に合意しています。
- データ利用範囲の限定
サプライヤーが契約上、データを当社へのサービス提供のためにのみ使用することを約束する、という意味です(当社の明示的な同意がない限り、データは第三者と共有されたり、モデルの学習に使用されたりしないということです)。 - プロダクト内データコントロール
当社のデータを用いてモデルを学習させるツールには、学習を有効化するためのオプトインや学習を無効化するためのオプトアウトなど、ユーザーレベルにとどまらないスケーラブルな管理者向けコントロールが備わっているべきです。 - 顧客へのコミットメントとの整合性
顧客データに触れるものはすべて、当社が顧客に対して行っているコミットメントと整合していなければなりません。これには当社自身のものと一致するデータ削除/保持ポリシー、米国または EU のデータリージョンを選択できるデータ保存場所、および適切なサブプロセッサーとのデータ処理契約およびビジネス・アソシエイト契約が含まれます。 - 監査済みのセキュリティ管理
サプライヤーはSOC 2 Type 2 や ISO 27001 などの監査済みセキュリティ管理を備えていなければなりません。 - 透明性
サプライヤーは自社が当社のデータをどのように取り扱っているかについて明確にしている必要があります。
Seer は当社自身の評価基準に照らしてどのように位置づけられるのか
私たち自身、サプライヤーの AI 機能に関する情報を見つけるのに苦労することが多いため、当社が有効にしている具体的なコントロールの詳細については、以下にリンクを掲載しています。
原則 | コントロール | サプライヤーの評価 |
|---|---|---|
データ利用範囲の限定 | – [✔️] サプライヤーが顧客データを利用する権利は当社にサービスを提供することのみに限定されている – [✔️] 当社の同意なしに当社のデータをモデル学習や製品改善に利用することを明示的に禁止している – [✔️] 当社の同意なしに当社のデータに基づく出力を第三者と共有することを明示的に禁止している | – データ利用の権利は、Sentry の利用規約で定められている – サービスデータ利用ポリシーに基づき、顧客の許可なくサービスデータを生成 AI モデルの学習に利用したり、生成 AI 機能の出力を第三者と共有したりすることはない – サービスデータ利用ポリシーには、Sentry が製品改善のためにサービスデータをいつ、どのように利用できるかが記載されている |
プロダクト内データコントロール | – [✔️] モデル学習を無効化するための管理者向けコントロールが含まれている – [✔️] AI 機能を無効化するための管理者向けコントロールが含まれている – [✔️] 顧客データをモデル学習に利用するためのオプトイン用コントロールが含まれている – [✔️] AI 機能はデフォルトで有効になっておらず、追加の有効化/オプトインが必要である | – サービスデータ利用ポリシーに、顧客がサービスデータの利用方法をコントロールするために設定をどう変更できるかが説明されている – Sentry には組織全体レベルで全ての生成 AI 機能を無効化できる管理者向けオプトアウトが用意されている – Seer の機能では、サービスデータが機能によって処理される前にユーザー側で明示的な有効化アクションが必要になる |
顧客へのコミットメントとの整合性 | – [✔️] サプライヤーのデータ削除/保持ポリシーが当社のポリシーと整合している – [✔️] サプライヤーのデータ所在(データをどこに保存するか)に関するコミットメントが当社のものと整合している – [✔️] サプライヤーがデータ処理契約(DPA)を締結している – [✔️] サプライヤーがサブプロセッサーとの BAA(ビジネス・アソシエイト契約)を締結している – [ ] サプライヤーが、生成 AI 機能の出力に基づく第三者の知的財産権侵害クレームについて補償する | – データは顧客が選択したデータ保存リージョン(米国または EU)の Sentry インフラストラクチャ内に保存される – データには当社の標準的なデータ保持ポリシーが適用される – Sentry は GDPR に準拠している – Sentry は Seer で利用されるモデルをホストしている機械学習インフラプロバイダと、サブプロセッサーとしての DPA および BAA を締結している |
監査済みのセキュリティ管理 | – [✔️] SOC 2 Type 2 – [✔️] ISO 27001 – [✔️] 年次のペネトレーションテスト – [ ] FedRAMP – [✔️] HIPAA セキュリティ規則 | – Sentry は SOC 2 Type 2 および ISO 27001 の認証を取得している – Sentry は毎年ペネトレーションテストを実施しており、その結果を顧客アカウント経由で提供している |
透明性 | – [✔️] サプライヤーが当社のデータが AI 機能とともにどのように利用されるかを公開文書で明示している | – Sentry はオープンな形で開発を行っているため、顧客は常にサービスデータの利用に関する当社の説明と実際のコードの内容が一致しているかを検証できる – Sentry はサービスデータの利用方法に関するドキュメントを公開している |
知的財産権侵害に対する補償はどうなるのか
私たちが AI が生成したコードに関する知的財産権侵害の補償条項(当社はそのような補償を提供していません)がなくても Seer を承認すると述べていることにお気づきかもしれません。
これは、Seer が生成するコードによって知的財産権侵害が生じるリスクは低いと考えているためです。
以下では、その理由を知的財産の 4 つの主要なカテゴリー(特許、著作権、商標、営業秘密)ごとに説明します。
特許
Seer はすでにあなたが書いたコードに対する修正だけを提供します。Seer が生成する修正が、Seer に送信された元のコードから大きくかけ離れ、それによって新たに重大な侵害リスクが生じる可能性は非常に低いと考えています。あなたのコードは Seer に修正のために送る前の時点で、すでに侵害しているか侵害していないかのどちらかである可能性が高く、その状況が Seer によって生成されたコードだけを理由に変わることはまずないでしょう。
著作権
Seer が生成する(あるいは生成し得る)コードは、本質的に機能的な性質を持つ修正コードです。著作権は機能ではなく表現を保護するものなので、Seer によって著作権保護の対象となるコードが生成されるリスクは低いと考えています。これは、あなたのアイデアに基づいてコード全体を書くよう AI に依頼する他のコード生成ツールとは異なります。Seer では、あくまであなたがすでに書いたコードを修正しているだけです。
営業秘密
Seer が生成するコードは、いずれもサードパーティのモデルから出力されるものです。そのモデルの学習に使われ、Seer によって表に出てきたコードは、定義上もはや秘密ではないため、営業秘密としての保護は受けません。
商標
一般的にソフトウェアコードにはブランド面での意味合いがないため、商標については該当しません。
結論
もちろん、各社の法務部門は自社の具体的な状況に基づいて独自に評価を行う必要があります。とはいえ、私たちは自分たちのチェックリストは健全で妥当なものであり、多くの同業他社にも賛同してもらえる内容だと考えています。
このチェックリストがAI ツール利用申請を処理する際に役立ち、そして Sentry の Seer が、あなたの承認リストの最上位に入ることを願っています。
Original Page: How Sentry’s Seer AI Agent passes legal review: a guide for legal teams reviewing Seer
IchizokuはSentryと提携し、日本でSentry製品の導入支援、テクニカルサポート、ベストプラクティスの共有を行なっています。Ichizokuが提供するSentryの日本語サイトについてはこちらをご覧ください。またご導入についての相談はこちらのフォームからお気軽にお問い合わせください。
