当社は、この個人情報削除プロセスを、アクセス認証情報が暴露されることによりセキュリティが危険にさらされているなど、GitHub のサービス条件に違反する高リスク コンテンツに限定して例外的なサービスとして提供しています。 このガイドでは、リポジトリから個人情報を削除する要求を GitHub が処理するために必要な情報について説明します。
個人情報とは?
このドキュメントにおいて、「個人情報」とは、(i) 機密を保持する必要があり、かつ (ii) 公開されることで特定のまたは標的を絞ったセキュリティ リスクをお客様またはお客様の組織にもたらすコンテンツを指します。
「セキュリティ リスク」とは、肉体的危機への暴露、なりすまし、物理的施設またはネットワーク施設への不正なアクセスの可能性の増大に関連する状況を指します。
個人情報の削除要求は、次の場合に適しています。
- アクセス資格情報 (組織のサーバー、ネットワーク、またはドメインにアクセスするための、ユーザー名とパスワード、アクセス トークン、または機密情報を組み合わせたものなど)。
- 第三者にお客様の代理でアクセスするための AWS トークンおよびその他の同様のアクセス資格情報。 お客様は、このトークンが自分のものでないことを示すことができなければなりません。
- 組織に特定のセキュリティ リスクをもたらす文書 (ネットワーク図やアーキテクチャなど)。
- 個人 (社会保障番号や他の政府の識別番号など) に関連し、セキュリティ リスクをもたらす情報。
個人情報の削除要求が "適さない" 場合__
- 内部サーバーの名前、IP アドレス、および URL 自体。 特定のファイルまたはコードの一部でそれらを使用することがセキュリティ上の脅威になることを示す必要があります。
- GitHub のファイル内で会社の ID、会社名、ブランド、ドメイン名、その他を単に言及している場合。 会社の ID を使用することがその会社のセキュリティ態勢に対する脅威となる理由を明確に示す必要があります。
- 特定のセキュリティ リスクをもたらすことはないが、それ以外の理由で好ましくないと考えられるファイルやリポジトリ全体。
- お客様またはお客様の組織の著作権を侵害している可能性のあるコンテンツの削除要求。 著作権関連の問題に対する GitHub の対応方法について質問がある場合、または著作権侵害の可能性があるコンテンツを報告する場合は、DMCA 削除ポリシーをご覧ください。 一般に個人情報削除プロセスは、ファイルまたはリポジトリ全体を削除することが目的ではなく、ファイル内で個人情報を含んだ特定部分のみが削除の対象となります。 ファイルの内容がすべて個人情報である場合もありますが、このようなファイルを削除するためにはセキュリティ リスクがあることを証明しなければならず、このような場合、要求の処理にかかる時間が長くなる可能性があります。
- 商標に関する紛争。 商標関連の問題に対する GitHub の対応方法について質問がある場合や、お客様の組織の商標やサービス マークを含んでいるコンテンツを報告する場合は、商標ポリシーをご確認ください。
- プライバシーに関する苦情。 GitHub 上の個人情報についてアクセス、移転、変更、削除を求める場合は、プライバシー連絡フォームで連絡ください。
- マルウェアや汎用ツールなど、当社の コミュニティ ガイドラインで管理されるコンテンツ。 コミュニティ ガイドラインについて質問がある場合や、GitHub のコンテンツがガイドラインに違反する可能性があると思われる場合は、GitHub Support ポータル を通じてコンテンツを当社までご報告ください。
知っておいていただきたいこと
まずは丁寧にお願いしてください。 当社にデータ削除要求を送信する前に、まず、ユーザーに直接連絡することが重要です。 ユーザーの連絡先情報は、そのユーザーの公開プロファイル ページやリポジトリの README または Support ファイルに記載されている場合があります。または、イシューを作成して連絡するか、リポジトリでプル リクエストを発行して連絡することもできます。 これは厳密には必須ではありませんが、印象の良い方法と言えるでしょう。
ボットを使用しないでください。 送信するすべての要求の事実を、熟練した専門家に評価してもらう必要があります。 お客様の取り組みを第三者に委託する場合は、第三者が自動ボットを使用して苦情を一括送信しないことを確認してください。 これらの苦情にはセキュリティ上の脅威を及ぼさないデータが含まれていることが多く、十分な説明が含まれていないため、正当な苦情であっても何度も確認が必要となり、結果的に遅延が生じる場合があります。
適切な要求を送信してください。 前述のとおり、当社では、この個人情報削除プロセスを高リスクのコンテンツに限定した例外的なサービスとして提供しています。 このプロセスを使用して、著作権侵害の可能性のあるコンテンツなど、他の種類のコンテンツを削除することはできません。また、個人情報削除要求を処理している間、他の種類の削除要求を処理することはできません。 より迅速なサポートが可能になるよう、個人情報削除要求は、著作権侵害の可能性のあるコンテンツの削除要求とは別に送信してください。 要求が個人情報にのみ関連するものかどうか、または他の法的問題にも関係するものかどうか不明な場合は、弁護士にご相談ください。
処理にかかる時間について。 個人情報削除要求はできるだけ速やかに処理しますが、処理する要求の量によっては、要求の審査に時間がかかる場合があります。 要求を追加送信したり、複数の連絡先から複数の要求を送信したりした場合、遅延が発生する場合があります。
どのように機能するのですか?
-
申立人が調査します。 要求者は、自身で調査を実施し、GitHub に当社が求める詳細情報を提供する必要があります。最も重要なのは、そのデータがどのようにしてセキュリティ リスクをもたらすのかについて説明することです。 GitHub は、個人または組織に代わって個人情報を検索したり、初期決定を下したりすることはありません。
-
申立人が個人情報削除要求を送信します。 調査を実施した後、申立人は個人情報削除要求を用意し、GitHub に送信します。 要求がセキュリティ リスクを立証するほど詳細でない場合や、GitHub がデータを特定できない場合、当社は返信して追加情報を求めます。
-
GitHub はユーザーに変更を行うよう要請します。 ほとんどの場合、当社は、リポジトリを作成したユーザーに連絡し、要求で指定された個人情報を削除または変更したり、要求に異議を唱えたりする機会を提供します。
-
ユーザーは GitHub に変更を通知します。 ユーザーは、指定された変更を行うことを選択した場合は、与えられた期間内にその旨を当社に通知しなければなりません。 ユーザーが通知を行わなかった場合、当社はリポジトリを無効にします。 ユーザーが変更を行ったことを当社に通知した場合、当社は、変更が行われたことを確認して、申立人に通知します。
OR
-
ユーザーは要求に異議を唱えることができます。 ユーザーは、問題のコンテンツが本ポリシーの対象となる個人情報ではないと思う場合、異議を唱えることができます。 その場合、通常は申立人に対して、ユーザーに連絡し、ユーザーとの間で問題を合理的な範囲内で直接解決していただくことになります。
-
申立人が変更内容を確認します。 ユーザーが変更を加えた場合、申立人はそれを確認する必要があります。 変更が不十分な場合、申立人は GitHub にその理由を説明した詳細情報を提供する必要があります。 GitHub はリポジトリを無効にする場合もあれば、変更を加える機会をもう一度ユーザーに提供する場合もあります。
-
ユーザーは変更を加えるための追加猶予期間を要求できます。 ユーザーが通知で指定された個人情報を削除する機会を逃した場合、当社は、変更を行うことができるように、要求に応じて 1 営業日程度の猶予期間をユーザーに提供することがあります。 その場合、GitHub は申立人に通知します。
フォークについて教えてください (またはフォークとは何ですか?)
GitHub の最も優れた特徴の 1 つはユーザーが別のユーザーのリポジトリに「フォーク」できる機能です。 それは何を意味していますか? 基本的に、ユーザーが GitHub 上のプロジェクトのコピーを自らのリポジトリに作成できるということです。 ライセンスまたは法律により許可されているため、ユーザーはこのフォークに変更を加えて、メイン プロジェクトにプッシュすることも、プロジェクトの独自のバリエーションとして保管することもできます。 このようなコピーはそれぞれが元のリポジトリ (フォークの "親" と呼ばれる場合もあります) の GitHub 用語集です。
GitHub では、親リポジトリを無効にするときに、フォークを自動的に無効にすることはありません。 これは、フォークはさまざまなユーザーに属しており、著しく変更されている可能性があるためです。 GitHub は、フォークの独自調査を実施しません。 この調査は、個人情報削除要求を送信する申立人が実施することが前提となっています。また、フォークにも個人情報が含まれていると思われる場合は、フォークを要求に明示的に記載してください。
お客様が通知を送信し、当該リポジトリの既存のフォークをすべて特定した時点で、当社は、通知を処理するときにネットワーク内のすべてのフォークに対する有効な要求を処理します。 この処理は、新しく作成されたすべてのフォークに同じコンテンツが含まれているという可能性を前提にして行われます。 また、報告のあったコンテンツを含んでいるとされるネットワークが 100 リポジトリを超えており、全体を確認することが困難な場合、当社は、お客様の通知で「確認した然るべき数のフォークに基づき、フォークのすべてまたは大部分が親リポジトリで報告されたコンテンツを含んでいると考えます」と記載されていた場合、ネットワーク全体を無効にすることを検討します。
個人情報削除要求の送信
GitHub がホストするコンテンツの種類 (主にソフトウェア コード) やコンテンツの管理方法 (Git を使用) の性質上、苦情はできるだけ具体的である必要があります。 ユーザーが報告された個人情報を完全に削除したことを確認するため、当社は確認すべき箇所を正確に知る必要があります。
このガイドラインの目的は、個人情報の削除要求の処理をできるだけ簡単にすることです。
要求には以下を含める必要があります。
- 個人情報を含む各ファイルへの動作しているクリック可能なリンク (検索結果、例、スクリーンショットから処理することはできません。)
- 個人情報を含む各ファイル内の具体的な行番号。
- 特定した各項目が、お客様またはお客様の組織にどのようなセキュリティ リスクをもたらすかについての簡潔な説明。 単にデータがセキュリティ リスクをもたらすという記述だけではなく、どのようにもたらされるのかを説明することが重要です。
- セキュリティ リスクに直面している組織の代理人を務めている場合は、その組織に代わって行動する法的権利があるという記述を含めてください。
- オプション:要求が特に緊急であるかどうか、およびその理由をお知らせください。 当社は、すべての個人情報削除要求にできるだけ速やかに対応します。 しかし、この要求が、ごく最近の資格情報の露出など、特に時間に依存する場合は、その理由を説明してください。
要求の提出方法
個人情報削除要求は、連絡フォームで提出できます。 メッセージの本文には要求文をテキスト形式で記述してください。 添付ファイルで要求を送信した場合は、処理に時間がかかることがあります。
争議
当社から個人情報の削除要求を受け取った場合は、これに異議を唱えることができます。その場合はメールに返信し、問題のコンテンツがこのポリシーの対象となる個人情報ではないと思われる理由を、可能な限り詳細にお知らせください。