Drata(ドラータ)は、2026年5月20日付けでプラットフォームに2つの新しいサブプロセッサーを追加すると発表した。この変更は、透明性と信頼性に対するより広範な取り組みの一環として、全ての顧客に通知される。通知では、対象となるベンダーがGDPRで定義されている個人データを処理する可能性があるため、組織がGDPRの対象となるかどうかにかかわらず、これらの追加が適用されることが明確にされた。両ベンダーの処理場所は米国、EU、オーストラリアと特定されており、新しい統合はオプトイン方式であることが強調されている。つまり、顧客がAI搭載機能を有効にすると、いずれのベンダーも顧客コンテンツを処理するようになる。この発表ではまた、サブプロセッサーは確立された第三者リスク管理プロセスに従って評価され、データ処理を開始する前に契約上の保護が必要であることも強調された。
まず、turbopufferは、DrataのAI対応機能全体で意味検索と全文検索を可能にするために、ドキュメント埋め込みとコンテンツのインデックス作成、保存、および取得を可能にするベクトル検索とストレージのインフラストラクチャーを提供する。処理されるデータの種類には、顧客コンテンツから生成されたドキュメントチャンクテキストと関連するベクトル埋め込み、およびドキュメント識別子、ラベル、チャンク参照などのメタデータが含まれると説明された。turbopufferは、Drataのクラウド環境内のインフラストラクチャー上でこの情報を処理し、そこに保存される全てのデータは保存時に暗号化されることが指摘された。これらの機能はオプトイン方式であることが改めて強調され、AI対応ツール内での意味検索と全文検索の強化に重点を置いた機能が、統合の主な目的として明記された。
Browserbaseは、顧客に代わってウェブベースシステムのナビゲーションと自動証拠収集を実行するAIエージェントをサポートするクラウドブラウザーインフラストラクチャーを提供する。これらのブラウザーセッション中に処理されるデータ要素には、スクリーンショット、抽出されたウェブコンテンツ、および接続された顧客システムのナビゲーション中に遭遇するその他の情報が含まれると説明された。通知では、サブプロセッサーによって処理される全ての情報は、サブ処理契約の条件に基づいて機密情報として扱われ、データのアクセス、使用、および保持を管理するための契約およびセキュリティー対策が講じられていることが示された。
turbopufferとBrowserbaseの選択と監視は、Drataのサードパーティーリスク管理手順に従って行われた。これらのベンダーの追加は顧客によるAI搭載機能の有効化を条件となっている。
この製品の詳細については、Drata製品ページをご覧ください。
