コンプライアンス準備（B2C）

プライバシーとコンプライアンスに関連する要件は複数あります。Auth0は、プライバシーやその他の規制上の義務に関する法的ガイダンスを提供することはできませんが、Auth0が義務の履行に役立つ機能をリストした以下のプライバシー要件リストを提供できます。開始前に、プライバシー義務をすべて履行していることを確認し、以下に概説する機能を確認して、プライバシーとコンプライアンスの要件を満たすために利用可能なすべてのAuth0機能を活用していることを確認する必要があります。

ユーザーに関する個人データを収集または処理する場合は、プライバシーポリシーを公開し、ポリシーの内容に従って操作を行うための手順を確立しておく必要があります。また、情報の収集と処理についてユーザーの同意を得る必要があります。Auth0には、ユーザーの同意を保存するプライバシーポリシーへのリンクを表示するオプションがあります。

プライバシー法では多くの場合、ユーザーが自分に関するデータを表示および修正する権利を持つことが義務付けられています。データ管理者の場合は、そのためのメカニズムを提供する必要があります。Auth0のユーザーは、Management APIを介してデータにアクセスして修正するためのセルフサービス機能を構築できます。

データ管理者の場合は、ユーザーにシステムからデータを転送可能な形式でエクスポートする手段を提供する義務がある場合があります。Auth0は、手動エクスポート機能と、ユーザー向けのセルフサービス機能を実装できるManagement APIの両方を介して、この義務を満たすのに役立つユーザーデータポータビリティメカニズムを提供します。

ユーザーについて収集する個人データを確認し、プライバシーポリシーと同意でカバーされている処理の目的のためにそれが正当に必要であることを確認する必要があります。収集するデータを最小限に抑え、データ保持ポリシーを確立したことも確認する必要があります。オプションで、ユーザーメタデータに保存するデータを暗号化して、保護を強化することもできます。

公開されたデータ保持ポリシーを用意し、その適用を自動化する必要があります。Auth0 Management APIまたはAuth0ダッシュボードを使用すると、容易にユーザーアカウントを消去することができます。

データ管理者であるかデータ処理者であるかに関係なく、ユーザーに関する個人データを保護する義務があります。これには、可能な場合は暗号化を使用し、ユーザーアカウントを保護するための適切なセキュリティ対策を実装することが含まれます。リリース前に、総当たり攻撃の検出、多要素認証（ユーザーと管理者の両方）、パスワードを使用する場合は強力なパスワードポリシーなど、Auth0から利用できるすべてのセキュリティ機能を使用しているかどうかを確認する必要があります。また、総当たり攻撃に対応するためのプロセスも用意する必要があります。

もう1つの一般的なコンプライアンス義務は、個人データを公開するサードパーティサプライヤーのセキュリティについてデュー デリジェンスレビューを実行することです。Auth0の場合、Auth0のセキュリティと認証のページにこのタスクを容易にする情報が掲載されており、Auth0が取得したセキュリティ認証を確認できます。

コンプライアンス要件に役立つ可能性のある追加のリソースは次のとおりです。

• Auth0プライバシーポリシー

• セキュリティとコンプライアンス

• Auth0コンプライアンスと証明書

• Auth0一般データ保護規則（GDPR）コンプライアンス

当社では、PDF形式の計画ガイダンスを提供しています。ダウンロードして、推奨される戦略の詳細を参照してください。