Crowd: Right to erasure
はじめに
GRPR の第 17 条において、個人には個人データの削除権が保証されています。これは、"忘れられる権利" としても知られます。この権利は絶対的なものではなく、特定の状況でのみ適用されます。個人データの削除の削除について、個人の要求に対応するために必要となる妥当な対応の範囲は場合によって異なるため、弁護士に相談することをおすすめします。個人データの削除義務があると判断された場合は、特定のアトラシアン製品内でこれを実行するための方法について、以降の手順をご確認ください。
製品に保存される個人データは、1) アカウントレベルの個人データと 2) フリーフォーム テキスト形式の個人データに区別されます。アカウントレベルの個人データとは、製品内に存在し、製品で各ユーザーを区別するためにのみ使用されるデータ フィールドです。アカウントレベルの個人データの例には、ユーザーの表示名、プロファイル画像またはアバター、メール アドレスが含まれます。これらのデータ要素は通常ユーザーのプロファイル内で確認でき、スペースやコンテンツ内でユーザーが @メンションやタグ付けされた場合にプロフィールを参照できるようにするため、製品全体で使用されます。構造化された個人データ要素を削除すると、製品内で関連する構造化データ要素が表示される箇所やデータベース (後述の制限事項を参照) からデータ要素が取り除かれます。
フリーフォームのテキスト形式で個人データを追加していた場合 (コンテンツのスペースへの入力やカスタム フィールドのラベル名など)、製品のグローバル検索機能を使ってこのような個人データを検出し、個別に削除する必要があります。
説明
Crowd stores and processes a user's personal data, as part of its primary function as a user management product. Personal data is stored in the external database, in the following places:
| 場所 | データ タイプ |
|---|---|
| cwd_user table | username, first, last name, displayname, email address |
| cwd_application_alias table | username and application alias assigned to the user, if any |
| cwd_token table | username of users with active SSO sessions |
cwd_audit_log_changeset cwd_audit_log,entity cwd_audit_log_entry | username, first, last name, displayname, email address as a part of the Crowd audit log |
バージョンの互換性
All workarounds are compatible with Crowd 3.2 and later.
回避策
To remove a specific user's personal data from Crowd, do the following:
- Remove the user alias on the user screen, by following the steps at Specifying a User's Aliases.
Note that aliases are currently not removed automatically when the user is removed. If you are going to remove the user in Crowd, you should remove the aliases first. - Expire the user's sessions in the Current Sessions screen (in the administration menu), by following the steps at Managing a User's Session.
- Delete the user's personal data in cwd_user by removing the user from the directory.
Depending on the directory type, and how the directory is configured in Crowd, the steps will differ.- For Internal directories you need to remove the user in Crowd's UI, by following the steps at Deleting or Deactivating a User.
- For Delegated authentication directories, you need to remove the user in both the LDAP directory and then in Crowd, by following the steps at Deleting or Deactivating a User.
- For Connector directories (both cached and uncached), and for Azure AD directories, you need to remove the user in the source LDAP or Azure directory.
- If the directory is configured as a cached directory, you need to perform a synchronization to remove the user from Crowd.
- For Remote Crowd directories, you'll need to first remove the user from the directory in the remote Crowd instance (follow the steps for one of the directory types above), and then perform a synchronization to remove the user from Crowd, by selecting Synchronize Now at the directory screen.
制限事項
The audit log holds the history of configuration and user personal data changes, for auditing and compliance purposes. Currently, there is no way to delete a specific user's personal data from the audit log.
Audit log entries are automatically removed after a specified time (by default 6 months). When old audit log entries are removed, related user personal data will no longer be stored in Crowd's audit log tables. If you determine that a user's personal data stored within audit logs is within the scope of personal data you need to erase, you could change the audit log's retention period so that it automatically removes the offending entries. Learn more about changing the audit log retention period for Crowd.
その他の注意事項
お使いの製品バージョンに応じた制約がある可能性があります
上記に関連する GDPR 回避策は、本製品の最新バージョン用に最適化されていることにご注意ください。製品のレガシー バージョンを実行している場合、回避策の効果は限定的である可能性があります。この記事で案内されている回避策を最適化するには、最新の製品バージョンにアップグレードすることを検討してください。
サードパーティ製アドオンは、独自のデータベース テーブルまたはファイルシステム内に個人データを保存する可能性があります。
GDPR コンプライアンスへの取り組みに関する上記の記事は、アトラシアンのサーバーおよびデータセンター製品内に保存されている個人データのみを対象としています。サーバーまたはデータセンター環境にサードパーティ製アドオンをインストールしている場合、お客様のサーバーまたはデータセンター環境でアクセス、転送、または処理する可能性がある個人データと GDPR コンプライアンスへの取り組みについて、サードパーティのアドオン プロバイダにお問い合わせください。
サーバーまたはデータ センターのお客様の場合、アトラシアンはお客様が製品内で保存するように選択した個人データへのアクセス、保管、または処理は行いません。アトラシアンが処理する個人データの詳細については、プライバシー ポリシーを参照してください。