個人情報保護規制への対応¶

注釈

ここには、特定の法的管轄区域で Weblate を運営するために必要なさまざまな法的情報を記載しています。これはガイダンスの手段として提供され、正確性または正しさを保証するものではありません。Weblate の使用にあたり、適用されるすべての法律および規制に準拠しているかどうかの確認の責任は、最終的にはお客様にあります。

Tip

Weblate は、厳格なデータ最小化、完全なデータ所有権、きめ細かなアクセス制御を提供することで、GDPR、DPDPA、PIPL などのプライバシー規制枠組みに沿って運用することを組織に提供します。ホスティングおよびコンプライアンスに関するすべての責任は、すべて導入する組織の管理下にあります。

このドキュメントでは、Weblate のコンプライアンスへの対応方法について説明します：

EU 一般データ保護規則（GDPR）
カリフォルニア州消費者プライバシー法（CCPA）
ブラジル一般データ保護法（LGPD）
スイス連邦データ保護法（nFADP）
カナダ個人情報保護および電子文書法（PIPEDA）
インドデジタル個人データ保護法（DPDPA）
中国の個人情報保護法（PIPL）

プライバシーの原則¶

データの最小化¶

Weblate は、プラットフォームの運用に厳密に必要なデータのみを収集します。デフォルトで取り扱う個人データ:

ユーザー名または実名（ユーザーによる提供）
メールアドレス（通知とアクセス制御に必須）
オプションのユーザー情報（アバター、経歴）

デフォルトの設定では、テレメトリ（自動データ収集）、分析機能、外部トラッキング（第三者による追跡情報）の機能はありません。

データへのアクセスと可搬性¶

ユーザーは、操作画面または API を使用して、個人情報や翻訳者をエクスポートできます。
管理者は、ユーザーからの要求に応じてデータの可搬性に対応でき、アクセスに関する法的義務を果たすことができます。

消去および訂正の権利¶

Weblate では、ユーザーの操作画面および管理者画面から、ユーザーアカウントを完全に削除できます。
削除されたユーザーは、システム全体で削除または匿名化されます。
ユーザーはプロフィール画面から、個人情報を直接更新、修正できます。

データの保存と削除¶

システム運用に必要な項目以外は自動的なデータ保存は行いません。
ログとバックアップはローカルで管理され、削除ポリシーは運用者が設定できます。
管理者が直接設定しない限り、第三者へのデータ共有は行われません。

セキュリティと機密性¶

すべてのユーザーとのやり取りには、暗号化された TLS（HTTPS）が必要です。
失敗したログイン、権限の変更、その他のセキュリティ関連操作は記録されます。
GELF を用いた任意の SIEM 連携により、監査要件への準拠が可能となります。
ロールベースのアクセス制御により、データアクセスは強制的に分離されます。

国際的なデータ移送¶

Weblate では、システムによる自動的なデータ転送は行われません。
ホスティングおよびデータの保管場所は、すべてシステム運用者が管理します。
組織は、データローカライゼーション法に準拠するために、EU、インド、中国など特定の法域内で Weblate をホストできます。

規制要件の対応関係¶

フレームワーク	Weblate の対応
GDPR（EU）	最小化、同意、消去、監査可能性、現地語化
CCPA（カリフォルニア州）	アクセス制御、削除、販売禁止、ユーザー制御
LGPD（ブラジル）	法的根拠、アクセス、訂正、削除
nFADP（スイス）	目的の限定、同意、透明性
PIPEDA（カナダ）	同意、アクセス、個人の権利
DPDPA（インド）	合法的処理、同意、通知、ユーザーの権利
PIPL（中国）	目的の限定、データ最小化、現地語化

法令順守に向けた推奨事項¶

同意の取得： 法務モジュールを介して、登録時に通知および/または明示的な同意チェックボックスを提供する。
ポリシーの表示： Weblate の操作画面に、法務モジュールまたは PRIVACY_URL を通じて、プライバシーポリシーおよび保持ポリシーへのリンクを直接表示します。
監査統合： 基本機能の監査ログと GELF 転送を使用して、ログ記録の義務に対応します。
データ対象者からの要求： アクセス要求や消去要求に対応するため、手動または自動の手続きを設定します。
現地語化： 要求があれば、インフラが対象地域内に物理的に配置されていることを確認します。