エンタープライズ

Ciaoでの調達の進め方

指名された担当者、レビュアー向けの文書一式、そして最初の電話から契約締結までの予測可能な流れ — セキュリティ、法務、財務が並行して進められるように構築されています。

Ciaoでの調達は文書化された道筋をたどります: NDA、セキュリティパック、NDAのもとでのSOC 2 Type IIレポート、質問票への回答、そして商業条件の前のDPAとMSAの法務レビューです。調達チームがクレジットカード製品を逆行分析する羽目になるセルフサーブのAIツールとは異なり、Ciaoはエンタープライズソフトウェアのように購入されます — ベンダーリスク、プライバシー、法務チームが期待する成果物を、コンタクトページ経由でリクエストに応じて提供します。

適した用途ベンダーリスクとソーシングチームセキュリティ質問票の担当者DPAとMSAの法務レビュー

公開日 2026-07-03 · 最終更新 2026-07-03

なぜAI開発プラットフォームの調達は違うのか

AI開発プラットフォームを購入することは、SaaSダッシュボードを購入することとは違います。ベンダーは御社が本番で実行するコードを生成し、そのモデルサプライヤーは御社のデータフロー図に入り込み、AIが行った変更のガバナンスは御社自身の統制環境の一部になります。ベンダーリスクチームがこのカテゴリを慎重に扱うのは正しいことです — そしてこのカテゴリの多くのツールは、ソーシングプロセスのためではなく、個々の開発者のために作られています。

Ciaoは調達されるために作られています。サポートキューではなく指名されたエンタープライズ担当者がおり、その場で組み立てるのではなくレビュアー向けに準備された文書一式があり、セキュリティ、プライバシー、法務が互いを待たずに並行して作業できる流れがあります。このページはその流れを説明し、御社のチームが最初の電話の前にレビューを計画できるようにします。

リクエストできる文書一式

最初のメールでこれらを名指しでリクエストしてください — その場で組み立てるのではなく、レビュアー向けに準備されています。

  • セキュリティパック — セキュリティレビュアー向けに書かれたアーキテクチャ、隔離、暗号化、データ取り扱いの詳細。コンタクトページ経由でリクエストに応じて入手できます。
  • SOC 2 Type IIレポート — NDAのもとで入手可能 — セキュリティパックの主張の背後にある独立監査の証拠です。
  • データ処理契約 — プロセッサの義務、データ取り扱い、サブプロセッサ条件をカバーするGDPR DPA。法務レビューの準備が整っています。
  • マスターサービス契約 — 法務段階でDPAと合わせてレビューされる商業契約。
  • 質問票への回答 — 御社のプロセスが実際に使う質問票 — 標準フォーマットまたは独自のスプレッドシート — を送ってください。回答は同じ監査済み文書に基づいて返されます。

典型的な調達の道筋

組織によって順序は異なりますが、うまく進むレビューは通常こう見えます — NDA後、セキュリティと法務が並行して進みます。

  1. 1. スコーピングコール

    何を構築しているか、デプロイ体制 — Ciaoクラウド、自社のAWS、Azure、GCPアカウント、プライベートVPC、または別条件のもとでのオンプレミス — と、御社側の各レビュートラックの担当者を確定します。

  2. 2. NDA

    早期に署名することで、商業的な議論を待たずにSOC 2 Type IIレポートとセキュリティパックを動かせます。

  3. 3. セキュリティレビュー

    御社のチームがパックとレポートを読み、質問票を送り、書面での回答だけを受け入れるのではなく、統制 — Guardrailsレビュー、監査証跡、ライブのセキュリティテスト — のライブ実演をリクエストできます。

  4. 4. 法務レビュー

    DPAとMSAは顧問弁護士に渡ります。赤字修正と管轄の質問は、セキュリティトラックと並行してエンタープライズチームが対応します。

  5. 5. 商業条件

    本格的な本番プログラムは年間10,000米ドルから。範囲、シート数、デプロイ体制、パイロット段階の有無はここで合意されます。

  6. 6. 署名とオンボーディング

    アイデンティティの設定 — SSO、任意のMFA、ロールベースのアクセス制御 — とワークスペースの構成は、数か月後ではなくオンボーディング開始時に行われます。

質問票の扱い方

質問票は、レビュアーがすでに持っている情報源と同じもの — セキュリティパック、SOC 2 Type IIレポート、DPA — から回答されます。これにより、書面での回答は監査済みの証拠と一貫性を保ちます。もし回答とレポートが食い違うように見えたら、それを指摘してください。レポートが優先します。長文やカスタムの質問票はこのカテゴリでは普通のことです — ベンダーに合わせて削るのではなく、プロセスが要求するものを送ってください。

御社の組織が書面での主張ではなく証拠の添付を必要とする場合は、事前にそう伝えてください。NDAのもとでのSOC 2 Type IIレポートとセキュリティパックは、ほとんどのフレームワークが受け入れる添付資料であり、早期にそれらを御社の証拠項目にマッピングすることで、質問票を再度往復する手間を避けられます。

何がレビューを遅らせるか — そしてそれを避ける方法

このカテゴリでは3つの遅延が繰り返し起こりますが、いずれも回避可能です。1つ目は順序です: セキュリティトラックが終わるのを待ってから法務を始めるチームは、リスクを減らすことなく数週間を追加してしまいます — NDAは両方のトラックを同時に開きます。2つ目はデプロイ体制についての曖昧さです: プラットフォームがCiaoクラウドで動くか、自社アカウント内で動くかはデータフロー図を変えるため、早期に体制を決め、正しいものをレビューしてください。3つ目はAIの要素を前例のないものとして扱うことです: モデルベンダーは契約 — データ保持ゼロの条件、顧客コードでの学習なし — を持つサブプロセッサであり、御社の既存のサブプロセッサレビュープロセスは、文書さえ手元にあれば一度でそれらを処理できます。

成果物、目的、入手方法

成果物対象範囲入手方法
セキュリティパックアーキテクチャ、隔離、暗号化、データ取り扱い/contact経由でリクエスト
SOC 2 Type IIレポート期間にわたって独立監査された統制スコーピングコール後、NDAのもとで
DPAGDPRのプロセッサ義務、サブプロセッサ、データ取り扱い調達時の法務レビュー
MSA商業・契約条件調達時の法務レビュー
質問票への回答御社のフォーマット、監査済み情報源から回答エンタープライズチームに質問票を送付

ソーシングチーム向けの商業的注記

本番プログラムの年間10,000米ドルという下限は、有用な資格ラインです: ベンダーが、エンタープライズのラベルを貼ったコンシューマーサブスクリプションではなく、サポート、レビュー、オンボーディングを伴う本物の関係を想定していることを示しています。パイロットや段階的な開始は商業段階で議論されます — 固定パッケージを想定するのではなく、御社が希望する構造を会話に持ち込んでください。

よくある質問

ベンダーレビューには通常どれくらい時間がかかりますか?

それはCiaoではなく御社のプロセス次第です — パック、レポート、質問票の回答はNDA署名時に準備が整っています。セキュリティと法務のトラックを並行して進めるチームは、通常ベンダーを待つのではなく社内レビューに時間を使います。

法務チームはDPAとMSAに赤字修正できますか?

法務段階でエンタープライズチームに赤字修正を持ち込んでください。何が交渉可能かは契約規模とデプロイ体制によりますが、行き詰まったスレッドではなく率直な回答が得られます。

本格導入前にパイロットをサポートしていますか?

パイロットの構造は商業段階で合意されます。本番プログラムは年間10,000米ドルからで、その枠組みの中でのスコープを絞ったパイロットは、営業に提起する普通のリクエストです。

モデルベンダーを含め、Ciaoのサブプロセッサは誰ですか?

モデルプロバイダーを含むサブプロセッサ情報は、DPAとセキュリティパックのレビューの一部です。推論はデータ保持ゼロのモデル契約のもとで実行され、顧客のコードはモデルの学習に使用されません — 契約文言はこのページだけでなく文書内にあります。

既存顧客と話すことはできますか?

CiaoはAutomo.AI、Desygner.com、WeBrand.comを含む、世界中で数百万人に使われる製品を支えています。御社のセグメントとデプロイ体制に合ったリファレンス会話が可能かどうか、エンタープライズチームにお尋ねください。

関連ページ

本格的な開発は、本格的な責任から始まります。

調達とベンダーレビュー | Ciao