PrivComp-KG : Leveraging Knowledge Graph and Large Language Models for Privacy Policy Compliance Verification

要約

デジタル時代において、データ保護とプライバシーはますます重要になっています。
多くの企業は、データの処理や保管などの業務を含む重要な機能を自社の業務内で実行するために、サードパーティのベンダーやサービスプロバイダーに依存しています。
ただし、これらのベンダーのセキュリティ対策や実践が規制当局が期待する基準と必ずしも一致するとは限らないため、この依存により潜在的な脆弱性が生じます。
企業は、進化する規制ルールを確実に順守することが、多くの場合法律による罰則のもとで求められます。
これらの規制の解釈と実装には、その複雑さのため課題が伴います。
規制文書は膨大であり、解釈に多大な労力を必要とする一方で、ベンダーが起草したプライバシー ポリシーには完全な法的遵守に必要な詳細が欠けていることが多く、曖昧さの原因となっています。
規制要件の簡潔な解釈と、組織のプライバシー ポリシーの規制への準拠を確保するために、プライバシー コンプライアンスのための大規模言語モデル (LLM) とセマンティック Web ベースのアプローチを提案します。
この論文では、新しいプライバシー ポリシー コンプライアンス検証ナレッジ グラフ PrivComp-KG を開発します。
プライバシー ポリシー、規制の枠組み、プライバシーの法的状況に関連する分野固有の知識に関する包括的な情報を効率的に保存および取得できるように設計されています。
検索拡張生成を使用して、プライバシー ポリシー内の関連するセクションを、対応する規制ルールとともに特定します。
個々のプライバシー ポリシーに関するこの情報は、PrivComp-KG に入力されます。
これをドメイン コンテキストおよびルールと組み合わせると、PrivComp-KG にクエリを実行して、関連するポリシー規制に対する各ベンダーのプライバシー ポリシーへの準拠をチェックできます。
私たちは、さまざまな組織のプライバシー ポリシー文書のコンプライアンスを検証することで、PrivComp-KG の妥当性を実証します。

要約(オリジナル)

Data protection and privacy is becoming increasingly crucial in the digital era. Numerous companies depend on third-party vendors and service providers to carry out critical functions within their operations, encompassing tasks such as data handling and storage. However, this reliance introduces potential vulnerabilities, as these vendors’ security measures and practices may not always align with the standards expected by regulatory bodies. Businesses are required, often under the penalty of law, to ensure compliance with the evolving regulatory rules. Interpreting and implementing these regulations pose challenges due to their complexity. Regulatory documents are extensive, demanding significant effort for interpretation, while vendor-drafted privacy policies often lack the detail required for full legal compliance, leading to ambiguity. To ensure a concise interpretation of the regulatory requirements and compliance of organizational privacy policy with said regulations, we propose a Large Language Model (LLM) and Semantic Web based approach for privacy compliance. In this paper, we develop the novel Privacy Policy Compliance Verification Knowledge Graph, PrivComp-KG. It is designed to efficiently store and retrieve comprehensive information concerning privacy policies, regulatory frameworks, and domain-specific knowledge pertaining to the legal landscape of privacy. Using Retrieval Augmented Generation, we identify the relevant sections in a privacy policy with corresponding regulatory rules. This information about individual privacy policies is populated into the PrivComp-KG. Combining this with the domain context and rules, the PrivComp-KG can be queried to check for compliance with privacy policies by each vendor against relevant policy regulations. We demonstrate the relevance of the PrivComp-KG, by verifying compliance of privacy policy documents for various organizations.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google