新着

EDDI v6 デベロッパープレビューが利用可能になりました! 始める

始める

グローバルプライバシーと規制コンプライアンス

EDDIは、GDPR、CCPA、EU AI Act、HIPAA、PIPEDA、LGPD、APPI、POPIA、PDPAマレーシアPDPA、PIPLなどに対する組み込みコンプライアンスを提供します。カスケードデータ削除、暗号化監査追跡、統一APIを備えています。

始める → GitHubで見る ↗
グローバルプライバシーと規制コンプライアンス

アーキテクチャによるコンプライアンス

規制対象業界は、AI システムに事後的にコンプライアンスを追加することはできません。EDDIは、グローバルな規制コンプライアンスのための技術基盤をプラットフォームアーキテクチャに直接組み込んでいます。不変の監査追跡、カスケードデータ削除、処理制限、暗号化整合性、ロールベースのアクセス制御はコア機能であり、アドオンではありません。統一APIがすべての管轄区域のデータ主体の権利をカバーします。

AIガバナンスフレームワーク

世界中の政府がAI固有の法律を導入する中、組織は初日から透明性、トレーサビリティ、人間による監視を提供するプラットフォームを必要としています。EDDIのアーキテクチャは、主要なAIガバナンスフレームワークの中核的な技術要件に対応しています。

EU AI Act — 欧州連合

EU AI Act(規則2024/1689)は世界初の包括的AI法であり、AIシステムにリスクベースの要件を確立しています。EDDIは高リスクAIシステム要件へのコンプライアンスのための技術基盤を提供します:

  • 不変の監査追跡 — すべての操作がHMAC-SHA256暗号化整合性で記録されます(第12条 — 記録保持)
  • 意思決定の透明性 — 完全なパイプライントレースがAI決定の方法を示します(第13条 — 透明性)
  • 人間による監視 — 管理UIが人間によるレビュー、介入、緊急停止を可能にします(第14条 — 人間による監視)
  • リスク分類 — アーキテクチャが構成可能な制御で高リスクAIシステム要件をサポート(第9条 — リスク管理)
  • 再現性 — Configuration-as-codeが規制監査のためのAI動作の正確な再現を可能にします(第17条 — 品質管理)
  • データガバナンス — OIDC/Keycloak RBAC、Vaultベースの秘密管理、入出力ログ(第10条 — データガバナンス)

NIST AIリスク管理フレームワーク — 米国

NIST AI RMF(AI 100-1)は、4つの機能を通じてAIリスクを管理する自主的なフレームワークを提供します。EDDIのアーキテクチャはNIST AI RMF整合を追求する組織を支援する技術的能力を提供します:

  • Govern — RBACロール(eddi-admin、eddi-editor、eddi-viewer)、不変の監査台帳、文書化されたデータフロー
  • Map — パイプライントレースと会話ログが包括的なAIリスク特定と文書化を可能に
  • Measure — Prometheusメトリクス、トークン/コスト追跡、エージェントごとの使用分析
  • Manage — 処理制限API、管理UIによる人間の監視、構成可能な保持ポリシー

ISO/IEC 42 001 — AI管理システム

ISO/IEC 42 001:2023はAI管理システム(AIMS)の要件を確立しています。EDDIはISO 42 001認証を追求する組織を支援する技術的能力を提供します:

  • 文書化されたAIポリシー — Configuration-as-codeにより、すべてのエージェント動作が監査可能なJSONで定義されます
  • リスク評価 — 監査追跡がリスク評価と影響分析のための完全な意思決定履歴を記録
  • 運用制御 — RBAC、Vaultベースの秘密管理、処理制限が運用ガバナンスを提供
  • パフォーマンス監視 — Prometheusメトリクス、Grafanaダッシュボード、CQRSテレメトリが継続的なAIパフォーマンス評価を可能に

データプライバシー規制

EDDIは、世界のすべての主要なプライバシー規制の技術要件を満たす統一されたデータ主体の権利エンドポイントを提供します。1つのAPIがカスケード削除、完全なデータエクスポート、処理制限をカバーします。

GDPR — EU / EEA

一般データ保護規則(EU 2016/679)はデータプライバシーのゴールドスタンダードです。EDDIはGDPRデータ主体の権利を、5つのデータストアにわたるカスケード操作に支えられたファーストクラスのAPIエンドポイントとして実装します:

  • 消去権(第17条)DELETE /admin/gdpr/{userId}がユーザーメモリ、会話、管理された会話マッピング、データベースログ(SHA-256仮名化)、監査台帳(SHA-256仮名化)にわたってカスケード
  • アクセス権/ポータビリティ(第15/20条)GET /admin/gdpr/{userId}/exportがすべてのユーザーデータを構造化された機械可読JSONとして返します
  • 制限権(第18条)POST /admin/gdpr/{userId}/restrictがデータを保持しながら処理を凍結し、新しい会話とメッセージ処理をブロック
  • PII安全ログ — GDPR操作はSHA-256仮名を記録し、生のユーザーIDは決して記録しません
  • 構成可能な保持 — カテゴリごとの保持ポリシー:会話(デフォルト365日)、ユーザーメモリ(手動)、監査エントリ(EU AI Act用に無期限)
  • MCPツールdelete_user_dataexport_user_dataがAIオーケストレーションのコンプライアンスワークフローを可能に

CCPA / CPRA — 米国カリフォルニア州

カリフォルニア消費者プライバシー法とカリフォルニアプライバシー権法は消費者に知る権利、削除する権利、データ販売からのオプトアウト権を付与します。EDDIはGDPR互換APIを通じてCCPAの技術要件を満たします:

  • 知る権利(§1798.100) — GDPRエクスポートエンドポイントが構造化された機械可読形式ですべての個人情報を提供
  • 削除する権利(§1798.105) — GDPR消去エンドポイントがすべてのデータストアにわたるカスケード削除を提供
  • 販売禁止(§1798.120) — EDDIはアーキテクチャ上個人情報を販売できません — デプロイヤーに代わってのみデータを処理するミドルウェアインフラストラクチャです

PIPEDA — カナダ

カナダの個人情報保護および電子文書法(2000年、2023年改正)は10の公正情報原則を通じて商業データ処理を規制します:

  • 説明責任 — 不変のHMAC署名監査台帳がすべての操作を追跡
  • 収集制限 — トークン対応のウィンドウイングがLLMに送信されるデータを制限;構成可能な保持が古い会話を自動削除
  • 使用/開示制限 — データは構成されたエージェントインタラクションにのみ使用;監査追跡がすべてのLLM呼び出しを記録
  • セーフガード — AES-256-GCMエンベロープ暗号化(Secrets Vault)、HMAC-SHA256監査整合性、Keycloak OIDC、RBAC
  • 個人アクセス — REST APIによる完全なデータエクスポートがすべてのメモリ、会話、マッピングをJSONとして返します
  • コンプライアンスへの異議 — 5つのデータストアにわたるカスケード削除;監査追跡は法的保持義務のため仮名化(削除ではなく)

LGPD — ブラジル

ブラジルの一般データ保護法(2018年、2020年施行)はGDPRに近い広範なデータ主体の権利を付与します。EDDIは第18条のすべての権利を内蔵の技術的能力でカバーします:

  • データアクセス(第18条II) — 完全なJSONデータエクスポート
  • 修正(第18条III) — ユーザーメモリはPUT /usermemorystore/memoriesで更新可能
  • 匿名化/削除(第18条IV) — 監査記録のSHA-256仮名化を伴うカスケード削除
  • データポータビリティ(第18条V) — 機械可読JSONエクスポートにすべてのユーザーデータを含む
  • 不要なデータの削除(第18条VI) — 自動クリーンアップ付きの構成可能な保持ポリシー
  • 同意の撤回(第18条IX) — 会話終了とカスケード削除エンドポイントが技術的メカニズムを提供

APPI — 日本

日本の個人情報保護法(2003年、2022年大幅改正)はアジアで最も成熟したデータ保護法の1つです。日本はEUの十分性認定を保持しています。EDDIは以下を提供します:

  • 安全管理措置(第23条) — AES-256-GCM Vault暗号化、HMAC-SHA256監査整合性、Keycloak OIDC、RBAC、SSRF保護
  • 本人への開示(第33条) — REST APIによる完全なデータエクスポート
  • 訂正および削除(第34-35条) — 訂正のためのメモリ更新;消去のためのカスケード削除
  • 仮名加工情報(2022年改正) — GDPR消去はSHA-256仮名化を使用し、APPIの仮名加工情報カテゴリを満たす
  • 越境移転の記録(第28条) — LLMプロバイダーのデータフローが文書化;監査追跡がどのモデル/プロバイダーが各ターンを処理したかを記録

POPIA — 南アフリカ

南アフリカの個人情報保護法(2013年、2021年施行)はEU基準に合致した8つのデータ処理条件を確立します。EDDIは各条件に対して内蔵の技術的能力を提供します:

  • 説明責任(条件1) — HMAC署名監査台帳、文書化されたデータフロー、Apache 2.0オープンソースコード
  • 処理制限(条件2) — トークン対応のウィンドウイング、構成可能な保持、アイドル会話の自動終了
  • 情報品質(条件5) — タイムスタンプ付きバージョン管理された会話状態;REST APIで更新可能なユーザーメモリ
  • セキュリティセーフガード(条件7) — AES-256-GCM暗号化、HMAC整合性、Keycloak OIDC、RBAC、SSRF保護
  • データ主体の参加(条件8) — 完全なデータエクスポートとカスケード削除エンドポイント

PDPA — シンガポール&タイ

シンガポール(2012年、2021年改正)およびタイ(2019年、2022年施行)の個人データ保護法は東南アジアで最も成熟したプライバシーフレームワークです。EDDIは両管轄区域の技術的義務をカバーします:

  • アクセス義務 — REST APIとMCPツールによる完全なデータエクスポート
  • 修正義務 — REST APIで更新可能なユーザーメモリ
  • 保護義務 — AES-256-GCM暗号化、HMAC監査整合性、Keycloak OIDC、RBAC
  • 保持制限 — アイドル会話タイムアウト付きの構成可能な自動クリーンアップ
  • データ侵害通知 — EDDIドキュメントにインシデント対応ランブックテンプレートを含む

PDPA — マレーシア

マレーシアの2010年個人データ保護法(法令709、2024年改正)は、7つのデータ保護原則を通じて商業的な個人データ処理を規定しています。EDDIは導入者のコンプライアンスを支援する技術的コントロールを提供します:

  • 一般原則(第6条) — 構成可能な保持ポリシーと処理制限エンドポイントが目的限定・同意ベースの処理をサポート
  • セキュリティ原則(第9条) — AES-256-GCMボールト暗号化、HMAC-SHA256監査整合性、Keycloak OIDC、RBAC、SSRF防御
  • 保持原則(第10条) — カテゴリ別の構成可能な保持と自動クリーンアップ;アイドル会話の自動終了
  • データ整合性原則(第11条) — タイムスタンプ付きバージョン管理された会話状態;ユーザーメモリはREST APIで更新可能
  • アクセス原則(第12条)GET /admin/gdpr/{userId}/exportによる完全データエクスポートがすべてのユーザーデータを構造化JSONとして返却
  • 越境移転(第129条) — セルフホスト型アーキテクチャにより導入者がデータ所在地を制御可能;監査追跡がすべてのLLMプロバイダーデータフローを記録

PIPL — 中国

中国の個人情報保護法(2021年)は世界で最も包括的なデータ保護法の一つであり、中国国内の個人の個人情報処理を規定しています。EDDIはPIPL準拠の導入に必要な技術インフラを提供します:

  • 合法的処理(第13条) — 構成駆動型のエージェント動作が処理を定義された目的の範囲内に維持;処理制限APIがオンデマンドで活動を凍結
  • 個人の権利(第44-49条) — 完全データエクスポート、カスケード削除、処理制限エンドポイントが知る権利、コピー権、訂正権、削除権、制限権をカバー
  • データセキュリティ(第51条) — AES-256-GCMボールト暗号化、HMAC-SHA256監査整合性、Keycloak OIDC、RBAC、ゼロeval()
  • 越境移転(第38-39条) — セルフホスト型アーキテクチャにより中国国内でのオンプレミス導入が可能;監査追跡がセキュリティ評価用にすべての外部データフローを記録
  • 自動化された意思決定(第24条) — 完全なパイプライントレーシングを備えた不変の監査追跡がAI意思決定の透明性を提供;管理UIによる人間の監視
  • データ保持(第19条) — 自動クリーンアップ付きの構成可能な保持ポリシーが最小限必要な保存期間を強制

追加の管轄区域

UK GDPR(英国)— EU GDPRを実質的に反映。EDDIのGDPRエンドポイントはすべてのUK GDPRデータ主体の権利を満たします。ICO監督。PIPA(韓国)— 厳格な同意要件、義務的DPO、72時間侵害通知。EDDIは技術的な監査と消去インフラストラクチャを提供。DPDPA(インド、2023年)— 同意ベースのフレームワーク、越境制限あり。EDDIのエクスポートと消去エンドポイントがDPDPA要件を満たします。Privacy Act + APPs(オーストラリア)— 13のオーストラリアプライバシー原則。EDDIの監査追跡とデータエクスポートが技術的義務をカバー。CCPA型州法(バージニアVCDPA、コロラドCPA、コネチカットCTDPAなど)— GDPR/CCPA互換APIがすべての新興米国州プライバシー法を満たします。

業界固有のコンプライアンス

HIPAA — 米国ヘルスケア

HIPAAは保護対象医療情報(PHI)の安全措置を確立します。EDDIはHIPAA準拠のAIデプロイメントのための技術インフラストラクチャを提供します:

  • アクセス制御(§164.312(a)) — ロールベースアクセスのKeycloak OIDC(eddi-admin、eddi-editor、eddi-viewer)
  • 監査制御(§164.312(b)) — HMAC署名の不変監査台帳がタイムスタンプ、ユーザーID、結果とともにすべての操作を記録
  • 整合性制御(§164.312(c)) — すべての監査エントリに対するHMAC-SHA256改ざん検出
  • 転送セキュリティ(§164.312(e)) — 転送にはTLS;Secrets Vault経由で静止時にAES-256-GCM
  • データ廃棄(§164.310(d)(2)(i)) — GDPRカスケード削除エンドポイントがすべてのデータストアからPHIを永久に削除
  • BAAテンプレート — ヘルスケアデプロイメント用のBusiness Associate AgreementテンプレートをEDDIドキュメントに含む

SOC 2準備

SOC 2 Type IIはTrust Services Criteriaに対してシステムを評価します。EDDIのアーキテクチャはSOC 2認証を追求する組織を支援する技術的制御を提供します:

  • セキュリティ — OIDC/Keycloak認証、RBAC、Secrets Vault(AES-256-GCM)、ゼロeval()、パストラバーサル保護、URL検証
  • 可用性 — NATS JetStreamによる水平スケーリング、デュアルデータベースサポート(MongoDB/PostgreSQL)、Kubernetesネイティブデプロイメント
  • 処理整合性 — 操作ごとの暗号化整合性検証を備えた不変のHMAC署名監査台帳
  • 機密性 — シークレット編集フィルターが監査エントリからAPIキーとVault参照を除去;SHA-256仮名によるPII安全ログ
  • プライバシー — 完全なデータ主体の権利API(消去、エクスポート、制限)、構成可能な保持、処理制限制御

グローバルコンプライアンスのための1つのAPI

上記のすべてのプライバシー規制は同じ統一REST APIとMCPツールで対応されます。ドイツでのGDPR消去リクエスト、カリフォルニアでのCCPA削除リクエスト、シンガポールでのPDPAアクセスリクエストに対応する場合でも、同じエンドポイントがすべてを処理します:

DELETE /admin/gdpr/{userId} — 5つのデータストアにわたるカスケード削除(ユーザーメモリ、会話、管理マッピング、ログ、監査エントリ)
GET /admin/gdpr/{userId}/export — 構造化JSONとしての完全なユーザーデータエクスポート
POST /admin/gdpr/{userId}/restrict — 紛争解決のためにデータを保持しながら処理を凍結
MCP: delete_user_data — AIオーケストレーションのカスケード削除(明示的な確認が必要)
MCP: export_user_data — 自動化DSARワークフローのためのAIオーケストレーションデータエクスポート

世界中の規制対象業界のために構築

ヘルスケア、金融サービス、政府、製造業、その他の規制対象セクターは、自信を持ってEDDIを導入できます。プラットフォームは、欧州のEU AI ActとGDPRから米国のHIPAA、カナダのPIPEDA、ブラジルのLGPD、日本のAPPI、南アフリカのPOPIA、東南アジアのPDPAまで、15以上の規制フレームワークが要求する透明性、監査可能性、制御メカニズムを提供します。コンプライアンスは後付けではなく、アーキテクチャの基盤です。

始める → GitHubで見る ↗