Auth0の一般データ保護規則の遵守

2016年4月27日に、欧州議会および理事会は一般データ保護規則(GDPR)として知られる法案を採択し、2018年5月25日に施行されました。一般データ保護規則の発効によって、欧州プライバシー指令95/46/ECは置き換えられました。

GDPRは、EU圏内に居住する個人のデータプライバシーの統合と強化を目的としています。GDPRでは、EU域内の居住者に関するデータを保存または処理するEU域外の事業者にもEUデータプライバシー法が適用され、個人データの侵害が発生したり、GDPR要件に違反したりした場合、その責任を負う企業に多額の制裁金が課せられる可能性があります。

GDPRの詳細については、「gdpr.euのGDPR準拠の完全ガイド」をお読みください。

定義

Auth0のGDPRドキュメントで使用される定義は以下のとおりです。

用語 定義
主体 個人/自然人
データ管理者 主体に関するデータを収集および処理するエンティティ(厳密な定義についてはGDPRを参照
データ処理者 データ管理者の代わりにデータを処理するエンティティ(厳密な定義についてはGDPRを参照
個人データ 特に識別子(名前、識別番号、位置情報、オンライン識別子など)、またはその人物の身体的、生理学的、遺伝的、精神的、経済的、文化的、もしくは社会的アイデンティティを参照して、主体を(直接または間接的に)特定するために使用されるデータ
センシティブな個人データ 人種もしくは民族的な出自、政治的意見、宗教的もしくは哲学的信念、労働組合への参加、遺伝学的データ、または生体データを明らかにする個人データ
Auth0の復処理者 Auth0が個人データを提供するサードパーティのシステム

GDPRの概要

適用範囲

GDPRは、EU域内に拠点を有しないサービス/企業を含め、EU域内の居住者に関するデータを所有する広範囲にわたる領域に適用されます。

通知と同意

エンドユーザーから個人データを収集する前に、同意を得る必要があります。同意を求める際の通知は以下のようにする必要があります。

  • 明瞭で理解しやすい

  • 該当するデータの目的とその処理方法を述べる

以下を行う必要もあります。

  • 同意を明示的に求める

  • エンドユーザーが同意する場合と同様に簡単に同意を撤回できるようにする

個人の権利

エンドユーザーは個人として、以下の権利を持っています。

  • 企業が自身に関して持っているデータを閲覧する

  • データの処理または使用方法を知る

  • 忘れられる(データ管理者に対して、該当するデータを消去させる権利、当該データの拡散を停止させる権利、これ以上のデータ処理を停止させる権利)

  • ポータビリティ(データを標準の機械によって読み取り可能な形式で受け取り、データを別のデータ管理者に転送する権利)

  • 自動意思決定に服さない(一般にプロファイリングと呼ばれる処理)

プライバシー・バイ・デザインの原則およびプライバシー・バイ・デフォルトの原則

データ管理者として、プライバシー・バイ・デザインの原則およびプライバシー・バイ・デフォルトの原則を遵守するようにアプリを設計する必要があります。

プライバシー・バイ・デザインとは、個人データを扱うシステムを新たに実装するたびに、該当するデータの保護を考慮に入れて取り組むことを指します。

プライバシー・バイ・デフォルトとは、エンドユーザーが新しい製品またはサービスを入手すると、デフォルト設定で最も堅牢なプライバシー設定が自動的に適用されることを指します(ユーザー側での手動による変更は不要)。

データ処理者とデータ管理者の要件

データ管理者として必要な操作

  • データ処理者が提供されたデータを適切に保護していることを確認するためにデューデリジェンスを行う

データ処理者の場合、Auth0で実行する必要がある操作

  • データ管理者によって提供される指示に従う

  • 適切に書類を保存し管理する

  • 適切なセキュリティ対策を講じる

  • データ保護影響評価を実施する

  • データ保護オフィサーを任命するか、プライバシーオフィスを設立する

  • 国際データ移転に関する規則に従う

  • GDPR要件を満たす書面によるデータ処理同意書に同意し署名する

強制適用

  • GDPRでは、問題に気付いてから72時間以内にデータ侵害について通知することをデータ管理者に義務付けている

  • 違反した場合の制裁金はさらに高額で、階層的なシステムを使って決定される

  • EUの監督当局は強い調査権限を有している

  • データを管理する組織はデータ保護オフィサーを任命し、データを処理する組織はデータプライバシーオフィスを設立する必要がある

GDPRの下での役割と責任

Auth0の顧客はデータ管理者で、Auth0はデータ処理者です。

Auth0が扱う個人データ

Auth0は、メタデータを含め、ユーザープロファイルに存在するエンドユーザーデータを取扱います。

データ管理者(顧客)の責任

運用手順とドキュメンテーションで主に構成される、GDPRコンプライアンス遵守に対する最終的な責任は、データ管理者にあります。

具体的に言うと、顧客は以下の責任を負うことになります。

  • エンドユーザー通知、同意、および同意の撤回

  • Auth0に公開するデータを決定する

  • 使用する接続(エンドユーザーデータとパスワードが存在する場所)を決定する

  • サインアップとユーザーの新規作成(必要な場合)

  • ユーザーが年齢条件を満たしてることを確認し、必要に応じて適切な同意(子どもに対する親権者の同意など)を得る

  • エンドユーザーが個人データを取得、確認、訂正、または削除するのに必要なメカニズムを実装する

  • 忘れられる権利の要求を受け取った後にユーザーデータを削除する

  • データを標準形式で提供する

  • エンドユーザーのプライバシー関連の要求(DSAR)に対応する

  • EUデータプライバシー当局からの連絡に対応する

  • データ侵害通知を監査当局とエンドユーザーに送信する(Auth0が関与している場合、顧客のサポートと必要な情報の提供を行う)

  • Auth0のテナントのセットアップ時にEUのテナントを選択する

データ保護責任者は顧客であり、Auth0は、顧客がデータをどのように処理し、アプリケーションを構成するかなどについて知りうる立場にありません。

データ処理者(Auth0)の責任

Auth0は以下の責任を負います。

  • サブスクリプション契約(SA)とデータ処理補遺条項(DPA)(エンタープライズ顧客用)またはサービス規約(セルフサービス顧客用)に説明されているデータ処理者の指示に従う

  • 主体としてデータアクセスや消去など、GDPRの権利を行使する顧客のエンドユーザーから要求を受け取ったら、顧客に通知する

  • EUデータプライバシー当局から要求を受け取ったら、顧客に通知する(法執行機関によって禁止されていない場合に限る)

  • セキュリティ侵害が確認されたことに気づいたら、顧客に通知する

  • いずれかの副処理者が、Auth0の顧客データに影響するデータ侵害が確認されたことについてAuth0に通知したら、顧客に通知する(法執行機関によって禁止されていない場合に限る)

  • プライバシーポリシー、サービス規約、セキュリティステートメント、データ保護同意書などを提示し、ポリシーと慣例についての情報を提供する

  • 顧客がデータを合法的に処理するために必要な情報を入手できるように、データ処理についての情報を提供する

  • サービスと機能、データの処理方法、顧客の権利と義務を定義する

  • Auth0 DashboardおよびAuth0 Management APIから顧客が顧客データを取得、確認、訂正、または削除できる方法を示す

  • 顧客がLockウィジェットに同意条件と利用許諾書同意チェックボックスを表示する仕組みを紹介する。より詳しい同意スキームが必要な場合は、カスタムサインアップとログインフォームを設計することもできます。

Auth0データ処理

Auth0が処理するデータ

エンドユーザーについてAuth0が所有するデータはすべて、Auth0ユーザープロファイルにあります。ユーザープロファイルに含まれている具体的な属性は、接続タイプ、認証フロー中のユーザー同意、追加情報でユーザープロファイルが増大されているかどうかなど、顧客の実装によって異なり、かつ多数の要素に基づいています。

Auth0データが保存される時

データベース接続を使用した時に、Auth0ユーザープロファイル情報がAuth0に保存されます。その他の接続タイプを使用してユーザーがログインした場合、Auth0は、今後のクエリのために外部IDプロバイダーが提供した情報を保存します。

Auth0が保存されているデータを使用する方法

Auth0に保存されている個人データは、サービスを提供するために、つまりユーザーの認証のためだけに使用されます。

エンドユーザーのアカウントが削除された時、データはどうなりますか?

エンドユーザーのアカウントが削除された場合は、ユーザープロファイルは、メタデータを含み、削除されます。

GDPRへのコンプライアンスに役立つAuth0の機能

GDPRの規則およびAuth0がコンプライアンス遵守にどのように役立つかを、以下に一覧表示します。

同意の条件

GDPRの第7条によると、以下のことを実行し、できるようにする必要があります。

  • 明確かつ利用しやすい方法で、ユーザーの個人データの処理についてユーザーに同意を求める

  • ユーザーが同意したことを示すことができる

  • いつでも簡単に同意を撤回する方法を提供する

Auth0を使用して、サインアップ時にユーザーに同意を求め(Lockまたはカスタムフォームを使用)、この情報をユーザープロファイルで保存することができます。この情報は、Management APIを使用して後で更新することができます。詳細については、「GDPR:同意の条件」をお読みください。

データのアクセス権、訂正および消去の権利

GDPRの第15条、第16条、第17条、および第19条に基づき、ユーザーには以下の権利があります。

  • 処理する個人データのコピーを取得する

  • データが不正確な場合に訂正を求める

  • 個人データを削除するよう求める

Auth0では、手動か、あるいはAPIによって、ユーザー情報にアクセスしたり、編集、削除することができます。詳細については、「GDPR:データのアクセス権、訂正および消去の権利」をお読みください。

データの最小化

GDPRの第5条には、以下のように記されています。

  • 収集する個人データは、処理の目的の必要性に照らして、最小限に限られなければならない

  • 必要な期間だけ保持しなければならない

  • 無許可または違法な処理や偶発的な紛失、破壊、損傷からの保護を含む、データ処理中に適切なセキュリティを確保する方法で処理されなければならない

Auth0には、これらの目標の達成に役立つ機能がいくつか用意されています。アカウントの連携やユーザープロファイルの暗号化などをはじめとする機能がこれに該当します。詳細については、「GDPR:データの最小化」をお読みください。

データポータビリティ

GDPR第20条によれば、ユーザーは自分に関する個人データを構造化され、一般的に使用される機械可読形式で受け取る権利があります。

Auth0ユーザーストアに保存されているユーザーデータは、手動またはプログラムでエクスポートすることができます。Auth0からの生データは、JSON形式(機械可読)でエクスポートできます。詳細については、「GDPR:データポータビリティ」をお読みください。

ユーザーデータを安全に保護する

GDPRの第32条に従って、ユーザーは、一定のレベルの安全性を確保するために、特に、以下のものを含め、適切な措置をしかるべく実装しなければなりません。

  • データ暗号化

  • 継続的な機密性

  • データ整合性

  • 取扱うシステムおよびサービスの可用性および回復性

Auth0には、この要件を満たすのに役立つ機能がいくつか用意されています。ユーザープロファイルの暗号化、総当たり攻撃防御、侵害されたパスワードの検出、ステップアップ認証などをはじめとする機能がこれに該当します。詳細については、「GDPR:ユーザーデータを安全に保護する」をお読みください。

セキュリティに関するアドバイス

Auth0では、エンドユーザーのデータの安全を確保し、データ侵害の確率を最小限に抑えるために、以下のことを実践されることをお勧めします。

  • クライアントシークレットとキーを保護する

  • Management Dashboardの資格情報を保護し、Dashboardへのアクセスに対して多要素認証の実行を必須にする

  • Dashboardの管理者リストを定期的に確認し、古くなったエントリを削除する

  • Auth0のテナントに関連する接続とアプリケーションのリストを確認し、古くなったエントリを削除する

  • Dashboard管理者が、(個人用メールアカウントなど個人の資格情報でなく)撤回が簡単な企業の資格情報を使用していることを確認する

  • 解雇された従業員のアカウントを速やかに削除する

  • 管理者がスクリーンロックを義務化しているデバイスを使用していることを確認する

  • Dashboardの管理者と開発者全員に対し、セキュリティとプライバシーのベストプラクティスに関するトレーニングを定期的に実施する

ログデータをレポート機能が搭載されたロギングツールに送信するために使用するログストリーミングを必ず監視してください。

もっと詳しく