認証
ユーザー管理
カスタマイズ
Auth0 AI
プラットフォームコンプライアンス対応準備状況(B2B)
B2B IAM 実装のリリース前に実施すべきコンプライアンス確認事項。
プライバシーおよびコンプライアンスに関しては、満たすべき要件がいくつかあります。Auth0 は、お客様のプライバシーやその他の規制上の義務に関する法的助言を提供することはできませんが、以下では、お客様の義務の遵守に役立つ可能性のある Auth0 の機能に関連するプライバシー要件を厳選して紹介します。リリース前に、プライバシーに関するすべての義務を満たしていることを確認し、以下に示す機能を見直して、プライバシーおよびコンプライアンス要件への対応に利用できる Auth0 の機能を十分に活用できていることを確認してください。
ユーザーに関する個人データを収集または処理する場合は、プライバシーポリシーを公開し、その内容に準拠して運用できるよう手順を整備しておく必要があります。また、情報の収集と処理について、ユーザーの同意も取得する必要があります。Auth0 には、プライバシーポリシーへのリンクを表示し、ユーザーの同意を保存するためのオプションが用意されています。
プライバシー関連法では、多くの場合、ユーザーに対し、自身に関して保持されているデータを閲覧し、訂正する権利を認めることが求められます。データ管理者である場合は、そのための仕組みを提供する必要があります。Auth0 のお客様は、 を使用して、データのアクセスと訂正を行うセルフサービス機能を構築できます。
データ管理者である場合、ユーザーが自身のデータを持ち運び可能な形式でシステムからエクスポートできる手段を提供する義務を負うことがあります。Auth0 では、この義務への対応を支援するために、手動エクスポート機能と、ユーザー向けのセルフサービス機能を実装できる Management API を通じた、ユーザーデータのポータビリティ機能を提供しています。
プライバシーポリシーと同意の対象となる処理目的に照らして、ユーザーについて収集する個人データが正当に必要なものかどうかを見直しておく必要があります。また、収集するデータを最小限に抑え、データ保持ポリシーを定めていることも確認してください。保護をさらに強化するには、必要に応じてユーザーメタデータに保存するデータを暗号化することもできます。
公開されたデータ保持ポリシーを策定し、その適用を自動化する必要があります。Auth0 Management API または を使用すると、ユーザーアカウントの削除を容易に実行できます。
データ管理者であるかデータ処理者であるかにかかわらず、ユーザーに関して保有する個人データを保護する義務があります。これには、可能な場合は暗号化を使用することや、ユーザーアカウントを保護するために適切なセキュリティ対策を講じることが含まれます。公開前に、これに役立つ Auth0 のセキュリティ機能をすべて活用しているか確認してください。たとえば、Brute Force Detection、 (ユーザーと管理者の両方が対象) 、およびパスワードを使用する場合は強力なパスワードポリシーなどです。また、Brute Force 攻撃に対応するためのプロセスも用意しておく必要があります。
もう 1 つの一般的なコンプライアンス上の義務として、個人データを提供するあらゆるサードパーティサプライヤーのセキュリティについて、デューデリジェンスレビューを実施することが挙げられます。Auth0 については、この作業に役立つ情報を Auth0 のセキュリティと認定ページで確認できます。このページでは、Auth0 が取得しているセキュリティ認証を確認できます。
コンプライアンス要件への対応に役立つ追加リソースとして、次のものがあります。
推奨戦略の詳細を確認できるよう、ダウンロードして参照できる PDF 形式の計画ガイドを提供しています。
B2B IAM プロジェクト計画ガイド