JIRA: Right of access by the data subject
GDPR 第 15 条において、個人は自身に関連するどの個人データが処理されているか、およびその処理の正当性を把握する権利を有します。GDPR では、要求に応じ、この情報を個人に提供するするための正当な手順を踏む必要があります。製品内に保存されている個人データへのアクセス権を個人に提供する必要があるかどうか、およびその処理の妥当性はケースバイケースで異なり、判断を行う際には弁護士に意見を求めることをおすすめします。製品を通じて処理された個人データへのアクセス権を個人に提供する義務があると判断された場合、特定のアトラシアン製品でこれを行う方法について、以降の手順をご確認ください。
説明
Personal Data (PD) for a specific user can be spread across multiple components of JIRA. In this article, we'll detail how to locate and access this data, and we'll also provide workarounds for you, to ensure that you can access all personal data for a specific user if required.
JIRA Core and JIRA Software
Below is a list of key data held by JIRA Software and/or JIRA Core versions 7.0 and above, in a default configuration:
Where JIRA can store PD | Storage location | Accessible Via | 目的 | |
---|---|---|---|---|
1 | Issue Assignee and Reporter Fields | データベース |
|
|
2 | Issue Summaries, Descriptions, and Comments | データベース |
|
|
3 | Issue Worklogs | データベース |
|
|
4 | Issue History | データベース |
|
|
5 | Issue Activity | データベース |
|
|
6 | カスタム フィールド | データベース |
|
|
7 | Saved JQL Filters | データベース |
|
|
8 | Lucene Documents | ファイルシステム |
|
|
9 | 添付ファイル | ファイルシステム |
|
|
10 | アプリケーション ログ
| ファイルシステム |
|
|
11 | 監査ログ | データベース |
|
|
12 | バックアップ | ファイルシステム |
|
|
13 | Support Zips | ファイルシステム |
|
|
14 | Emails | データベース Mail Server Client Systems |
|
|
15 | Webhook | データベース External Systems |
|
|
16 | アバター | ファイルシステム External Systems (Gravatar) |
|
|
17 | User Profile | データベース |
|
|
18 | Application Cache | メモリ ファイルシステム |
|
|
19 | メンション | データベース メール |
|
|
20 | Plugins / integrations | Database / file system / Other |
|
|
21 | Group names | Database / External directory |
|
|
22 | ダッシュボード | データベース |
|
|
23 | JIRA reports | データベース |
|
|
24 | User key | データベース |
|
|
25 | Data pipeline exports | ファイル システム |
|
|
Jira Service Desk
In a default JIRA Service Desk configuration, the following data is stored in database listed below:
Where JSD can store personal data | バージョンの互換性 | Accessible via | 目的 | |
---|---|---|---|---|
1 | 定形返信 | 3.7.x and above |
|
No personal data is logged in the file system for canned responses. You can view this page for more details on canned responses. |
2 | 組織 | 3.3.x and above |
|
|
3 | 承認 | 3.2.x and above |
|
If a specific request type has the approval process enabled, requestors can:
|
4 | 自動化 | 3.0.0 and above |
|
|
5 | Customer portal request view |
|
No sensitive data is logged as part of adding/removing/fetching subscription information. | |
6 | Customer satisfaction feedback |
|
| |
7 | Customer notifications and invite emails |
|
| |
8 | ナレッジベースとの連携 |
|
| |
9 | キュー |
|
| |
10 | JIRA Service Desk Reports |
|
| |
11 | Request channels |
|
| |
12 | リクエスト タイプ |
|
| |
13 | サービス レベル アグリーメント (SLA) |
|
|
回避策
Handling "structured" PD
Obtain PD from a User profile
はじめる前に
You must have the JIRA Administrator or JIRA System Administrator global permission to be able to manage users in JIRA applications.
- Select > User Management.
- ページの一番上にあるフィルターを使用してユーザー一覧からユーザーを探します。
- Click on user Full name in the "Full name" column.
- Store data from "Account information" section for later usage:
- ユーザ名
- 氏名
- メール
- Obtain user "user_key"
Using REST API https://docs.atlassian.com/software/jira/docs/api/REST/latest/#api/2/user-getUser and obtain "key" from the response
curl -u admin:admin http:
//localhost:2990/jira/rest/api/latest/user?username=example_username
{
"self"
:
"http://localhost:2990/jira/rest/api/2/user?username=example_username"
,
"key"
:
"user_key"
,
"name"
:
"example_username"
,
"emailAddress"
:
"johndoe@example.com"
,
"avatarUrls"
:{
"48x48"
:
""
,
"16x16"
:
""
},
"displayName"
:
"John Doe"
,
"active"
:
true
,
"timeZone"
:
"Australia/Sydney"
,
"locale"
:
"en_AU"
,
"groups"
:{
"size"
:
2
,
"items"
:[]},
"applicationRoles"
:{
"size"
:
2
,
"items"
:[]},
"expand"
:
"groups,applicationRoles"
}
In
this
example user key has value
"user_key"
Using an SQL query
SELECT user_key FROM app_user WHERE lower_user_name = LOWER(
'[username]'
)
Check data in user properties:
- Choose Actions > Edit Properties. The Edit User Properties screen will be displayed. Check if any PD is defined there.
Handling "free-text" PD
Handling PD in JIRA issues
You'll only get search results for entities you have the right to view. Make sure you have full admin rights is you want to scan for all instances of PD.
There may be some fields that you don't have access to. If "none" is selected for custom field Search Templates, then JQL searching will omit this field. Such fields have limited processing and nobody will be able to perform the search by this field's value.
- Go to issue search and search for sensitive data. From top menu, choose Issues > Search for issues.
- Click Advanced.
- Type JQL: "text ~ 'clause to search'" and click the search icon. It should search in: comments, description, summary, environment, worklogs + text searchable custom fields.
- Check or update the required data.
Handling PD in the audit log
Go to the audit log page, and search for PD.
For more information, please view Auditing in Jira.
Handling PD in other entries
Dealing with free-text:
You have to modify the provided SQL file - replace <OLD_VALUE> with the PD that you are searching for.
Execute the "Select" script from the SQL file manually table by table, each table description should contain additional information on the purpose of the table. We recommend (if possible) to view and amend data using the UI.
Use these SQL scripts for JIRA Core and JIRA Software:
スクリプト
SELECT oracle • mysql • postgresql • mssql
If you have JIRA Service Desk, you'll need to run the JIRA Core scripts above, and then run these JIRA Service Desk specific SQL scripts:
スクリプト
SELECT oracle • mysql • postgresql • mssql
Handling PD in Logs
As an administrator, you would need to manually search each log as detailed on the JIRA Server: Right to erasure page for PD.
Handling PD in backups
JIRA can generate backups of it's data, and this is performed by the administrator. How these backups and the data they contain is governed is up to each administrator and their respective organizations to decide.
制限事項
- If you have stored PD inside attachments, this article will not help surface that PD as we have no way of reading what is stored in each attachment.
- Access to the database is required to run any SQL scripts.
その他の注意事項
お使いの製品バージョンに応じた制約がある可能性があります
上記に関連する GDPR 回避策は、本製品の最新バージョン用に最適化されていることにご注意ください。製品のレガシー バージョンを実行している場合、回避策の効果は限定的である可能性があります。この記事で案内されている回避策を最適化するには、最新の製品バージョンにアップグレードすることを検討してください。
サードパーティ製アドオンは、独自のデータベース テーブルまたはファイルシステム内に個人データを保存する可能性があります。
GDPR コンプライアンスへの取り組みに関する上記の記事は、アトラシアンのサーバーおよびデータセンター製品内に保存されている個人データのみを対象としています。サーバーまたはデータセンター環境にサードパーティ製アドオンをインストールしている場合、お客様のサーバーまたはデータセンター環境でアクセス、転送、または処理する可能性がある個人データと GDPR コンプライアンスへの取り組みについて、サードパーティのアドオン プロバイダにお問い合わせください。
サーバーまたはデータ センターのお客様の場合、アトラシアンはお客様が製品内で保存するように選択した個人データへのアクセス、保管、または処理は行いません。アトラシアンが処理する個人データの詳細については、プライバシー ポリシーを参照してください。