データガバナンス/保持の概要
デフォルトでは、Adobe Acrobat Sign は、アカウントがアクティブである限り、サービス上のすべてのお客様の文書を安全に保持します。
トランザクション情報は、お客様が契約書を明示的に削除するアクションを実行するまでシステムに保持されます。
- Acrobat Sign サービスでは、PCI DSS 3.0、HIPAA、SOC 2 Type II、ISO 27001 といったデータのセキュリティおよび可用性に関するいくつかの業界標準に準拠しています。
Acrobat Sign に対するお客様のライセンスが失効または終了した場合、アドビはお客様の契約書、監査レポート、またはその他のお客様のデータを保持する義務を負いません。
アドビがこのようなデータを保持している場合は、お客様が有効な Acrobat Sign ライセンスを持っている間に定義された保持ポリシーに従って削除されます。
契約書レコードを自分のシステムに保存し、オリジナルの文書を Acrobat Sign システムから削除することを希望するお客様は、Acrobat Sign にトランザクションを保持する期間を指定する「保持ポリシー」を定義して、その期間後に契約書(およびオプションでサポートする監査/個人データ)を Acrobat Sign から削除できます。
保持ルールは、菅理メニューの「データガバナンス」セクションで定義されます。
- グループレベルの管理者には、保持ルールを作成または無効にする権限がありません。
- アカウントレベルの設定は、アカウント内のすべてのグループにデフォルト値として継承されます。
- アカウントレベルの設定と異なる場合は、グループを個別に設定する必要があります。
- グループレベルの設定は、常にアカウントレベルの設定を上書きします。
文書/ファイル/添付ファイルと契約書とトランザクションの比較
- 文書/ファイル/添付ファイルはすべて、Acrobat Sign システムにアップロードされる個別のファイルです。契約書の構成資料です。
- 契約書は、アップロードされたファイルから Acrobat Sign が作成する顧客向けのオブジェクトで、受信者が入力や署名を行うものです。「契約書」は、署名取得プロセス中のオブジェクトと生成された最終版の PDF の両方を定義するために使用される用語です。
- トランザクションには、契約書と、その途中で契約書によって生成されたすべての関連ログおよび文書が含まれます。(例:監査レポート、認証結果、フィールドレベルのデータ .csv ページ)
ルールとルール ID
ルールという用語(この記事の文脈において)は、規定されたプロセスを記述します。この場合、契約書が Acrobat Sign システムから削除されるタイミングを管理するプロセスです。これは、可変の条件を別のオブジェクト(この場合は契約書)に適用する(契約書を削除する場合に)という概念について説明するために使用される一般的な用語です。
ルール ID という用語は、特定の設定済みルールを記述するために使用されます。ルールが作成されると、他のすべてのルールと区別するために一意の ID 番号(ルール ID)が割り当てられます。設定されたルール ID は、契約書に関連付けられたリテラルオブジェクトです。
契約書のターミナル状態
保持ルールは、契約書が「ターミナル状態」に到達したときにトリガーされます。
ターミナル状態は、契約書に受信者が完了するアクションがこれ以上ない場合に到達します。 次の 3 つの「ターミナル」ステータスがあります。
- 完了 - 契約書ですべての受領者のすべてのプロセスが正常に完了した場合に達成されます。
- 放棄 - 放棄された契約書は、明示的なアクションによって停止されています。このアクションは、次のいずれかの原因から発生します。
- 送信者によるキャンセル
- 受信者による拒否
- 受信者の認証に失敗による失敗しました
- システムエラーによる失敗しました
- 期限切れ - 定義された期間内にアクションが実行されなかったために期限に達した契約書。
仕組み
契約書がターミナル状態になると、次のようになります。
- Acrobat Sign は、契約書を作成したユーザーのグループレベルの保持ルールを確認します(契約書がターミナルになったときにユーザーが現在属するグループ)。
- 現在適用されているグループレベルのルールがない場合は、アカウントレベルのルールが使用されます。
- アカウントレベルのルールも未定義の場合、保持ルールは定義されず、契約書の削除日は取得されません。
- ターミナル状態になったときに削除日が取得されない契約書でも、GDPR ツールを使用して削除できます。
保持ルールが契約書に適用されている場合は、次のようになります。
- 契約書は、ルールパラメータに基づいて削除されるようにスケジュール設定されます。
- 適用されたルールのルール ID がトランザクションに関連付けられ、削除時に正しいルールが適用されるようにします。
ターミナル状態の契約書は、指定された削除時間まで待機します。
- 削除までの日数はリテラルです。
- 例:14 日が定義されている場合、契約書がターミナル状態になってから 14 日後に(秒単位で)削除アクションがトリガーされます。
削除時間に到達すると、ルール ID でルールが無効であるかどうかが確認されます。
- ルールが無効の場合、アクションは実行されません。
- ルールが無効になっていない場合、契約書は削除されます。
- 監査レポートと個人情報(PII)を削除するオプションが有効になっている場合は、これらの文書に定義されている間隔に基づいて、この同じプロセスが適用されます。
- Government ID 認証方式を使用するアカウントは、PII の一部として署名者 ID レポート(収集された場合)を削除します。
- 監査レポートと個人情報(PII)を削除するオプションが有効になっている場合は、これらの文書に定義されている間隔に基づいて、この同じプロセスが適用されます。
構成
アカウントレベルで保持ルールを設定します。
アカウントレベルの保持期間を最初に設定します(存在する場合)。
すべてのグループはアカウントレベルの設定を自動的に継承するため、1 つのポリシーをすべてのグループに適用するには、次のようにします。
- アカウント/アカウント設定/データガバナンスに移動します
- プラスアイコンをクリックします
「保存ルールを作成」オーバーレイには、次の情報が表示されます。
- ターミナル状態になった後、契約書を保持する日数を定義します。
- 1 日以上である必要があります。
- 最大値は 5475 日(15 年)です。
- 必要に応じて、契約書の監査追跡と契約書に関与する関係者の関連する個人情報の保持期間を設定します。
- 監査および PII は、契約期間以上、可能な限り長く保存する必要があります。
- このオプションが有効になっていない場合、他の方法(GDPR 削除など)で削除されるまで、監査レコードと PII は保持されます。
最初のルール(スタックの上部、終了日なし)が、現在適用されているルールです。 一度に 1 つのグループに適用できるルールは 1 つだけです。
新しいルールが作成された場合:
- 新しいルールが現在適用されるルールになります
- 新しいルールがリストの一番上に挿入され、ルールが作成された日付の開始日が表示され、終了日は表示されません。
- 新しいルールの作成時に既存のルールがアクティブに適用されている場合は、次のようになります。
- 以前に存在したルールは、新たにターミナルになる契約書に適用されなくなります。
- 以前に存在したルールは新しい(現在の)ルールのすぐ下に移動します。
- 既存のルールには、新しい(現在の)ルールの開始日に一致する終了日の値が自動的に採用されます。
グループレベルでの保持ルールの設定
グループレベルの保持ルールを設定すると、グループ内の現在のユーザーの継承されたアカウントレベルのルールが上書きされます。
契約書が処理中のグループ間でユーザーが移動された場合、新しいグループの保持ルールは、そのグループ内でターミナル状態になる契約書に適用されます。
作成したユーザーを新しいグループに移動する前に保持ルールが適用されたターミナル状態の契約書では、削除アクションの前にルールが無効になっていない場合、適用されたルールの削除日が適用されます。
上記を念頭に置くと、グループレベルの保持ルールの設定は、次の 2 つの方法でのみ異なります。
グループのデータガバナンスタブにアクセスするには:
- アカウント/グループに移動します。
- 編集するグループをシングルクリックします。
- 「グループ設定」を選択します。
- 左レイルから「データガバナンス」オプションを選択します。
- グループレベルの保持ルールが適用されていない場合は、アカウントレベルのルールが有効であることが明確に示されます。
- プラスアイコンをクリックして、新しいルールを作成します(アカウントレベルのインターフェイスと同様)。
ルールをグループに作成したら、アカウントレベルの「のデータガバナンス」タブからグループレベルの保持ルールにアクセスできます。
- アカウント/アカウント設定/データガバナンスに移動します
- 「保持ルールがあるループ」タブをクリックします
- 編集するグループ名をシングルクリックします。
- 「グループの保持ルールを表示」を選択すると、グループレベルのデータガバナンスページが開きます。
グループレベルのルールを設定する場合は、「このグループのすべての契約書を保持する」追加オプションを使用できます。
このオプションを使用すると、グループでアカウントレベルの保持ルールを上書きし、すべての契約書(グループ内のユーザーの)を無期限に保持できます。
保持ルールのステータス
有効 – ルールの適用時にターミナル状態になっていた契約書に対して引き続き有効なルール
- 現在適用されているルールは常にリストの一番上にあり、終了日はありません。
無効 – 無効になったルールは適用されなくなります。 無効になったルールの下にある契約書がターミナル状態になった場合、削除予定日に削除されません。
- 無効になったルールはグレー表示されます。
- 無効になったルールは、再度有効にできません。
期限切れ – 期限切れのルールには、削除保留中のターミナル状態の契約書はありません。
- 例:終了日が 3 月 10 日の 14 日間のルールがある場合、ルールの対象となるすべての契約書がすでに削除されているため、ルールは 3 月 24 日の終わりに期限切れになります。
レガシー:レガシーバックエンド設定によって管理されている保持ポリシーを持つユーザーには、そのポリシーがレガシー保持ルールとして反映されます。
- レガシールールで削除されるようにすでにスケジュール設定されている(新しいルールが導入される前に)契約書では、レガシールールの削除時間が適用されます。
ステータス別にルールをフィルタリング
保持ルールのリストは、テーブルの右上にある「ハンバーガー」アイコンをクリックしてフィルタリングできます。
このオプションセットを使用すると、次の項目をフィルタ処理できます。
- すべてのルール - デフォルト値
- 有効なルールのみ
- 無効なルールのみ
- 期限切れのルールのみ
また、1 ページあたり 15、30、または 50 件のレコードを返すオプションもあります。
ルールを無効にする
ルールを無効にすると、元に戻せません。
ルールを無効にすると、ルールの対象となる残りのすべての契約書で、適用される削除日がなくなります。
これらの契約書は、GDPR ツールを使用して削除する必要があります。
ルールを無効にするには:
- ルールを選択します。
- 「無効にする」リンクをクリックします。
削除されたグループ
保持期間は、グループレベルの設定(明示的に設定するか、アカウントレベルの設定から継承)に基きます。
適用されている保持ルールの将来の監査では、ルールの履歴が保持されることが必要です。
このため、GroupID は完全には削除されません。完全に削除される代わりに、必要な設定はそのまま保持され、アカウントレベルの管理者がグループにアクセスして確認/編集できます。
削除されたグループは、グループページでハンバーガーアイコンをクリックし、「削除されたグループのみを表示」を選択すると表示できます。
編集するグループをシングルクリックし、「グループ設定」リンクをクリックします。
- ルールは、グループがアクティブであったときと同じ方法で作成および無効化できます。
API ベースの削除アクション
オンデマンドの保持を有効化すると、Acrobat Sign API を使用して個別に文書を削除することができます。
- 使用される API 呼び出しは、DELETE /agreements/{agreementId}/documents
です。
このオプションを有効にするには、サポートチームにご連絡ください。
注意事項
- 契約書がターミナル状態に到達すると、1 つのルールしか適用できません。
- ターゲットの削除日(ルールの範囲ごと)を持つ契約書がある限り、ルールは有効のままなので、複数のルールを有効にすることができます。
- 無効化されたルールは、再度有効にできません。永久に無効です。
- 保持ルールは、契約書が作成されたときではなく、契約書がターミナル状態になったときに適用されます。
- 適用される保持ルールは、契約書がターミナル状態になった時点で作成ユーザーが現在所属しているグループに基づきます。
- 待機時間の観点から、契約書がターミナル状態になった後に、契約書に適用された保持ルールを編集する方法はありません。
- ルールを無効にして、契約書が削除されないようにすることができますが、これにより、ルールを採用してまだ削除されていないすべての契約書が削除されなくなります。
- どのルールが契約書に適用されるかは、契約書の監査レポートを確認し、完了した日付を各保持ルールの日付範囲と比較すると確認できます。
- 5475 日は、設定できる最大保持期間です。
