> ## Documentation Index
> Fetch the complete documentation index at: https://documentation.onesignal.com/llms.txt
> Use this file to discover all available pages before exploring further.

# データ収集とセキュリティFAQ

> OneSignalがデータを保護し、コンプライアンスを維持し、プライバシー規制をサポートする方法を学びます。

OneSignalは、プラットフォームに保存されているすべてのデータのプライバシーとセキュリティを保護することに取り組んでいます。当社は厳格なセキュリティ管理を維持し、主要なコンプライアンスフレームワークに準拠し、システムを継続的に監視および改善して、お客様のデータの安全性を確保しています。

このページでは、OneSignalのデータ処理、セキュリティプラクティス、およびコンプライアンス認証に関する一般的な質問に回答します。

***

## データ保護とコンプライアンス

### メールアドレスと電話番号を非表示にする

ユーザーのメールアドレスと電話番号がOneSignalダッシュボードやデータエクスポートに表示されないようにすることができます。設定手順については、[個人データの取り扱い](./handling-personal-data#mask-personal-identifiable-information)を参照してください。

### SOC 2 Type II および ISO 認証

OneSignalは以下の独立したセキュリティ認証を維持しています:

* [SOC 2 Type II](./soc-2-type-ii)
* [ISO 27001 および ISO 27701](./iso27001)

これらの監査は、OneSignalの内部管理とプライバシー管理システムが、データセキュリティと運用の完全性に関する最高水準を満たしていることを検証しています。

### HIPAA

OneSignalは、保護対象健康情報（PHI）を管理する顧客のHIPAA要件に準拠しています。
詳細については、[HIPAAドキュメント](./hipaa)を参照してください。

### GDPR

OneSignalはEU一般データ保護規則（GDPR）に準拠し、顧客がGDPR責任を果たすことを支援しています。当社の主要データセンターは欧州連合内にあります。
詳細については、[GDPRと個人の権利](./gdpr-compliance)を参照してください。

### データプライバシーフレームワーク

OneSignalは、EUと米国間の合法的なデータ転送のための**EU-米国データプライバシーフレームワーク**の下で認証されています。

***

## セキュリティプラクティス

### 独立した評価と脆弱性スキャン

当社は**年次サードパーティセキュリティ評価**を実施し、**四半期ごとの脆弱性および侵入スキャン**を実行しています。すべての重大および高重要度の発見は速やかに修正されます。

### ワークステーションセキュリティ

すべての従業員のワークステーションには以下が含まれます:

* ファイアウォールとエンドポイント保護
* フルディスク暗号化
* 自動パッチ管理

### インシデント対応

当社は、セキュリティインシデントを迅速に検出、封じ込め、修正するための堅牢な**インシデント対応プログラム**を維持しています。

### 専任のセキュリティ組織

OneSignalの**セキュリティチーム**は、セキュリティ関連イベントを継続的に監視、トリアージ、対応しています。

### 暗号化

すべての顧客データは、**業界標準のアルゴリズム**を使用して、**転送中**（TLS 1.2+）および**保存時**（AES-256）の両方で暗号化されています。

### シングルサインオン（SSO）

OneSignalは、WorkOSを通じて**SSO**をサポートしており、主要なIDプロバイダーとの統合を可能にしています。[シングルサインオン](./sso)を参照してください。

### 二要素認証（2FA）

組織管理者は、すべてのチームメンバーに\*\*2段階認証（2FA）\*\*を強制できます。
[2段階認証](./2-step-authentication)を参照してください。

### 人事セキュリティ

すべての従業員は、身元調査と定期的な**セキュリティ意識トレーニング**を受けています。

***

## データガバナンスと保持

OneSignalは**データ処理者**として機能し、顧客は**データ管理者**のままです。

* **メッセージデータ**（APIまたはJourneys経由で送信）:削除前に30日間保持されます。
* **ダッシュボードメッセージ**:手動で削除されるまで保持されます。
* **ユーザーデータ**:
  * 有料プランでは削除されるまで無期限に保持されます。
  * 無料プランでは18か月間の非アクティブ期間保持されます。

### データエクスポート

OneSignalは、ユーザーおよびメッセージデータを簡単にエクスポートするためのツールを提供しています。[データのエクスポート](./exporting-data)を参照してください。

***

## FAQ

### 私またはユーザーがプッシュ通知をオプトアウトするにはどうすればよいですか？

ユーザーは、デバイスの通知設定でプッシュ通知を無効にできます。Webプッシュ通知については、[通知の購読解除](./browser-behavior-and-unsubscribes)を参照してください。詳細については、[サブスクリプション](./subscriptions)を参照してください。

### OneSignal SDKによって収集されるデータは何ですか？

[OneSignal SDKによって収集されるデータ](./data-collected-by-the-onesignal-sdk)を参照してください。

### OneSignalはCookieを使用していますか？

OneSignalのWeb SDKはCookieを**使用していません**。クライアントデータを保存するために**ローカルストレージ**と**IndexedDB**を使用しています。

`__cf_bm`という名前のCloudflare Cookieが表示される場合があります。このCookieは:

* Cloudflare（OneSignalではない）によって設定されます
* ボットから保護するために使用されます
* EU Cookie法の下で同意を必要としない*厳密に必要な*Cookieに分類されます

詳細については、Cloudflareの[Cookieポリシー](https://www.cloudflare.com/en-gb/cookie-policy/)および[GDPR解説](https://gdpr.eu/cookies/)を参照してください。

### OneSignalでユーザーデータをどのように処理すべきですか？

[個人データの取り扱い](./handling-personal-data)のベストプラクティスに従ってください。

### OneSignalはCOPPAに準拠していますか？

OneSignalは、**ファミリー広告プログラム**（2022年1月10日現在）の下で認証されています。

COPPAコンプライアンスは公開者の責任ですが、OneSignalは、データ収集やプッシュプロンプトの前にユーザーの同意を収集するのに役立つツールを提供しています。[ユーザーの同意の取得](./handling-personal-data#getting-user-consent)および[このCOPPAガイド](https://www.superawesome.com/blog/how-to-implement-coppa-compliant-push-notifications-in-kid-directed-apps/)を参照してください。

### OneSignalアカウントを保護するにはどうすればよいですか？

次のセキュリティベストプラクティスに従ってください:

1. [2段階認証](./2-step-authentication)および/または[シングルサインオン](./sso)を有効にします。
2. 不要な[チームメンバー](./manage-team-members)を削除します。
3. 共有ログインを避けてください。各人が独自のOneSignalアカウントを持つべきです。
4. APIキーを定期的にローテーションまたは削除します。[キーとID](./keys-and-ids)を参照してください。
5. 必要に応じてパスワードをリセットします。[アカウント管理](./apps-organizations)を参照してください。

<Warning>
  REST APIキーまたはアプリキーをパブリックリポジトリまたはクライアント側コードで公開しないでください。
</Warning>

### パスワードのルールとポリシーは何ですか？

* パスワードは最低8文字必要で、漏洩したパスワードのデータベースに表示されてはなりません。
* パスワードには事前定義された有効期限やローテーションポリシーはありません。

### REST APIキーが侵害された場合はどうすればよいですか？

直ちにAPIキーを**削除してローテーション**してください。手順については、[キーとID](./keys-and-ids)を参照してください。

### アプリIDが公開された場合はどうなりますか？

アプリIDは**公開**されており、安全に共有できます—新しいユーザーレコードの作成にのみ使用できます。ただし、有効な手段で購読していない限り、ユーザーはメッセージを受信できません。追加の保護のために、[ID検証](./identity-verification)を有効にしてください。

### サブスクリプションIDが公開された場合はどうなりますか？

ユーザー自身の`subscription_id`は、そのユーザーに公開しても安全です—自分のデータのみを変更できます。ただし、**他のユーザーのサブスクリプションIDを共有しないでください**。これらは特定のデバイスに通知を送信するために使用できます。なりすましを防ぐには、[ID検証](./identity-verification)を使用してください。

***
