データセキュリティとプライバシー

概要

Whisperer はあなたの通話を聞き取るため、データに対して慎重なアプローチを取っています。履歴と検索に必要なものだけを保存し、何も保存しないモードを提供し、フェイルクローズド(デフォルトで拒否)の原則でアクセスを保護します。このページでは、何がどこに保存されるか、プライベートな no-logs モードの仕組み、データを保護する仕組み、そしてデータの削除方法について説明します。

中核となる原則は、オーバーレイパネルが画面共有では見えないこと、ファイルが Mac 上にローカルに保存されること、そして他ユーザーのデータへのアクセスが所有権チェックによって遮断されていることです。私たちは製品が持たない認証を主張しません。実際に実装されている対策のみをお伝えします。

こんなときに

  • 業務通話で利用する前に、プライバシーの観点から Whisperer を評価したいとき。
  • セッション後に何が保存され、何が保存されないのかを理解したいとき。
  • 機微な会話を行い、痕跡を残したくないとき(no-logs モード)。
  • 自分のデータを削除したい、またはデータに関する権利(GDPR)を理解したいとき。

何がどこに保存されるか

  • トランスクリプトとモデルの回答は、過去のセッションをまたいだ履歴と検索のために保存されます。ただし no-logs モードのセッションは除きます(下記参照)。
  • **ナレッジベース(メモ)**は、あなた自身が削除するまで保持されます。
  • ファイル(例:資料)はローカルに保存されます。外部オブジェクトストレージ(S3)はありません。
  • macOS 上のクライアントアクセストークンKeychain に保存され、暗号化されています。

no-logs モード(プライベート)

no-logs(一時的)は、機微な会話のためのセッションモードです。

  1. トランスクリプトとモデルの回答はデータベースに書き込まれません
  2. セッション終了後、関連するデータは削除されます
  3. 分数は引き続きクォータから消費されます(別カウンター no_logs_minutes_used)。節約できるのはストレージであって、時間ではありません。

会話の履歴よりも内容のほうが重要な場合に no-logs を使ってください。NDA を伴う交渉、個人的または医療的な話題、機密性の高い面談などです。

データはどのように保護されるか

Whisperer はデフォルトでのセキュリティという原則に基づいて構築されています。

  1. フェイルクローズド。 アクセス権が明示的に確認されない場合、アクセスは拒否されます。「念のため」付与されることはありません。
  2. 所有権チェック。 表示されるのは自分自身のセッション、メモ、設定のみです。他ユーザーの識別子へのリクエストは拒否されます。
  3. 入力検証。 外部データは処理前に検証されます。
  4. ユーザーコンテキストの分離。 アシスタントに提供したデータは参照資料として扱われ、システムレベルの指示を上書きすることはできません。
  5. Keychain 内のトークン。 macOS では、クライアントトークンは暗号化され、平文ファイルではなくシステムの Keychain に保存されます。
  6. ヘッダー内の WebSocket トークン。 トークンは URL/クエリではなく Authorization ヘッダーで渡されます。これによりサーバーやプロキシのログに漏れることがありません。
  7. トークンによるセッション管理。 トークンバージョン(token_version)は、パスワード変更や全デバイスからのサインアウト時に古いトークンを無効化します。リフレッシュ Cookie は httpOnly で、CSRF 保護(double-submit)が施されています。
  8. .env 内のシークレット。 キーやパスワードはコードに保存されません。

データ削除と GDPR

  1. セッションの削除。 セッションとその履歴は Web ダッシュボードで削除できます。これにより関連するトランスクリプトと回答が削除されます。
  2. メモの削除。 ナレッジベースは削除するまで保持されます。メモを削除すると RAG インデックスからも削除されます。
  3. 事前に痕跡を残さない。 特定の会話のデータをストレージに一切残したくない場合は、セッションを no-logs モードで実行してください。
  4. アカウントの完全削除およびデータ主体の権利請求サポートを通じて対応します。データの削除またはエクスポートを希望する旨をサポートにご連絡ください。

スクリーンショット

📸 [スクリーンショット:セッション設定内の no-logs モードトグル]

📸 [スクリーンショット:「削除」アクション付きのダッシュボードのセッション履歴]

📸 [スクリーンショット:画面共有ウィンドウに表示されないオーバーレイ]

よくある間違い

  • no-logs が分数を節約すると考えること。 分数は通常どおり消費されます。保存されないのはデータだけです。
  • 通常のセッションが保存されないと期待すること。 no-logs 以外では、トランスクリプトと回答は履歴と検索のために保存されます。
  • メモを削除しても候補に残ると思い込むこと。 メモを削除すると、ナレッジベースと RAG インデックスの両方から削除されます。
  • ダッシュボードで「アカウント削除」ボタンを探すこと。 アカウントの完全削除はサポートを通じて対応します。

ベストプラクティス

  • 機微な会話では、事前に no-logs をオンにしてください。保存されたものを「後から消す」より、最初から記録しないほうが容易です。
  • 不要になったセッションの履歴を定期的に整理しましょう。
  • シークレット(パスワード、トークン)をユーザーコンテキストやメモに入れないでください。プロンプトの一部としてモデルに送信されます。
  • 強力なパスワードを使い、不正使用が疑われる場合は全デバイスからサインアウトしてください。これにより発行済みトークンが無効化されます。
  • オーバーレイは画面共有では見えない一方で、相手の聞こえている音声は引き続き認識されることを覚えておいてください。グループ通話ではこの点に留意しましょう。

関連記事