Todoist セキュリティ、プライバシー、コンプライアンス


この記事で私たちが目指すのは、次の事項に関するお客様からのすべての質問に回答することです: 当社がお客様の個人情報をどのように扱っているか、当社が行っているセキュリティ対策、GDPR 等のグローバルな規制に対する当社のコンプライアンス。

ヒント

お客様の情報を守るために当社が行っている対策に関する詳細は、当社のプライバシー ポリシーセキュリティ ポリシーにまとめてありますのでそちらをご覧ください。

セキュリティ

セキュリティは、お客様のデータを不正アクセス、漏洩、その他の脅威から守るために当社が実施する対策とプロトコルに関するものです。セキュリティには、お客様のデータの機密性を守り、お客様のデータが欠けることなく、利用可能な状態にしておくために当社が行っている技術的、手続き的な予防手段も含まれます。

当社は、特別な理由において Todoist と Twist の改善のためにアクセスが必要な、ごく限られた数の従業員のみにしか個人データへのアクセスを認めていません。

私たちは、当社のプロセスやテクノロジーの効果性を常にテストし、評価しています。

当社は暗号化を使ってデータを保護しています。

A: ユーザー データがサーバーおよびデータベースに保存された場合、当社は AES 256 暗号化を使用します。データの送受信を行う時は、TLS 1.1 かそれ以上で暗号化されます。データのバックアップは AES 256 で暗号化され、2048 の鍵長を持つ RSA で署名されます。

さらに、Todoist プロおよびビジネスのユーザーのために、毎日アプリ内で自動的にバックアップが作成されます。当社は不正アクセスを防止するセキュリティ システムを維持し、当該バックアップ データを十分に保護するための防衛対策を講じています。

GDPR には様々な要件があるため、お客様のコンプライアンスのニーズはご利用環境や種々の条件によって異なります。ご質問やご要望などがありましたら、当社にお問合せください。

個人ワークスペースで Todoist を使用している時、Doist はデータ プロセッサーとみなされ、これは当社がお客様のユーザー データの処理方法を管理しており、GDPR に準拠したデータの処理方法を行う責任があることを意味します。

個人ワークスペース内の共有プロジェクト

お客様がコンテンツを他の Todoist ユーザーと共有する時(個人ワークスペース内の共有プロジェクトを含む):

  • すべての共有者が、共有プロジェクト内のデータとコンテンツを所有します。
  • 共有プロジェクトの最初の作成者が自身のアカウントを削除して、プロジェクトから退出した場合、所有権は共有プロジェクトの残りの共有者に移行します。
  • この共有所有権は、最初の作成者がこのサービスにアップロードし、著作権で守られた、その作成者のコンテンツの所有権には影響を与えません。
  • コンテンツを共有することにより、お客様は各共有者に当社サービスを通して当該のコンテンツにアクセスする、使用する、複製する、配布する、表示する、編集する、実行する、それ以外の方法で関わることを許可します。

チーム ワークスペース内の共有プロジェクト

チーム ワークスペース内で共有プロジェクトに参加/共有プロジェクトを作成するとき:

    • お客様は、当該の組織の規則とお客様とその組織間の合意に従うことに合意します。
    • 組織が、各ワークスペースのすべてのユーザー コンテンツの所有者です。
    • 組織のワークスペース内のすべてのユーザー コンテンツは、組織と共有されることがあり、組織によって変更、削除、アクセスされることがあります。
    • 組織はいつでも組織のワークスペースへのお客様(あなた)のアクセスを終了でき、当該ワークスペースのお客様のコンテンツにご自身がアクセスできないことがあります。
    • いかなるコンテンツも組織のワークスペースに移行することにより、お客様はご自分のユーザー コンテンツに対する幅広い権利を組織に付与します。

当社 API からデータへの完全なアクセスを提供しています。当社に提供された、および / またはその他プロバイダ / サービス / 連携機能に転送された個人データは、同 API から取得することが可能です。Todoist および Twist の API は以下を参照ください。

https://developer.todoist.com/sync/v7/#getting-started

https://developer.twistapp.com/v2/

お支払い情報および連携機能は API からご利用することはできませんのでご注意ください。当該情報を取得されたい場合や、データのエクスポートにお手伝いが必要な場合は、当社にお問い合わせください。

タスクやコメントなどのユーザー コンテンツは当社のデータ ストアに保管され、インターネット トラフィックアから遮断され、当社内には厳格なアクセス ポリシーがあります。

ユーザー コンテンツへのアクセスは監査の対象となり、複数の認証プロセスが必要で、明確なビジネス上の目的がある場合にのみ許可されます。つまり、社員がユーザー コンテンツにアクセスする場合は、必ず他の社員がそのことを把握しています。ユーザー コンテンツへのアクセスが必要になるケースは稀です。

はい。時間が少し経過した後に削除されます。システムは最初に削除済みと記録し、その後実際に削除します。ソフト デリート(論理削除)で確実にクライアント アプリケーションからのコンテンツ アクセスを不可にします。ハード デリート(物理削除)はその後で時間を遅らせて行います。このシステムにより、Todoist では複数のデバイスで同期できるようになっています。削除済みのマークを付けることで、同期アルゴリズムで競合する日付の問題を解決できるようになっています。

ユーザー コンテンツはデータベース バックアップにもあります。これは事業継続の目的のために保管されており、データの甚大な損失、長期間データが使用できない場合や、データ破損が生じた場合に使用されます。すべてのデータはバックアップも含めて暗号化されています。現在まで当社でデータベース バックアップの使用が必要になったことはありません。

データベース バックアップでは、各ユーザーのデータへのアクセスを許可しません。代わりに、ライブ データベースに復元することができ、そこでは通常のデータ アクセス制御が適用されます。バックアップは自動的にローテーションされ、95 日以上は保持されません。

プライバシー

プライバシーは、お客様のデータを当社がどのように収集、使用、管理しているかに関することです。お客様の個人情報が、確実にお客様の権利や期待を尊重する形で用いられるようにすることに関係します。

Doist が収集するデータは、当社サービスを提供するために必要とされるもので、Todoist および Twist の品質改善に使用しています。

Todoist および / または Twist に登録される際、お客様は自主的にお名前やメールアドレスなどの情報を当社に提供します。お客様は、アカウント設定からいつでもこの情報にアクセスし、この情報を更新できます。

加えて、当社のサービスを利用することにより、お客様は当社が以下のデータを使用することに同意するものとします。

  • メールアドレス
  • IP アドレス
  • 端末 ID
  • 名前、名字(任意。処理は行いません)
  • 職業(任意。処理は行いません)
  • 電話番号(任意。処理は行いません)
  • VAT ID(任意)
  • 請求書送付先住所(プロとビジネスのみ)
どうすれば私の個人データにアクセスし、エクスポートできますか?

お客様の個人データをエクスポートするには、当社にお問い合わせください。

当社 API からデータへの完全なアクセスを提供しています。当社に提供された、および / またはその他プロバイダ / サービス / 連携機能に転送された個人データは、同 API から取得することが可能です。Todoist および Twist の API は以下を参照ください。

お支払い情報および連携機能は API からご利用することはできませんのでご注意ください。当該情報を取得されたい場合は、当社にお問い合わせください。

データの販売は行いますか?

いいえ。当社がデータを販売することはありません。

アカウントを削除した場合、私の個人データは保管されますか?

アカウントを削除すると、当該アカウントのすべての個人データが当社のプロダクション システムから削除されます。また、お客様のデータを暗号化したコピーだけが当社のバックアップ アーカイブに 90 日間保管されます。この期間を過ぎると、お客様のアカウントに関するすべての情報は永久に削除されます。なお、ご依頼があっても当社はバックアップ アーカイブから暗号化されたコピーを提供することはありませんのでご了承ください。

使用しているクッキーの種類は?

当社では、お客様のブラウジング アクティビティに関する情報を収集することと、お客様を他の Todoist ユーザーから区別するためにクッキーを使っています。クッキーを使用することにより、お客様の当社アプリ使用時のエクスペリエンスをサポートするとともに、アプリ機能の向上にも役立てています。

当社では下記のクッキーを使用しています:

  • 不可欠なクッキー: ログイン機能、ユーザー認証、セキュリティに必要です。
  • 機能性クッキー: お客様が当社ウェブサイトを再訪したことを認識し、当社のコンテンツをお客様のためにパーソナライズしたり、お名前を使ってあいさつしたり、お客様の好みを記憶したりすることができます。
  • 分析&広報 クッキー: ユーザーの皆様がどのように当社製品に関わっているかを理解するために使われます。当社では、いくつかのサードパーティ クッキーを使用しています: Google Analytic(ウェブサイト トラフィックとユーザー行動の分析)、Datadog(ウェブ パフォーマンスおよびユーザー エクスペリエンスのモニタリング)、Zendesk(画像の読み込みおよび、サポートまたはヘルプ センター サービスの提供)、YouTube(ヘルプ センター ページでのビデオの表示)、Cloudinary(画像の読み込みと最適化)。
データ処理にサードパーティ サービスを使用していますか?

当社では GDPR 準拠のサードパーティ サービスと Stripe、AWS、Google Workspace などのホスティング パートナーを使用しています。これらのケースでは、サードパーティからのデータの送受信に関してGDPR に準拠するように必要なセキュリティ対策を講じています。詳細については、Todoist のセキュリティおよびプライバシーポリシー、ならびに Twist のセキュリティおよびプライバシーポリシーをご覧ください。

どのサードパーティ サービスを使用していますか?

当社が使用するサードパーティ サービスの概要と目的に関しましては、当社のサブプロセッサー リストをご参照ください。

どの AI サービスを使用していますか?

当社では、お客様のデータを当社の安全な環境下に留めるために、当社独自のインフラストラクチャで AI モデルを運用しており、サードパーティが決してアクセスできないようになっています。当社が使用している AI プロバイダーの一覧につきましては、LLM/AI プロバイダー リストをごらんください。こちらに、保持期間の規程や、各社のプライバシーに関する文書のリンクなども含まれています。

Doist は欧州連合外でデータを処理しますか?

はい。当社はアマゾン ウェブ サービス(AWS)を使用して、米国のバージニア州北部でデータを処理します。当社は最小限のデータしか収集せず、またすべてのデータは AES 256 を使用して暗号化されています。

コンプライアンス

コンプライアンスは、お客様のデータの取り扱い方に関する法律、規則、基準を当社が遵守することに関係します。コンプライアンスは、ユーザーとしてのお客様の権利を保護するために、当社の業務が確実に法的、規則的な要件に合致するようにします。コンプライアンスには、当社がこれらのルールに従っており、これらの維持に当社が責任を持つことを示すことも含まれます。

GDPR

Doist では、2018 年 5 月 25 日をもって同法に完全に準拠しています。EU 一般データ保護規則(GDPR)は、欧州連合(EU)内の住民および市民のために、個人情報がどのように収集、処理、保管されるかを明記することにより、当該データを保護するための規則です。

はい、Doist では違反することはありません。GDPR が適用される法域で事業を運営されている場合はもちろんご自身でその事業が GDPR に準拠しているかを確認される必要があります。

はい。当社は Doist を代表して事前に署名された DPA を提供しています。こちらから詳細を記入し、署名していただくことで完了します。

SOC 2 と HIPAA

現時点では、 当社ではまだ SOC 2 または HIPAA 認証を目指していません。とは言え、お客様とお客様のチームが Todoist を採用するのに必要なコンプライアンスの認証要件について、様々なことを学びたいと思っています。ぜひ当社にお知らせください

お問い合わせ

ご不明な点がございますか?当社にお問い合わせください。私たち — ピエール、マルコ、ダイアンと他のチームメイトが喜んで対応いたします!