GDPR 準拠

Easy Software は、個人情報保護に真剣に取り組んでいます。一般データ保護規則(GDPR)として知られる欧州の規制は、すべての組織に多くの課題をもたらし、最も反響の大きいビジネストピックの1つとなりました。

私たちの使命は、Easy Redmine のお客様や、基本的にすべてのコミュニティに、データ処理事業者のすべての義務を効率的に果たすことができる信頼できるソフトウェアを提供することです。

この文書は次に対する答えを提供しています:

  • 私はデータ処理者ですが、Easy Redmine で GDPR を遵守するにはどうすればよいでしょうか?
  • Easy Redmine クラウドを利用していますが、このサービスは GDPR に対応していますか?
  • Easy Software がすべてのセキュリティプロセスを実施しているかどうかを知りたい

1. 用語

Easy Software は Easy Redmine の開発企業です。

Data Controller(データ管理者) – 個人データの処理の目的、条件、および手段を決定する主体を指します。この文書の目的上、それはあなたの組織です。

Data Processor(データ処理者) - Data Controller に代わってデータを処理する主体を指します。この文書では:

  • Easy Redmine クラウドのお客様: Easy Software はデータ処理者であり、データは、データ処理者であるお客様が Easy Redmine クラウドアプリケーションで設定したルールに基づいて、当社のクラウドサービスで処理されます。
  • Easy Redmine を自社のサーバーでお使いのお客様: Easy Software はデータ処理者ではありません。しかし、Easy Redmine はお客様のデータを適切に整理するのに役立ちます。

Easy Redmine は、データ管理者がデータを処理するために使用しても、使用しなくてもよいアプリケーションです。

2. イントロダクション

Easy Redmine の開発元である Easy Software は、GDPR 規制に伴うデータ管理者の義務を果たすために、Easy Redmine のアップデートを行います。

同時に、当社のクラウドのお客様には、データ処理者としての Easy Software に関する情報を提供しています。

また、Easy Software は、GDPR の発効日までに、すべてのプロセス、契約、サプライヤー、データアクセスなどが GDPR の要件に完全に準拠することを宣言します。

3. すべてのデータ管理者のための Easy Redmine

以下の記述及び機能は、2018 年 4 月末までに展開/更新されます。

Easy Redmine は、データ管理者に対する GDPR の具体的な要求と、データの安全性を高めるために以下の機能を備えています。

  • 拡張されたパスワードポリシーの実施
    • パスワードの最小長さ、英字、数字、特殊文字の仕様の定義
    • パスワードの有効期限とパスワードの繰り返しの制御
    • 一定期間経過後のユーザーの自動サインオフ
    • ユーザーの役割や権限を操作する際に、パスワードを再入力する機能を実装
  • GDPR 固有の機能:
    • 忘れられる権利: 連絡先を削除することは伝統的な機能ですが、連絡先がプロジェクト、タスク、CRM、その他のエンティティにリンクしている可能性があるため、データの一貫性やレポートなどに支障をきたす可能性があります。また、お客様のプロファイリングに関するデータが破損してしまいます。連絡先の匿名化では、個人を特定できるような連絡先のデータは削除できますが、お客様のサービスやタスクなどの匿名データは残ります。
    • アクセスする権利: 連絡先情報を XML(Automated Readable Format)で出力するボタンがあれば、収集したデータを個人情報として提供する義務を果たすことができます。
  • データの可視性の制限 – GDPR では、データ管理者が個人データへのアクセスを必要な人だけに制限することが重要な要件となっています。Easy Redmine では、この問題にいくつかのアプローチがあります:
    • 連絡先への一般的なアクセスの制限
    • 特定の連絡先タイプにのみアクセスできるように制限。通常、会社タイプの連絡先にはだれでもアクセスでき(会社は GDPR の対象外)、個人タイプの連絡先へのアクセスは選択されたユーザーのみに制限されます。そのため、許可を得ていないユーザーは、連絡先がリンクされていることはわかりますが(名前だけはわかります)、個人を特定できるような他のデータは見ることができません。
    • ファイルの可視性のカスタマイズ – 特定のデータを次の人にのみ表示できるように制限することができます:
      • a) ユーザー / ユーザーのリスト
      • b) ユーザーグループ / ユーザーグループのリスト
      • c) ユーザータイプ / ユーザータイプのリスト
    • ユーザー操作の監査
      • Easy Redmine は、表示操作を含むユーザーの操作に関する完全なログを提供します。
      • Easy Redmine には、社内プロセスを満たすためにログを管理する機能があります。
    • データの可視性の制限 – GDPR では、データ管理者が個人データへのアクセスを限定することが重要な要件となっています。

ステップ・バイ・ステップで GDPR に対応するには

  • Easy Redmine でどのような個人情報を収集しているかを確認します。
  • すべての個人情報は、Easy Redmine のネイティブフィールドではなく、カスタムフィールドに入力しなければならないという社内規定を作ります。しかし、おすすめの方法は、すべての個人データを Contacts(連絡先)のみに保存することを決めることです。
    • 匿名化や忘却の権利を利用したい場合は、すべての個人データを連絡先に登録しなければならないという規定を定めます。
    • 匿名化のための消去の対象となるデータを特定してください。Contacts のカスタムファイル設定で行うことができます。
    • Easy Redmine のどのユーザーが連絡先にアクセスする必要があるかを決定し、連絡先の種類のよってアクセスを制限します。
    • すべてのユーザーがすべての連絡先にアクセスできるが、一部のユーザーは限られたデータセットにする必要がある場合は、カスタムフィールドの可視性を設定してください。
  • Contacts の外にあるどのカスタムフィールドを保護する必要があるかを特定し、それに応じてデータの可視性を設定します。
  • Easy Redmine のパスワードポリシーを強化します。
  • 忘れられる権利:
    • すべてのシステムから個人情報を削除するためのすべてのステップを詳細にルール化するプロジェクトテンプレートを定義することを推奨します。依頼が来たら、すべてのステップが社内のプロセスに沿って行われたことを簡単に記録することができます。
  • ユーザー操作の監査データ(ログ)の保存期間を規定し、Easy Redmine で設定します。

4. クラウドの Easy Redmine

Easy Software は、Easy Redmine をクラウドサービスとして提供しています。クラウドのお客様にとって、Easy Software はデータ処理者として機能します。データ処理者として、私たちは以下の理由で GDPR の要件を満たしています:

  • Easy Software は、データへの潜在的なアクセスを、例外的に要求された場合にのみ制限するための技術的およびプロセス上の措置を講じています。
  • あなたが EU の組織である場合、あなたの Easy Redmine インスタンス(およびそのデータとディザスタ・リカバリサイトのバックアップ)が EU 内に保存されていることが保証されます。
  • Easy Software は、ハイエンドのセキュリティを備え、関連するすべての ISO 認証を取得した検証済みのデータセンターのみを使用しています。詳細はご要望に応じて提供します。
  • 定期的なバックアップ、ブラウザの HTTPS 化、バックアップの転送には SSH-2 による暗号化を採用しています。ファイアウォールは HTTPS に制限されており、その他の通常の設定は GDPR の要件を満たしています。クラウドの詳細はこちらを参照してください。
  • プライベートクラウドでは、専用のサーバー(HW)を子熱に設定することで、セキュリティをさらに高めることができます。
  • Easy Software Ltd. は、イギリスの会社ですが、GDPR 規制は組織のすべての側面、すべての製品とサービスに対して実施されました。

5. Easy Software とあなたの個人情報

Easy Software は、プロジェクト管理プラットフォームの開発元です。Easy Software は、BtoB の商業組織です。これは、収集されたすべてのデータが、Easy Software のビジネスと組織向けサービスのサポートに役立つことを意味します。

GDPR の規定により、収集された個人のデータもあり、それらは GDPR の保護下にあるデータとみなされます。

5.1. 収集される個人情報

  • 氏名
  • 電話番号
  • Eメール
  • 会社名
  • 役職
  • Easy Software の製品のために取得したトレーニングや認定
  • Easy Software 製品ページの訪問に関連した履歴
  • IP アドレス

5.2. データ収集、処理、およびプロファイリングの目的

Easy Software は、次の目的でデータを収集します:

  • 組織との商業的協力関係を構築する。そのために、Easy Software はそのような組織の担当者のデータを収集することがあります。
  • 既存のお客様の組織にサービスを提供し、その目的のために Easy Software はそのような組織の連絡先担当者のデータを収集することがあります。
  • お客様や潜在的なお客様に、新機能やリリース、その他情報提供やマーケティング的なメッセージを伝えます。

収集:

  • 個人に関する情報は、すべてコンタクトフォームから収集しています。
  • Easy Software は、外部ソースからの個人に関するデータを保有または使用することはありません。

データの組み合わせとプロファイリング:

  • Easy Software は、個人をプロファイリングすることはなく、収集されたデータはすべて組織内の連絡先情報としてのみ使用されます。
  • Easy Software は、マーケティングおよびビジネスの目的で組織をプロファイルしています。これらは分析の対象ではありません。
  • Easy Software は、Entity Contact または Entity CRM 城の独自の情報システム(Easy Redmine)のすべてのデータを結合します。他のシステムでは、データの断片のみを使用しているため、GDPR ではデータとみなされません。

個人情報の取り扱いに関する原則

Easy Redmineの30日間無料トライアルをお試しください

ローカルのリージョンサーバーで、フル機能、SSL保護、日時バックアップ