メインコンテンツへスキップ
プライバシーとコンプライアンスに関しては、いくつかの要件があります。Auth0 では、お客様のプライバシーやその他の規制上の義務について法的助言を提供することはできませんが、お客様の義務の履行に役立つ可能性のある Auth0 の機能に関連するプライバシー要件を、以下に厳選してまとめています。ローンチ前に、プライバシーに関するすべての義務を満たしていることを確認し、以下で紹介する機能を見直して、プライバシーおよびコンプライアンス要件への対応に役立つ Auth0 の利用可能な機能を十分に活用できているかを確認してください。 ユーザーに関する個人データを収集または処理する場合は、プライバシーポリシーを公開し、運用がその内容に準拠するようにするための手順を整備しておく必要があります。また、情報の収集および処理について、ユーザーの同意を得る必要があります。Auth0 では、プライバシーポリシーへのリンクを表示してユーザーの同意を保存するためのオプションを利用できます。

データの閲覧、訂正、削除のためのアクセスを提供する

プライバシー関連法では、多くの場合、ユーザーに、自分に関して保持されているデータを閲覧し、訂正する権利が認められています。データ管理者である場合は、そのための仕組みを提供する必要があります。Auth0 のお客様は、 を通じて、データへのアクセスや訂正を行うためのセルフサービス機能を構築できます。

データポータビリティへのアクセスを提供する

データ管理者である場合、利用者が自分のデータを移行可能な形式でシステムからエクスポートできる手段を提供する義務を負うことがあります。Auth0 では、この義務に対応できるよう、手動エクスポート機能に加え、利用者向けのセルフサービス機能を実装できる Management API を通じて、ユーザーデータのポータビリティを実現する仕組みを提供しています。

個人データを最小限に抑えるための対策を講じる

プライバシーポリシーおよび同意の対象となる処理目的に照らして、利用者から収集する個人データが正当に必要なものかどうか、すでに見直しているはずです。あわせて、収集するデータを必要最小限に抑えていることを確認し、データ保持ポリシーを定めておく必要があります。保護をさらに強化するために、任意で、利用者メタデータに保存するデータを暗号化することもできます。

データ保持ポリシーの適用を自動化する

公開済みのデータ保持ポリシーを用意し、その適用を自動化する必要があります。Auth0 Management API または を使用すると、ユーザーアカウントの削除を容易に行えます。

個人データの保護

データ管理者かデータ処理者かにかかわらず、ユーザーに関して保持している個人データを保護する義務があります。これには、可能な場合は暗号化を利用することや、ユーザーアカウントを保護するための適切なセキュリティ対策を講じることが含まれます。公開前に、Brute Force Detection、 (ユーザーと管理者の両方を対象) 、およびパスワードを使用する場合の強力なパスワードポリシーなど、これに役立つ Auth0 の利用可能なセキュリティ機能をすべて活用しているか確認してください。また、Brute Force 攻撃に対応するための手順もあらかじめ整えておく必要があります。

サプライヤー評価

もう 1 つの一般的なコンプライアンス上の義務として、個人データを提供するサードパーティのサプライヤーについて、そのセキュリティに関するデューデリジェンスレビューを実施する必要があります。Auth0 については、この作業に役立つ情報を Auth0 のセキュリティと認証ページで確認できます。ここでは、Auth0 が取得しているセキュリティ認証を閲覧できます。

参考資料

コンプライアンス要件の確認に役立つ参考資料として、以下をご覧ください。

プロジェクト計画ガイド

推奨戦略の詳細を確認できるよう、ダウンロードして参照できるPDF形式の計画ガイドをご用意しています。 B2C IAM プロジェクト計画ガイド