2Slides Team
4 min read
GDPR & HIPAA準拠のAIプレゼンテーションツール(2026年版ガイド)
医療機関およびEU組織にとって、特定のコンプライアンス基準を満たすAIプレゼンテーションツールは限られています。HIPAA(米国医療、署名済みBusiness Associate Agreement(事業提携契約)が必要)の場合:2026年4月時点で、文書化されたBAAを持つ主流のオプションはMicrosoft 365 Copilotのみです。Canvaはエンタープライズ層でリクエストに応じてBAAを提供。Google Gemini for Workspaceは、GoogleのBAAを締結したWorkspace Business/Enterpriseの顧客にHIPAA適格デプロイメントを提供しています。GDPR(EUデータ処理)の場合:MicrosoftとGoogleはEU Data Boundary/EUストレージリージョンオプションを提供。Beautiful.ai、Gamma、Canva、Plus AIは標準契約条項付きGDPR準拠DPAを公開していますが、すべてがEU域内のみの処理を保証しているわけではありません。ほとんどは依然として米国でデータをホスティングしています。よくある調達エラー:GDPRを「サポート」するAIプレゼンテーションツールは、EUデータレジデンシーを保証するツールと同じではありません。本ガイドは、すべての主要ツールの実際のコンプライアンスステータスを出典の引用とともにマッピングし、各規制が実際にいつ適用されるかを説明します。
本ガイドは2026年4月時点の公開文書化されたコンプライアンススタンスをまとめたものです。具体的なデプロイメント決定については、自社のコンプライアンス顧問にご相談ください。ベンダーが書面でコミットしていないコンプライアンス主張は記載していません。
HIPAA: BAA ゲート
HIPAA(医療保険の携行性と責任に関する法律)は、米国の組織が保護対象保健情報(PHI)をどのように取り扱うかを規定しています。プレゼンテーションに患者名、医療記録番号、診断、画像、または18種類のHIPAA識別子のいずれかが含まれる可能性がある場合 — たとえ脚注や付録であっても — あなたはPHIを取り扱っていることになります。
クラウドサービスをPHIとともに使用するには、ベンダーがあなたの組織とビジネスアソシエイト契約(BAA) に署名する必要があります。BAAは45 CFR §164.504(e)に基づく特定の契約であり、ベンダーにPHIの保護、侵害の報告、使用の制限を義務付けます。BAAがなければ、ツールに技術的にどれほど安全であっても、PHIをアップロードすることはHIPAA違反となります。
AIプレゼンテーション機能でBAAを公開提供しているのは?
Microsoft 365 Copilot は、Microsoftの標準BAAでカバーされており、HIPAAの対象事業者またはビジネスアソシエイトである顧客にMicrosoft Online Services Data Protection Addendumを通じて提供されています。BAAはService Trust Portalからアクセス可能です。Microsoft 365 Copilot Enterpriseは対象サービスとしてリストされています。顧客データは基盤モデルのトレーニングには使用されません。Microsoft Copilot for Securityも明示的にカバーされています。
Google Gemini for Workspace は2025年9月30日よりHIPAA適格となりました。Geminiアプリと、Google Slides AI生成を支える「Help me write」、コンテキスト対応スマートリプレイ、サイドパネル機能を含むWorkspace内のGeminiは、現在Google WorkspaceのHIPAA Business Associate Addendumの下で提供される機能に含まれています。GoogleのBAAを締結し、Google Workspace BusinessまたはEnterpriseを通じてデプロイする必要があります。コンシューマー向けGemini製品は明示的にHIPAA適格ではありません。
Canva は、エンタープライズ層でリクエストに応じてBAAを提供していますが、特定の構成のみが対象です。CanvaはSOC 2 Type IIおよびISO 27001認証を取得しており、Canva EnterpriseはチームコンテンツをAIのトレーニングに使用しません。ただし、無料版、Pro、Teamsを含むデフォルトのCanva製品はHIPAA準拠ではありません。PHIをアップロードする前に、CanvaのエンタープライズセールスチームとともにBAAの範囲を確認してください。
その他すべて — Gamma、Beautiful.ai、Plus AI、Tome、Pitch — は、2026年4月時点でAIプレゼンテーションワークフローに対するBAAを公開文書化していません。つまり、他のセキュリティ認証がどうであれ、PHIには使用できないということです。
結論: スライドがPHIに触れる場合、候補リストはMicrosoft 365 Copilot、Google Gemini for Workspace(BAA締結済み)、およびCanva Enterprise(リクエストに応じたBAA)です。それ以外はすべてコンプライアンスリスクです。
GDPR: データ処理 vs データレジデンシー
GDPRは、EUまたは英国のデータ主体の個人データを処理する際に適用されます。プレゼンテーションツールの場合、これにはアップロードするスライドコンテンツ(個人データが含まれる場合)、誰がデッキを作成したかに関するメタデータ、ツールがどのように使用されているかに関するテレメトリが含まれます。
ベンダーのGDPR準拠には、購入者が混同しがちな2つの異なるレイヤーがあります:
1. GDPR準拠のデータ処理契約書(DPA)。 これは、あなた(管理者)とベンダー(処理者)の間の法的契約です。国際移転のための標準契約条項(SCC)、サブプロセッサーリスト、処理活動の記録、技術的および組織的措置(TOM)を含める必要があります。ほとんどのエンタープライズSaaSベンダーはDPAを公開しています。
2. EUデータレジデンシー。 これは、データが保存または処理のためにEUインフラストラクチャを離れないという技術的コミットメントです。基盤となるLLMが米国でホストされることが多いため、これを提供するAIプレゼンテーションベンダーは非常に少数です。
ベンダーはSCCを含む優れたDPAを持ちながら、あなたのデータを米国で処理することができます。その移転は、SCCと補完措置が整っていればGDPR上合法ですが、公共部門の購入者、Schrems II敏感業界、またはEU専用処理を要求する内部ポリシーを持つ組織にとっては除外対象となる可能性があります。
真のEUデータレジデンシーオプションを持つツール
Microsoft 365 CopilotはEU Data Boundaryサービスです。保管中の顧客データはEU Data Boundary内に継続して保存されます。しかし、Microsoftは2026年4月17日から全EU/EFTA テナントに対して「Flex Routing」を有効にしました。これにより、需要ピーク時にCopilot LLM推論がEU Data Boundary外で行われる可能性があります。保管中のデータはEU内に留まりますが、リアルタイム推論はそうでない場合があります。厳格なEU専用処理を必要とする組織は、明示的にFlex Routingを無効にする必要があります。さらに、Microsoft経由でルーティングされるAnthropicモデルは、EU Data Boundaryの対象外です。
Google Gemini for Workspaceは、Business Plus以上のWorkspaceカスタマーに対してデータリージョンをサポートし、対象データをEUリージョンに保存できます。リアルタイムGemini推論動作は、あなたのリージョンの現在のGoogle Workspace HIPAA/DPAドキュメントに照らして確認する必要があります。
その他のすべての主要AIプレゼンテーションツールは、2026年4月時点でデフォルトで米国でデータを処理および保存します。これには、Gamma、Beautiful.ai、Canva(米国にデータを保存し、移転にSCCを使用)、Plus AI、Tomeが含まれます。
コンプライアンス対応表(ツール別)
| ツール | HIPAA BAA | EUデータレジデンシー | GDPR DPA | SCCs | サブプロセッサーの透明性 | デフォルトデータ保持期間 | トレーニングオプトアウト |
|---|---|---|---|---|---|---|---|
| Microsoft 365 Copilot (Enterprise) | あり、Microsoft Online Services DPA経由 | 保存時はEUデータバウンダリー内、Flex Routingにより推論処理がEU外に移動する可能性あり | あり | あり (2021/914) | あり、公開済み | テナントポリシーに準拠 | あり、デフォルトではトレーニングなし |
| Google Gemini for Workspace (Business/Enterprise) | あり、2025年9月30日時点でBAAあり | EUデータリージョン利用可能 (Business Plus以上) | あり | あり | あり、公開済み | Workspaceポリシーに準拠 | あり、デフォルトではトレーニングなし |
| Canva Enterprise | リクエスト制、Enterpriseティアのみ | 公表なし(米国ホスト) | あり | あり (2021/914、モジュール2) | あり、DPAで公開済み | 公表なし | あり(Teams/Enterpriseのみ) |
| Gamma | 公表なし | なし(米国ホスト) | あり | あり | あり、公開済み | 公表なし | Enterpriseティアのみ |
| Beautiful.ai | 公表なし | なし(米国ホスト) | あり(GDPR認証を主張) | あり | リクエスト制 | AI処理データは最大30日 | あり、パブリックLLMのトレーニングには不使用 |
| Plus AI | 公表なし | 公表なし | あり | 公表なし | 公表なし | 公表なし | Enterpriseティア |
| Tome | 公表なし | 公表なし | あり | 公表なし | 公表なし | 公表なし | 公表なし |
| Pitch | 公表なし | ドイツ拠点、EUデータレジデンシーの可能性あり | あり | あり | あり | 公表なし | 公表なし |
「公表なし」とは、2026年4月時点の調査において、ベンダーがその特定の管理項目について書面で公式にコミットしていないことを意味します。記載がないことをコンプライアンス遵守または非遵守のどちらとも解釈せず、調達時に確認すべき質問事項として扱ってください。
ヘルスケア(米国)向け:実際に何を使うべきか?
推奨ツール
スライド、AIプロンプト、またはデータ接続されたビジュアルにPHI(保護対象保健情報)が含まれる可能性があるワークフローの場合:
-
Microsoft 365 Copilot(Enterprise E3/E5とCopilotライセンス) 最も成熟したオプションで、BAA(業務提携契約)に基づくPowerPoint生成、Teams統合、テナントレベルの制御機能を備えています。顧客データは基盤モデルのトレーニングには使用されません。
-
Google Workspace Business/EnterpriseとGemini 2025年9月時点でHIPAA対応。管理コンソールでBAA承認を明示的に実行すると、Geminiの「作成を手伝う」機能とサイドパネル機能を備えたGoogle SlidesがHIPAA BAAの対象となります。
-
Canva Enterpriseと署名済みBAA BAAが実行され、設定がEnterpriseティアにロックされている場合、マーケティングおよび患者教育資料に実用的です。臨床デッキや運用ダッシュボードには推奨されません。
ワークフローの注意事項
- 可能な限り非識別化する HIPAAセーフハーバー非識別化(45 CFR §164.514(b)(2))により、HIPAAの適用対象から完全に外れます。スライドに集計数値や非識別化されたケーススタディを表示できる場合、それが低リスクの方法です。
- テナントレベルのトレーニングオプトアウトを設定する BAAがあっても、テナントデータでのファインチューニングやパーソナライゼーションを防ぐ管理コンソール設定を確認してください。
- コンシューマーAIツールの従業員使用を監査する 2024年から2025年における最大のHIPAA違反経路は、臨床医がコンシューマー版ChatGPTやGeminiに診療記録を貼り付けて要約することでした。BAAを備えたEnterpriseツールを導入し、コンシューマー版をファイアウォールでブロックしてください。
- ログ記録を確認する HIPAA §164.312(b)は監査管理を要求しています。コンプライアンスプログラムが必要とするレベルでAIインタラクションがテナントに記録されることを確認してください。
臨床および運用プレゼンテーションワークフロー専用の詳細については、ヘルスケアおよび医療スライド向けAIプレゼンテーションの補足記事をご覧ください。
EU / GDPR の場合: 展開オプション
EU 組織は段階的な意思決定ツリーに直面します:
EU 域内処理のみが必要な場合(最も厳格な基準)
- Flex Routing を無効にした Microsoft 365 Copilot。 これは、大規模な EU 域内限定 AI プレゼンテーションオプションに最も近いものです。Microsoft 365 管理センターで 2026 年 4 月の期限までに明示的に Flex Routing をオプトアウトし、ピーク時に一部の Copilot 機能が低下する可能性があることを受け入れる必要があります。
- EU データリージョン設定の Google Workspace。 Business Plus 以上のプランで EU データリージョンの構成が可能です。依存している特定の Gemini 機能がお使いのリージョンの対象範囲内にあることを確認してください。
- セルフホスティングまたは EU ネイティブの代替手段。 最高保証レベルのケース(例:欧州公共部門)では、EU でホストされた生成パイプラインまたはオンプレミスの PowerPoint 生成を検討してください。2Slides は、データ処理リージョンを設定可能なエンタープライズ展開を提供しています。
SCC 付き DPA が必要な場合(ほとんどのエンタープライズケース)
Gamma、Beautiful.ai、Canva、Plus AI、Pitch など、ほぼすべての主要な AI プレゼンテーションベンダーが、SCC 付きの GDPR 準拠 DPA を公開しています。法的には、移転影響評価(TIA)がそれを支持する場合、これはほとんどの GDPR 義務に対して十分です。ベンダーのサブプロセッサーリスト、保持期間のデフォルト設定、EU-US データプライバシーフレームワークのステータスを確認し、TIA を文書化してください。
リスク許容度が保護措置付きの米国処理を許容する場合
公開された DPA を持つ主要ツールであれば、どれでも実用可能です。実際のリスクは、評判上のもの(米国ベースのプロセッサーはコンプライアンス監査をより複雑にする)と技術的なもの(サブプロセッサーは変更される可能性があり、サプライチェーンは不透明)です。サブプロセッサー変更通知を監視し、緊急時対応計画を構築してください。
要点: GDPR コンプライアンスはスペクトラムであり、二者択一ではありません。適切なツールは、組織が EU 居住性を要求するか、SCC 付きの米国への移転を受け入れるか、またはさらに厳格な主権要件(例:ドイツ BSI、フランス SecNumCloud、EU Schrems II 補完措置)を持つかによって異なります。
法律・金融サービス向け:関連規制
法律業界(米国・英国)
クライアントデータを扱う法律事務所は、弁護士・依頼者間秘匿特権の義務と州弁護士会の倫理規則(米国では守秘義務に関するABAモデルルール1.6)に直面します。これらはSOC 2のような「コンプライアンスフレームワーク」ではありませんが、事実上同じ管理を要求します:クライアントデータでのトレーニング禁止、テナント分離、監査ログ、ベンダー契約における守秘条項です。Microsoft 365 CopilotとGoogle Gemini for Workspaceが主流の安全な選択肢です。訴訟やクライアント向けプレゼン資料については、AI プレゼンテーション:法律チーム向け事案概要書とクライアント提案書のガイドをご覧ください。
金融サービス
GLBA(グラム・リーチ・ブライリー法)は、米国の金融機関における非公開個人情報(NPI)を規制しています。FINRA規則はブローカー・ディーラーの通信に適用されます。SOXは上場企業の財務報告に影響します。PCI-DSSはカード会員データをカバーしています。
これらの規制はいずれもHIPAAのBAA(事業提携契約)モデルに直接対応するものではありませんが、すべて同様の管理を要求します:データ処理契約、サブプロセッサーの透明性、保持期限、監査証跡です。Microsoft 365 Copilotは米国政府顧客向けにFedRAMP High認証を取得しており、これは金融サービスの厳格性の強力な代替指標となります。Google WorkspaceもFedRAMP Highを取得しています。
教育(FERPA)
FERPAは、連邦助成金を受けている米国の学校における学生教育記録を規制しています。HIPAAとは異なり、FERPAはBAA機構を使用せず、「学校職員」例外とベンダーとの書面契約を使用します。MicrosoftとGoogleはいずれも、教育向けSKUに対してFERPA固有の規約を公開しています。ツール選択においてはFERPAをHIPAAと同様に扱ってください — Microsoft 365 Education、Google Workspace for Education、またはCanva for Educationを適切な規約とともに使用することをお勧めします。
よくあるコンプライアンスの落とし穴
1. 「エンタープライズ」=「HIPAA準拠」と思い込む Canva Enterpriseは自動的にBAA(Business Associate Agreement)の対象にはなりません — 個別に申請する必要があります。Beautiful.ai、Gamma、Plus AIのエンタープライズプランは、そもそもBAAを公に提供していません。エンタープライズプランはセキュリティ管理を向上させますが、HIPAA責任を自動的に引き受けるわけではありません。
2. GDPR準拠DPAとEUデータレジデンシーを混同する 主要なSaaSベンダーはすべてGDPR対応DPA(Data Processing Agreement)を持っています。しかし、実際にEU内でデータを保存・処理しているのはごく一部です。具体的に質問しましょう:「リアルタイムLLM推論を含む私のデータの処理は、完全にEU域内で行われますか?」
3. サブプロセッサーの拡散を無視する AIプレゼンテーションツールは、テキストにOpenAI、推論にAnthropic、音声にElevenLabs、CDNにCloudflareを使用しているかもしれません。それぞれがサブプロセッサーであり、独自のデータポリシーを持ち、いずれも規約を変更する可能性があります。公開されているサブプロセッサーリストを確認し、変更通知を購読しましょう。
4. 学習データのデフォルト設定を忘れる ベンダーのDPAには「顧客データで学習しません」と書かれているかもしれませんが、これが基本製品だけでなく、使用している特定のAI機能にも適用されるか確認してください。Beautiful.aiはAI処理データを30日間保持します。Gammaエンタープライズは学習のオプトアウトを提供していますが、デフォルトのコンシューマー版では提供していません。
5. エンタープライズ業務でコンシューマーAIツールを使う ChatGPT FreeやGoogle Gemini(コンシューマー版)は、BAAやエンタープライズDPAの対象外です — 決して対象になりません。ファイアウォールまたはDLP(Data Loss Prevention)ポリシーでブロックし、承認されたエンタープライズ代替ツールを提供しましょう。
6. Microsoft CopilotのBAAがすべてのCopilot製品をカバーすると思い込む Microsoft 365 Copilot(Word、Excel、PowerPoint内)にはBAAがあります。しかし、スタンドアロンのCopilot体験、Copilot Studioエージェント、Copilot Pro(コンシューマー版)は異なるカバー範囲を持ちます。Microsoft Service Trust Portalで特定のSKUとサービス名を確認してください。
よくある質問
ChatGPTはプレゼンテーション作成においてHIPAA準拠ですか?
OpenAIは**ChatGPT EnterpriseとOpenAI API(ゼロ保持エンドポイント)**に対してBAAを提供しています—ChatGPT PlusやChatGPT Freeには提供していません。ChatGPTを使用してスライドコンテンツを作成する場合は、BAAを締結したChatGPT Enterpriseを利用し、スライドはHIPAAの対象となる下流のツールでレンダリングする必要があります。ChatGPT FreeにPHIを貼り付けないでください。
Geminiを使用したGoogle SlidesはHIPAA準拠とみなされますか?
はい。2025年9月30日現在、Google Workspace BusinessまたはEnterpriseを利用し、GoogleのBAAを締結しており、Workspace サイドパネルまたはGoogle Slides統合を通じてGemini機能を使用している場合は準拠します。コンシューマー向けGeminiアプリは対象外です。
BAAがあればCanva Proを患者データと一緒に使用できますか?
いいえ。CanvaのBAAはEnterpriseティアでのみ利用可能で、Proでは利用できません。Canva ProにはHIPAAが要求するテナントレベルの制御がなく、BAAの対象になりません。
SOC 2 Type IIはツールがHIPAA準拠であることを意味しますか?
いいえ。SOC 2はセキュリティ監査フレームワークです。HIPAAは特定の契約上の義務(BAA)と特定の管理策(§164.308、§164.312)を要求します。ツールがSOC 2認証を受けていても、ベンダーがBAAに署名しない場合はHIPAA準拠ではありません。
誤ってHIPAA非準拠のAIツールにPHIをアップロードした場合はどうなりますか?
これはリスク評価によって、HIPAA §164.402(違反通知規則)に基づく報告すべきインシデントです。文書化されたインシデント対応プロセスを持つべきです。HIPAAプライバシー責任者、および該当する場合は法律顧問に連絡してください。実際的な軽減策は、そもそもPHIが承認されていないAIツールに貼り付けられるのを防ぐDLPツールを導入することです。
重要ポイント
AIプレゼンテーションツール市場は十分に成熟し、コンプライアンスに敏感な組織にもついに実用的な選択肢が登場しました。しかし、その候補リストはマーケティングページが示唆するよりもはるかに狭いのが現実です。2026年4月時点のHIPAA対応では、Microsoft 365 Copilot、Google Gemini for Workspace、そしてCanva Enterprise(署名済みBAAあり)が、文書化された対応経路を持つ主流ツールです。真のEU居住性を伴うGDPR対応では、Flex Routingを無効にしたMicrosoft 365 CopilotとEUデータリージョンを使用したGoogle Workspaceが最も明確な選択肢です。それ以外の企業—最も人気のあるAIスライド生成ツールの一部を含む—は、SCC(標準契約条項)に基づいて米国でデータを処理しています。これは合法ですが、データ主権とは同じではありません。
コンプライアンス購入者の仕事は、正確な質問をすることです。「HIPAA対応していますか?」はマーケティング的な回答を引き出します。「私たちが使用する特定のAI機能をカバーするBAAに副署していただけますか?また、Service Trust Portalの範囲内にあるサービスはどれですか?」は契約上の回答を引き出します。GDPR についても同様です。「GDPR対応していますか?」は、「私のデータは物理的にどこに保存され、リアルタイム推論はどこで実行されますか?」という質問とは異なります。正確な質問をし、正確な回答を得て、両方を文書化してください。エンタープライズ級AIプレゼンテーションツールのより広範な概要については、2026年版エンタープライズAIプレゼンテーションツール比較をご覧ください。
コンプライアンス要件の高いデプロイメントについては、2Slidesにお問い合わせください。学習なし保証とデータ居住性オプションを備えたエンタープライズ層についてご案内します。
出典:
- Microsoft 365 Copilot HIPAA/BAA対応 — Microsoft Learn
- Microsoft Copilot for Security HIPAA BAA発表 — Microsoft Tech Community
- Microsoft 365 Copilot EUデータ境界とFlex Routing — Office365 IT Pros
- Google Workspace HIPAA対象機能(Gemini) — Google
- Google WorkspaceはHIPAA準拠か? — HIPAA Journal
- Canvaデータ処理追加条項
- Canva Trust Center — プライバシー
- Canva HIPAA分析 — Paubox
- Gammaデータ処理追加条項
- Beautiful.ai セキュリティとプライバシー
- Microsoft国内データ処理発表(2025年11月)
About 2Slides
Create stunning AI-powered presentations in seconds. Transform your ideas into professional slides with 2slides AI Agent.
Try For Free
