Noise21のセキュリティおよびプライバシーポリシー

1. セキュア・バイ・デザインとインフラストラクチャ

Noise21は、Atlassianが厳密に分離したサーバーレスアプリプラットフォーム「Atlassian Forge」上にのみ構築されています。

• 外部サーバーなし： 外部サーバー上でお客様のデータをホストしたり、処理または保存したりすることはありません。すべての計算および保存はAtlassianクラウド境界内で厳密に行われます。
• データ所在地： Noise21はForge Storage APIを使用し、Atlassianのアプリとサービス内にのみエンドユーザーデータを保存します。データ所在地は、お客様のAtlassianテナントのロケーション設定により完全に決まります。
• リモートAPIなし： Noise21は他ツール連携用のリモートREST APIを公開していません。アプリはお客様のJiraインスタンス内に完全に収まっています。

2. データ処理とプライバシー（GDPR / CCPA）

弊社はEU一般データ保護規則（GDPR）における「処理者」として行動します。独立した開発者としてCCPA上の「事業者」の閾値を満たさないため、CCPAは直接適用されませんが、すべてのユーザーに対して同様に高いプライバシー基準を維持しています。

• 処理されるデータ： ランキング機能のため、アプリは特定のJiraイシュー情報（イシューID、キー、概要、説明、ステータス、イシュータイプ、優先度、担当者）を処理し、派生統計（Elo評価、対戦回数、履歴スナップショット）を算出します。
• データの統制： お客様は引き続き管理者（コントローラー）です。Forge Storageを使用するため、これらのデータを完全に管理できます。アプリのアンインストールとテナントデータの削除により自動的に削除されます。
• データ処理契約（DPA）： テナント内のみで動作するForgeアプリとして、処理は標準のAtlassian Marketplace Partner Agreementに準拠します。現時点では個別のDPAは提供していません。

3. ログとデータ出境

Noise21はデータが外部に漏れないよう設計されています。

• ログへのエンドユーザーデータなし： エンドユーザーデータ（イシューの概要や説明など）はログに記録しません。技術的なデバッグログはAtlassianがネイティブでホストし、個人を特定する識別子は含みません。
• 第三者への共有なし： ログやエンドユーザーデータを第三者（外部の分析・監視ツールなど）にエクスポートまたは共有することはありません。Atlassianサービスの外へのデータ出境はゼロです。

4. 認証と共有シークレット

Noise21はネイティブなAtlassian認証（@forge/api）をシームレスに利用します。

• パスワードやPAT不要： エンドユーザーにAtlassianのパーソナルアクセストークン（PAT）、アカウントパスワード、その他の共有シークレットの提供を求めることはありません。
• 最小権限： アプリが要求するのは、ボードの読み取りとイシューの優先度・プロパティの更新に必要なJira権限（スコープ）のみです。

5. 脆弱性の報告

セキュリティは継続的な取り組みです。脆弱性を発見した場合、またはコンプライアンスに関する具体的なご質問がある場合は、セキュリティチームまでご連絡ください： security@noise21.com