Drata(ドラータ)は、顧客からのフィードバック、進化する法的基準、および製品開発を反映させた年次更新の一環として、顧客向け利用規約とポリシーを改訂した。
利用規約内の購読契約に、いくつかの具体的な変更が加えられた。今回の更新では、AIデータの取り扱いについて明確化され、推論プロバイダーはAI処理済みの顧客データを保持しない一方、Drataは品質監視のため、AIの入力と出力を最大90日間内部的にログ記録すると明記された。また、アカウント管理者はアカウントレベルで全てのAI機能を無効化できるようになったと報告されている。
顧客が契約上の権利、利益、保護を関連会社および顧客に代わって業務を行う請負業者にまで拡大できるようにする新たな条項が追加された。ただし、コンプライアンスに関する責任は引き続き主要顧客が負います。また、関連会社は独自の注文書を通じてサービスを直接購入できることも明記された。
AI機能に関する専用セクションが導入された。オプトイン方式による可用性、データの一時的な処理(推論プロバイダーによる応答生成後のデータ保持なし)、顧客データを用いたAIまたは機械学習モデルのトレーニングの明確な禁止、およびAIの出力は法的またはコンプライアンス上の助言を構成するものではないという免責事項について説明されている。
財務および請求に関する条件が見直された。契約書にはプリペイド限度額が定義され、その限度額を超えた消費は超過料金となり、追加注文書が発行されて、最初の注文書に設定された料金でプリペイド残高が補充されることが明記されている。新たに2つのサブセクションが追加され、源泉徴収義務について規定されている。法律で源泉徴収が義務付けられている顧客が90日以内に納税領収書を提出する手順と、支払い後1年以内に誤って源泉徴収された税金の払い戻し義務について説明している。また、顧客が指定したベンダーまたはコンプライアンスポータルが請求する料金(購読料や請求額の割合に応じた料金など)を請求できるようにするための条項が別途追加された。
セキュリティーインシデント対応の期限がより厳格化され、合意書ではセキュリティーインシデントの報告期限を48時間以内(法律で定められている場合はそれより短い期間)と規定した。また、今回の改訂では、相手方の名称を公表する公的な通知やプレスリリースを発行する前に、両当事者が互いに通知することを義務付けている。
データ処理に関する追加条項では、付属文書4の第6項が1カ所修正され、パスワードの文字数が14文字に制限されるようになった。データ処理に関するDPAは、Drataのウェブサイトで閲覧および締結できるとされている。
また、プライバシー通知にいくつかの変更が加えられた。プライバシーリクエストとマーケティング配信停止は、メールではなく、preferences.drata.comにある集中型プライバシーセンターで処理されるようになった。CCPA(消費者プライバシー法)に基づく配信停止への対応期間は、15営業日から30暦日に変更された。データソースの一覧から「雇用主/同僚/友人」および「公開情報源」が削除され、簡素化された。また、Drata製品内に保存されている顧客データには適用されないことが明記されるよう、通知内容が明確化された。
出典:Drata
この製品の詳細については、Drata製品ページをご覧ください。
