GDPRとは?
GDPRとは、General Data Protection Regulationの略。エンドユーザーの個人情報を保護するためにEUで施行された新しい法律です。この法律は、データセキュリティのいくつかの側面を強化するものです。ここでは、私たちがどのようにお客様のデータを保護するか、私たちの責任は何か、お客様の責任は何かについて、ガイドラインを提供したいと思います。私たちは、GDPRに関する私たちの文書や他の記事をすべて読み、あなたが私たちのアプリケーションを使用するかどうかを決定することを強くお勧めします。当社は、お客様の側または第三者の側におけるデータ保護に関するいかなる過失または欠陥についても責任を負いません。時間をかけてドキュメントを読み、賢く行動し、安全に過ごしてください。
個人データの定義
個人が所有するあらゆるデータは、その人の個人データです。それは誰かの名前、画像、電子メールアドレス、物理的な住所、ソーシャルメディアの投稿、場所、コンピュータのIPアドレスなどである可能性があります。ユーザーの個人データの所有権は、絶対的なものです。つまり、データがどこに、どのように保存されようとも、それはユーザーのみに帰属するのです。データ収集者またはデータ利用者(フェイスブック、ユーチューブ)は、利用者の明示または黙示の許可なしに、利用者の個人データを表示、保存、共有、またはその他の活動を行うことはできません。もし、ユーザーが自分のデータを特定の種類の行為(データの保存、データの閲覧など)に使用する許可を与えた場合、アプリケーションの管理者はそれを使用することができます。これを視覚化するために、仮想的な状況を考えてみましょう。あなたはソーシャルメディアにあるステータスを投稿します。ここであなたは、公開または非公開の連絡先にその投稿を表示することを暗黙のうちに許可しています。アプリケーションの管理者は、あなたの連絡先から投稿されたあなたの投稿に対するいかなる罵倒のコメントに対しても責任を負いません。つまり、自分のデータを公開した場合、それは自分の責任となります。しかし、アプリケーションの管理者は、第三者とのデータの共有について責任を負いません。もし、データを共有する場合は、事前に明示的に言わなければなりません。このように、データのアップロードと公開は、アプリの管理者とユーザーの双方に依存することがわかります。詳細については、ドキュメントをお読みください。
開発者の責任
アプリケーションのバックエンドにおけるユーザの個人データの保護は、開発者の責任です。開発者は、ユーザーデータ(名前、電話番号、電子メールなど)やその他の情報(ユーザーとアプリケーションとの対話のログなど)がデータベースやサーバーにどのように保存されるかに責任を負います。私たちは、あなたが直接送信したデータ(名前、電子メールなど)および間接的(ブラウザ名、コンピュータのIPなど)がデータベースとサーバーに保存される方法を詳細に説明します。一度サーバーにアップロードされたデータのセキュリティは、サーバーのセキュリティに依存し、時にはアプリケーションの管理者に依存します。ユーザーは、一時的(クッキーとセッション)および永続的(データベースに保存されたデータ)なデータ保存について、すべて通知されます。ユーザーは、アカウントの削除またはサービスのキャンセル時に、すべての個人データを永久に消去するオプションを得ることができます。我々は、我々はユーザーの活動のログとユーザーデータを抽出するために他のバックドアを保持しないことを保証します。アプリ管理者のcpanelアクセスやその他のクレデンシャルは、アプリケーションが完全にオンラインになる前の短期間、開発者がアプリケーションのサポートやメンテナンスのために必要とすることがあります。私たちは、アプリの管理者に、作業が完了した後にこれらのクレデンシャルを変更することを強く推奨します。開発者は、この理由によるクレデンシャルの漏洩について責任を負いかねます。また、開発者は、アプリケーションの不本意なセキュリティ上の不具合についても責任を負いません。結局のところ、オンラインで共有されるデータには、常に漏洩のリスクがあります。ですから、あなた以外の個人を危険にさらすようなデータは共有しないことを強くお勧めします。
アプリケーション管理者の責任
アプリケーション管理者は、ユーザーの個人情報に無制限にアクセスすることができます。管理者は、データベース、サーバーのログ、その他管理者がアクセスできるあらゆる情報にアクセスすることができます。アプリケーションの管理者は、データベースやサーバーに保存されているデータを見たり、コピーしたりすることができます。アプリケーションの管理者は、ユーザーの個人データを第三者に提供することができます。ユーザーのデータがどのように使用されるかは、ユーザー登録前にアプリの管理者が明示的に公表する必要があります。管理者は、アンケート、フォームへの入力、その他の手段を用いて、公然と、または偽装してデータを抽出することを許可してはならない。アプリの管理者は、アプリ上で最も多くの特権を享受しています。そのため、管理者はユーザーの個人データを安全に管理するという最も高い責任を負っています。
ユーザーの責任
それはすべてユーザー次第です。もしユーザーがデータを提出しなければ、データ漏洩は起こらないでしょう。しかし、これはオプションではありません。ユーザーの最優先事項は、アプリ開発者とアプリ管理者の両方のドキュメントをすべて読み、データを提出することです。ユーザー自身のクレデンシャルを安全に保管することは、ユーザー自身の責任です。パスワードとユーザー名はデータベース上で暗号化されているかもしれませんが、特定のユーザーに対する辞書的な単語や予測可能なパスワードは、ハッカーにユーザーのアカウントに簡単にアクセスさせることができます。不正な人物による不審な行動や、不可避な理由で自分のクレデンシャルを他人と共有した場合は、クレデンシャルを変更してください。送信する前に必ず考えてください。
GDPRに関する私たちの行動
- できるだけ少ないデータを収集します。ユーザーの必要性を伝えるか、特定のデータを収集します。
- httpsを強制します。
- ログアウト後にすべてのセッションとクッキーを破棄します。
- 営利目的でユーザーの活動を追跡しません。
- コンピュータのIPと位置情報を保存するログをユーザーに伝えます。
- 規約が明確であること。
- 第三者と共有するあらゆるデータについてユーザーに通知します。
- データ漏洩に関する明確なポリシーを作成します。
- サブスクリプションのキャンセルまたはアカウントの削除に関するデータを削除します。
- Webの脆弱性を修正します。
サポートされているGDPR機能
アプリケーションの削除: サブスクリプションをキャンセルしたり、アカウントを削除すると、アカウントに関連するすべてのデータを削除するオプションがあります。このアクションは不可逆的であることに注意してください。削除に「はい」と答えた瞬間に、あなたのデータはデータベースとサーバーから永遠に消去されます。削除する前にデータをバックアップしておくと、再契約や再登録の際に便利です。
秘密保持は私の権利です: 私たちは、お客様の個人情報のほとんどをデータベース上で暗号化しています。もし何か悪いことが起こった場合(データ漏洩)、ハッカーはあなたの個人情報ではなく、暗号化されたハッシュを平文で入手することになります。そのため、万が一データ漏洩が発生した場合でも、あなたの秘密は守られます。ただし、アカウントにログインする際に表示する必要があるため、暗号化できないデータもあります(ユーザー名など)。個人情報は可能な限り隠します。
クッキーとセッションを保存しない:クッキーとセッションを保存するかしないかのオプションを提供します。たとえクッキーとセッションを保存しても、ログアウト後にこれらは破棄されます。ブラウザにクレデンシャルを保存しないことを強くお勧めします。クレデンシャルを記憶しておくか、lastpassのようなツールを使ってクレデンシャルを管理してください。
足跡を消す: 私たちは、いかなる商業的な目的のためにも、お客様の活動を保存または追跡することはありません。私たちは、セキュリティ目的でのみ、あなたのログイン時間やIPを保存することがあります。あなたがアカウントを削除すると、あなたのデータのすべての部分がサーバーから削除されます。
ソーシャルエンジニアリングによる不正行為を是認しません: 私たちは、アプリケーション上でユーザーの個人的な活動を記録することはありません。ユーザーの個人的な行動を記録し、それを分析し、製品を販売しようとしたり、分析したデータに基づいて特定の考えを追求するようユーザーを動機付けることは、不正行為になりつつあります。私たちはそのようなことはしません。
通知する: アカウントに関するすべての活動(アカウント作成、パスワード変更)について、メールで通知されます。何か異常が発生した場合は、クレデンシャルを変更することをお勧めします。
ポリシーの更新通知:プライバシーポリシーや免責事項の更新があった場合、通知を受けることができます。この件に関するメールを読んで、あなたの行動を決定してください。この件に関するご相談はお気軽にどうぞ。
安心して接続できる:あらゆる場所でHTTPSを強制的に導入しました。この場合、データのスニッフィングは不可能です。たとえ可能であっても、スニファーは暗号化されたハッシュを取得します。だから、安心して私たちのアプリケーションを使用してください。
データ収集はしません: 私たちは、ユーザーのデータを収集することはありません。データを収集するためのバックドアや隠しオプションはありません。アプリケーションをサーバーにアップロードした後でも、アプリの管理者パスワードがなければアプリケーションに入ることはできません。だから、隠されたデータの漏れを心配する必要はありません。
データ漏洩対策: 私たちは、お客様のデータをデータベース上に慎重に保存するために、あらゆるセキュリティ(データの暗号化、MySQLi、SQLインジェクション防止、入力チェックなど)を実施しています。しかし、私たちはサーバーからのデータ漏洩の責任を負いません。なぜなら、アプリの管理者とサーバーの管理者の全責任で、お客様のデータを漏洩から保護する必要があるからです。アプリの管理者やサーバーの管理者のパスワードが弱かったり、予測しやすかったりすると、データベースを危険にさらす可能性があります。データベースの設定に固有の欠陥があれば、データベースが漏洩する可能性がある(MongoDBのセキュリティフォールト)。サーバーにセキュリティ上の欠陥があると、データの漏洩につながる可能性があります。この点については、アプリの管理者に連絡してください。