Todoist セキュリティ、プライバシー、コンプライアンス


この記事で私たちが目指すのは、次の事項に関するお客様からのすべての質問に回答することです: 当社がお客様の個人情報をどのように扱っているか、当社が行っているセキュリティ対策、GDPR 等のグローバルな規制に対する当社のコンプライアンス。

ヒント

お客様の情報を守るために当社が行っている対策に関する詳細は、当社のプライバシー ポリシーセキュリティ ポリシーにまとめてありますのでそちらをご覧ください。

セキュリティ

セキュリティは、お客様のデータを不正アクセス、漏洩、その他の脅威から守るために当社が実施する対策とプロトコルに関するものです。セキュリティには、お客様のデータの機密性を守り、お客様のデータが欠けることなく、利用可能な状態にしておくために当社が行っている技術的、手続き的な予防手段も含まれます。

当社は、特別な理由において Todoist と Twist の改善のためにアクセスが必要な、ごく限られた数の従業員のみにしか個人データへのアクセスを認めていません。

私たちは、当社のプロセスやテクノロジーの効果性を常にテストし、評価しています。

当社は暗号化を使ってデータを保護しています。

A: ユーザー データがサーバーおよびデータベースに保存された場合、当社は AES 256 暗号化を使用します。データの送受信を行う時は、TLS 1.1 かそれ以上で暗号化されます。データのバックアップは AES 256 で暗号化され、2048 の鍵長を持つ RSA で署名されます。

さらに、Todoist プロおよびビジネスのユーザーのために、毎日アプリ内で自動的にバックアップが作成されます。当社は不正アクセスを防止するセキュリティ システムを維持し、当該バックアップ データを十分に保護するための防衛対策を講じています。

GDPR には様々な要件があるため、お客様のコンプライアンスのニーズはご利用環境や種々の条件によって異なります。ご質問やご要望などがありましたら、当社にお問合せください。

デフォルトの個人ワークスペースの個々のプランで Todoist をご利用の場合、Doist はデータ プロセッサーとみなされます。つまり、Doist はユーザー データの処理方法を管理し、GDPR 適用の範囲内におけるデータ処理に対して責任を負います。当社サービスをご利用いただくことで、お客様は当社の共有機能においてお客様のコンテンツを承認済みの他のユーザーと共有する権利を Doist に付与します。

お客様のコンテンツを他の Todoist ユーザー(チーム ワークスペースまたは個人ワークスペース内の共有プロジェクトを含む)と共有することによって、お客様はこれらの各ユーザーに当社サービスを通じてお客様のコンテンツにアクセスする、(同コンテンツを)使用する、複製する、分配する、表示する、編集する、実行する、その他これらのコンテンツに関与する権利を付与します。お客様がチーム ワーク スペース(この場合、組織とみなします)を作成またはこれに参加する場合、お客様は当該組織のポリシーとお客様とその組織間の契約に準拠することに同意します。つまり、組織が各ワークスペースのすべてのユーザー コンテンツの所有者になります。組織のワークスペースのすべてのユーザー コンテンツは、組織と共有することができ、組織によって改変、削除、アクセスが可能です。組織は、お客様が組織のワークスペースにアクセスすることをいつでも終了することができ、お客様はそのワークスペースのご自分のコンテンツにアクセスできなくなる可能性があります。組織のワークスペースにコンテンツを移行することで、お客様は組織にお客様のユーザー コンテンツの幅広い権利を付与します。

当社 API からデータへの完全なアクセスを提供しています。当社に提供された、および / またはその他プロバイダ / サービス / 連携機能に転送された個人データは、同 API から取得することが可能です。Todoist および Twist の API は以下を参照ください。

https://developer.todoist.com/sync/v7/#getting-started

https://developer.twistapp.com/v2/

お支払い情報および連携機能は当社 API からご利用することはできませんのでご注意ください。当該情報を取得されたい場合や、お客様のデータをエクスポートするのにサポートが必要な場合は、当社にお問い合わせください。

タスクやコメントなどのユーザー コンテンツは当社のデータ ストアに保管され、インターネット トラフィックアから遮断され、当社内には厳格なアクセス ポリシーがあります。

ユーザー コンテンツへのアクセスは監査の対象となり、複数の認証プロセスが必要で、明確なビジネス上の目的がある場合にのみ許可されます。つまり、社員がユーザー コンテンツにアクセスする場合は、必ず他の社員がそのことを把握しています。ユーザー コンテンツへのアクセスが必要になるケースは稀です。

はい。時間が少し経過した後に削除されます。システムは最初に削除済みと記録し、その後実際に削除します。ソフト デリート(論理削除)で確実にクライアント アプリケーションからのコンテンツ アクセスを不可にします。ハード デリート(物理削除)はその後で時間を遅らせて行います。このシステムにより、Todoist では複数のデバイスで同期できるようになっています。削除済みのマークを付けることで、同期アルゴリズムで競合する日付の問題を解決できるようになっています。

ユーザー コンテンツはデータベース バックアップにもあります。これは事業継続の目的のために保管されており、データの甚大な損失、長期間データが使用できない場合や、データ破損が生じた場合に使用されます。すべてのデータはバックアップも含めて暗号化されています。現在まで当社でデータベース バックアップの使用が必要になったことはありません。

データベース バックアップでは、各ユーザーのデータへのアクセスを許可しません。代わりに、ライブ データベースに復元することができ、そこでは通常のデータ アクセス制御が適用されます。バックアップは自動的にローテーションされ、95 日以上は保持されません。

プライバシー

プライバシーは、お客様のデータを当社がどのように収集、使用、管理しているかに関することです。お客様の個人情報が、確実にお客様の権利や期待を尊重する形で用いられるようにすることに関係します。

Doist が収集するデータは、当社サービスを提供するために必要とされるもので、Todoist および Twist の品質改善に使用しています。

Todoist および / または Twist に登録される際、お客様は自主的にお名前やメールアドレスなどの情報を当社に提供します。お客様は、アカウント設定からいつでもこの情報にアクセスし、この情報を更新できます。

加えて、当社のサービスを利用することにより、お客様は当社が以下のデータを使用することに同意するものとします。

  • メールアドレス
  • IP アドレス
  • 端末 ID
  • 名前、名字(任意。処理は行いません)
  • 職業(任意。処理は行いません)
  • 電話番号(任意。処理は行いません)
  • VAT ID(任意)
  • 請求書送付先住所(プロとビジネスのみ)

お客様の個人データをエクスポートするには、当社にお問い合わせください。

当社 API からデータへの完全なアクセスを提供しています。当社に提供された、および / またはその他プロバイダ / サービス / 連携機能に転送された個人データは、同 API から取得することが可能です。Todoist および Twist の API は以下を参照ください。

お支払い情報および連携機能は API からご利用することはできませんのでご注意ください。当該情報を取得されたい場合は、当社にお問い合わせください。

いいえ。当社がデータを販売することはありません。

アカウントを削除すると、当該アカウントのすべての個人データが当社のプロダクション システムから削除されます。また、あなたのデータを暗号化したコピーだけが当社のバックアップ アーカイブに 90 日間保管されます。この期間を過ぎると、あなたのアカウントに関するすべての情報は永久に削除されます。なお、ご依頼があっても当社はバックアップ アーカイブから暗号化されたコピーを提供することはありませんのでご了承ください。

当社では、お客様のブラウジング アクティビティに関する情報を収集することと、お客様を他の Todoist ユーザーから区別するためにクッキーを使っています。クッキーを使用することにより、お客様の当社アプリ使用時のエクスペリエンスをサポートするとともに、アプリ機能の向上にも役立てています。

当社では下記のクッキーを使用しています:

  • 不可欠なクッキー: ログイン機能、ユーザー認証、セキュリティに必要です。
  • 機能性クッキー: お客様が当社ウェブサイトを再訪したことを認識し、当社のコンテンツをお客様のためにパーソナライズしたり、お名前を使ってあいさつしたり、お客様の好みを記憶したりすることができます。
  • 分析&広報 クッキー: ユーザーの皆様がどのように当社製品に関わっているかを理解するために使われます。当社では、いくつかのサードパーティ クッキーを使用しています: Google Analytic(ウェブサイト トラフィックとユーザー行動の分析)、Datadog(ウェブ パフォーマンスおよびユーザー エクスペリエンスのモニタリング)、Zendesk(画像の読み込みおよび、サポートまたはヘルプ センター サービスの提供)、YouTube(ヘルプ センター ページでのビデオの表示)、Cloudinary(画像の読み込みと最適化)。

当社では GDPR 準拠のサードパーティ サービスと Stripe、AWS、Google Workspace などのホスティング パートナーを使用しています。これらのケースでは、サードパーティからのデータの送受信に関してGDPR に準拠するように必要なセキュリティ対策を講じています。詳細については、Todoist のセキュリティおよびプライバシーポリシー、ならびに Twist のセキュリティおよびプライバシーポリシーをご覧ください。

必要な場合、当社は GDPR に準拠した以下のサードパーティ サービスを使用します。

  • Amazon Web Services
  • ChartMogul
  • CloudBees Rollout
  • Datadog
  • Dosu
  • Meta (Facebook)
  • Firebase
  • Google アナリティクス
  • MailChimp
  • Mailgun
  • Microsoft Azure
  • Microsoft Visual Studio App Center
  • PartnerStack
  • ProfitWell
  • Qualaroo
  • RequestMetrics
  • SendGrid
  • Sentry
  • Stripe
  • Zendesk

はい。当社はアマゾン ウェブ サービス(AWS)を使用して、米国のバージニア州北部でデータを処理します。当社は最小限のデータしか収集せず、またすべてのデータは AES 256 を使用して暗号化されています。

コンプライアンス

コンプライアンスは、お客様のデータの取り扱い方に関する法律、規則、基準を当社が遵守することに関係します。コンプライアンスは、ユーザーとしてのお客様の権利を保護するために、当社の業務が確実に法的、規則的な要件に合致するようにします。コンプライアンスには、当社がこれらのルールに従っており、これらの維持に当社が責任を持つことを示すことも含まれます。

GDPR

Doist では、2018 年 5 月 25 日をもって同法に完全に準拠しています。EU 一般データ保護規則(GDPR)は、欧州連合(EU)内の住民および市民のために、個人情報がどのように収集、処理、保管されるかを明記することにより、当該データを保護するための規則です。

はい、Doist では違反することはありません。GDPR が適用される法域で事業を運営されている場合はもちろんご自身でその事業が GDPR に準拠しているかを確認される必要があります。

はい。当社は Doist を代表して事前に署名された DPA を提供しています。こちらから詳細を記入し、署名していただくことで完了します。

SOC 2 と HIPAA

現時点では、 当社ではまだ SOC 2 または HIPAA 認証を目指していません。とは言え、お客様とお客様のチームが Todoist を採用するのに必要なコンプライアンスの認証要件について、様々なことを学びたいと思っています。ぜひ当社にお知らせください

お問い合わせ

ご不明な点がございますか?当社にお問い合わせください。私たち - ピエール、マルコ、サマーと他 14 名のチームメイトが喜んで対応いたします!