Auth0 一般データ保護規則（GDPR）への準拠

2016 年 4 月 27 日、欧州議会および欧州連合理事会は、一般データ保護規則 (GDPR) として知られる法令を採択しました。この法令は 2018 年 5 月 25 日 に施行され、欧州プライバシー指令 95/46/EC に代わるものです。 GDPR は、欧州連合 (EU) 内に所在する個人のデータ保護に関する権利を統一し、強化することを目的としています。また、EU 内に所在する個人の個人データを保存または処理する EU 域外の企業にも、EU のデータ保護法令の適用範囲を拡大しています。さらに、GDPR の要件に違反した企業に科される可能性のある制裁金も引き上げています。

定義

以下は、Auth0 の GDPR ドキュメントで使用される用語の定義です。

Term	Definition
データ主体	個人／自然人
データ管理者	データ主体の個人データを収集および処理する事業体 (正確な定義については GDPR を参照してください)
データ処理者	データ管理者に代わって個人データを収集および処理する事業体 (正確な定義については GDPR を参照してください)
個人データ	主体を (直接的または間接的に) 特定するために使用できるデータ。特に、識別子 (名前、識別番号、位置データ、オンライン識別子など) への参照、またはその人の身体的、生理学的、遺伝的、精神的、経済的、文化的、もしくは社会的アイデンティティに関連するデータ
要配慮個人データ	人種的または民族的出自、政治的意見、宗教的または哲学的信条、または労働組合への加入を明らかにする個人データ。遺伝データまたは生体データ
Auth0 の再委託先処理者	サービス提供のために、MSA で定義される Customer Data に含まれる個人データを Auth0 が共有する第三者システム。

適用範囲

GDPR の適用範囲は広く、欧州連合 (EU) 域内にいる個人の個人データを処理する EU 域外のサービスや企業を含む、幅広い企業に適用されます。また、欧州連合 (EU) 域内にいる個人の行動を監視する企業にも適用されます。エンドユーザーから個人データを収集する前に、個人データを処理するための法的根拠が必要です。たとえば、その根拠として同意を利用できます。同意を求める際の通知は、次の要件を満たしている必要があります。

明確で、理解しやすいこと
個人データを処理する目的と、その処理方法を示すこと

場合によっては、追加の要件が適用されます。たとえば、次の対応も必要になることがあります。

特定の処理活動について、明示的に同意を求めること
エンドユーザーが同意を与えるのと同じくらい容易に同意を撤回できる仕組みを備えること

個人の権利

個人であるエンドユーザーには、次の権利があります。

企業が本人について保有する個人データにアクセスする権利
自分の個人データがどのように処理または利用されるかを知る権利
自分の個人データの削除、または「忘れられる権利」 (本人は、自分のデータの管理者に対し、該当する個人データの消去、データの拡散停止、または今後のデータ処理の停止を求めることができます)
データポータビリティ (本人は、自分の個人データを標準的で機械可読な形式で受け取り、そのデータを別のデータ管理者に移転できます)
自動的な意思決定 (一般に プロファイリング と呼ばれる処理) の対象とならない権利

プライバシー・バイ・デザインとプライバシー・バイ・デフォルト

プライバシー・バイ・デザインとは、個人データを使用する新たな実装ごとに、その個人データの保護を考慮しなければならないという考え方です。 プライバシー・バイ・デフォルトとは、エンドユーザーが新しい製品またはサービスを取得した時点で、最も厳格なプライバシー設定が自動的に適用されるという考え方です (つまり、ユーザー側で手動による変更は不要です) 。

データ処理者とデータ管理者の要件

データ管理者として、次のことを行う必要があります。

データ処理者が提供された個人データを適切に保護していることを確認するため、十分なデューデリジェンスを実施する

データ処理者としてのAuth0は、次のことを行う必要があります。

データ管理者の指示に従う
適切なセキュリティ対策を実施する

施行

GDPRでは、一定の条件を満たす場合、データ管理者はデータ侵害に関する通知を、不当な遅滞なく、かつ事案を認識してから遅くとも72時間以内に行うことが義務付けられています
遵守しない場合の制裁金は大幅に高額になります
欧州連合の監督当局には、より広範な調査権限が与えられています
データ管理者およびデータ処理者は、GDPRに基づく一定の要件を満たす場合、データ保護責任者を任命しなければなりません。

一般に、Auth0 (Okta) のお客様がデータ管理者であり、Auth0 (Okta) はデータ処理者です。

Auth0が取り扱う個人データ

Auth0は、メタデータを含むユーザープロファイル内のエンドユーザーに関するデータを取り扱います。

データ管理者 (顧客) の責任

より具体的には、顧客は以下について責任を負います。

エンドユーザーへの通知、同意の取得、および同意の撤回への対応 (必要な場合)
Auth0 に開示する個人データを決定すること
使用する接続 (エンドユーザーのデータとパスワードが保存される場所) を決定すること
サインアップを行い、必要に応じて新規ユーザーを作成すること
ユーザーが年齢要件を満たしていることを確認し、必要に応じて適切な同意 (未成年者に対する保護者の同意など) を取得すること
エンドユーザーが個人データを取得、確認、訂正、または削除するために必要な仕組みを実装すること
エンドユーザーからのデータ主体の権利に関する請求 (DSAR) に対応すること
監督機関からの連絡に対応すること
所定のしきい値に達した場合に、監督機関およびエンドユーザーにデータ侵害通知を送付すること (必要に応じて、Auth0 は顧客を支援し、必要な情報を提供します)

データ処理者 (Auth0) の責任

Auth0 は、以下の責任を負います。

Subscription Agreement (SA) および Data Processing Addendum (DPA) (エンタープライズ顧客向け) 、または Terms of Service (セルフサービス顧客向け) で定められたデータ管理者の指示に従うこと
顧客のエンドユーザーが GDPR 上の権利を行使するための要求を行った場合に、顧客を支援すること。個人データの処理に関連して監督当局から要求を受けた場合に、顧客に通知すること (法律で禁止されている場合を除く)
顧客データを侵害する、確認済みのデータ侵害を認識した場合に、顧客に通知すること
再委託先のいずれかから、Auth0 の顧客データに影響する確認済みのデータ侵害について Auth0 に通知があった場合に、顧客に通知すること (法律で禁止されている場合を除く)
および Auth0 を通じて、顧客が顧客データを取得、確認、修正、削除できるようにする手段を提供すること
Lock ウィジェット上で、同意条項および同意確認用チェックボックスを表示できる仕組みを顧客に提供すること。より複雑な同意スキームが必要な場合は、顧客がカスタムのサインアップフォームやログインフォームを設計することもできます

Auth0によるデータ処理

Auth0 が保持するデータ

エンドユーザーに関して Auth0 が保持するすべてのデータは、Auth0 のユーザープロファイルに保存されます。ユーザープロファイルに含まれる具体的な属性は、顧客の設定や実装によって異なり、接続の種類、認証フロー中のユーザーの同意、追加情報でユーザープロファイルを拡張しているかどうかなど、さまざまな要因に応じて決まります。

Auth0 データが保存されるケース

データベース接続を使用している場合、Auth0 のユーザープロファイル情報は Auth0 に保存されます。ユーザーがそれ以外の種類の接続 (カスタムデータベース接続を含む) でログインした場合、Auth0 は後で照会できるように、外部のから提供された情報を保存します。

Auth0 が保存するデータの利用方法

Auth0 に保存される個人データは、ユーザー認証をはじめとするサービスを提供する目的にのみ使用されます。

エンドユーザーのアカウントが削除されると、データはどうなりますか

エンドユーザーのアカウントが削除されると、そのユーザープロファイルと関連するメタデータも削除されます。以下に、GDPR の規制と、それらへの準拠に Auth0 がどのように役立つかを示します。 GDPR 第7条に基づき、次のことを行う必要があります。

個人データの処理について、明確で容易にアクセスできる形でユーザーの同意を得ること
ユーザーが同意したことを示せるようにすること
いつでも簡単に同意を撤回できる方法を提供すること

Auth0 を使用すると、サインアップ時にユーザーに同意を求め (Lock またはカスタムフォームを使用) 、この情報をユーザープロファイルに保存できます。後から Management API を使用してこの情報を更新することもできます。詳しくは、GDPR: Conditions for Consent を参照してください。

データへのアクセス、訂正、消去の権利

GDPR 第15条、第16条、第17条、および第19条に基づき、ユーザーには次の権利があります。

お客様が処理している自身の個人データのコピーを取得すること
個人データが不正確な場合に訂正を求めること
自身の個人データの削除を求めること

Auth0 では、手動または API を使用して、ユーザー情報へのアクセス、編集、削除を行えます。詳しくは、GDPR: データへのアクセス、訂正、消去の権利を参照してください。

データ最小化

GDPR第5条によると、次のとおりです。

収集する個人データは、処理に必要な範囲に限定しなければなりません
個人データの保持期間は、必要な期間に限られなければなりません
また、データ処理中は適切なセキュリティを確保しなければなりません。これには、不正または違法な処理や、偶発的な紛失、破壊、損傷に対する保護が含まれます

Auth0には、アカウントリンクやユーザープロファイルの暗号化など、これらの目標の達成に役立つ機能が複数あります。詳細については、GDPR: データ最小化を参照してください。

データポータビリティ

GDPR第20条に基づき、ユーザーは、自身に関する個人データを、構造化され、一般的に使用されており、機械で読み取り可能な形式で受け取る権利を有します。 Auth0のユーザーストアに保存されているユーザーデータは、手動またはプログラムでエクスポートできます。Auth0の生データは、JSON形式 (機械可読) でエクスポートできます。詳細については、GDPR: Data Portabilityを参照してください。

ユーザーデータの保護と安全確保

GDPR 第32条に基づき、次の事項を含む (ただし、これらに限定されない) 適切な措置を実施し、十分な水準のセキュリティを確保する必要があります。

データの暗号化
機密性の継続的な確保
データの完全性
処理システムおよびサービスの可用性とレジリエンス

この要件を満たすうえで役立つ Auth0 の機能としては、ユーザープロファイルの暗号化、、、ステップアップ認証などがあります。詳しくは、GDPR: ユーザーデータの保護と安全確保を参照してください。

セキュリティに関する推奨事項

Auth0 では、エンドユーザーのデータを保護し、データ侵害のリスクを最小限に抑えるために、次のプラクティスを推奨しています。

とキーを保護する
Management Dashboard の認証情報を保護し、Dashboard へのアクセスにはを必須にする
Dashboard の管理者一覧を定期的に確認し、不要になったエントリを削除する
Auth0 テナントに関連付けられている接続とアプリケーションの一覧を確認し、不要になったエントリを削除する
Dashboard 管理者が、個人のメールアドレスアカウントなどの個人用認証情報ではなく、必要に応じて容易に無効化できる企業の認証情報を使用していることを確認する
退職した従業員のアカウントを速やかに削除する
管理者が画面ロックを必須とするデバイスを使用していることを確認する
すべての Dashboard 管理者と開発者に対して、セキュリティとプライバシーのベストプラクティスに関する定期的なトレーニングを実施する

ログデータをレポート機能付きのログツールに送信するために使用しているログストリーミングソリューションは、必ず監視してください。

​定義

​GDPRの概要

​適用範囲

​通知と同意

​個人の権利

​プライバシー・バイ・デザインとプライバシー・バイ・デフォルト

​データ処理者とデータ管理者の要件

​施行

​GDPRにおける役割と責任

​Auth0が取り扱う個人データ

​データ管理者 (顧客) の責任

​データ処理者 (Auth0) の責任

​Auth0によるデータ処理

​Auth0 が保持するデータ

​Auth0 データが保存されるケース

​Auth0 が保存するデータの利用方法

​エンドユーザーのアカウントが削除されると、データはどうなりますか

​GDPR コンプライアンスに役立つ Auth0 の機能

​同意の条件

​データへのアクセス、訂正、消去の権利

​データ最小化

​データポータビリティ

​ユーザーデータの保護と安全確保

​セキュリティに関する推奨事項

​詳細はこちら

定義

GDPRの概要