このガイドでは、Discourse 上でのユーザー自身の行動を通じて、個人が特定可能な情報(PII)が公的に、あるいは不用意に共有される可能性のあるすべての場所と、管理者がこれらのオプションを制限または管理する方法を特定します。
必要なユーザーレベル:管理者
Discourse では、ユーザーが意図的かつ偶発的に、自分自身に関する情報を共有する複数の方法があります。これらの領域を理解することは、管理者が適切な保護措置を実装し、ユーザーにプライバシーに関するベストプラクティスについて教育する上で役立ちます。
概要
Discourse が自動的に保存するデータ(IP アドレス、メールアドレス、認証情報など)とは異なり、このガイドではユーザーが能動的に情報を共有する場所について説明します。ユーザーは、プロフィール情報、投稿やメッセージ、カスタムフィールド、ユーザーステータス、その他のコミュニティ機能を通じて PII を共有できます。これらの機能の多くは、サイト管理者によって無効化または制限することができ、偶発的な PII の漏洩リスクを低減できます。
ユーザーが PII を公的に共有できる場所
ユーザーは、Discourse 内の複数の領域で個人を特定可能な情報を共有できます。
- ユーザー名 - サイト全体で公開され、すべての投稿ややり取りに表示されます
- 名前 - ユーザー名 alongside 表示されるオプションの表示名
- プロフィール(自己紹介) - ユーザープロフィールにある経歴情報セクション
- ウェブサイト - ユーザーカードやプロフィールに表示されるオプションのウェブサイト URL フィールド
- 所在地 - ユーザーカードやプロフィールに表示されるオプションの所在地フィールド
- 投稿 - トピック、返信、プライベートメッセージ、チャットメッセージ、コメントを含む
- カスタムフィールド - サイト管理者によって定義された追加フィールド(「職業」や「会社」など)
- ユーザーステータス - 「退席中」や「在宅勤務中」などの一時的なステータスメッセージ
- タグ - 情報を共有しようとするユーザーが
my-name-is-jenny-call-me-at-867-5309のようなタグを作成する可能性があります
これらの機能の多くは、サイト管理者によって無効化または制限できます。
プライベートメッセージはエンドツーエンド暗号化されていません。サイト管理者は PM のコンテンツにアクセスでき、サイトの構成によってはモデレーターもアクセスできる場合があります。
プロフィールに基づく PII の露出
ユーザー名
ユーザー名はサイト全体で公開され、すべての投稿、トピック、ユーザーのやり取りに表示されます。ユーザーは登録時にユーザー名を選択します。
管理者オプション:
- ユーザー名は無効化できません(Discourse には必須です)
min_username_lengthとmax_username_lengthを設定してユーザー名の形式を制御しますusername_change_periodを設定し、アカウント登録時に選択の意図を理解していなかった場合にユーザーが自身でユーザー名を変更できる猶予期間を設けます。デフォルト値は 3 日です。ユーザー名変更期間が経過した後、ユーザーはサイト管理者にユーザー名変更を依頼する必要があり、管理者はユーザー管理プロフィールからユーザー名を変更できます。
名前
「名前」フィールド(「フルネーム」とも呼ばれる)は、ユーザー名 alongside 表示されるオプションのフィールドです。
管理者オプション:
enable_namesサイト設定を使用して名前の表示を無効化しますfull_name_requirement設定で名前の要件を制御しますprioritize_username_in_uxを使用して、インターフェース全体で名前よりもユーザー名を強調します
プロフィールの「自己紹介」
ユーザーはプロフィールに経歴情報を追加でき、これはデフォルトで公開されます。
管理者オプション:
hide_user_profiles_from_publicを有効にして、匿名ユーザー向けのユーザーカード、ユーザープロフィール、ユーザーディレクトリを無効化しますhide_new_user_profilesを有効にして、新規ユーザーのプロフィールを非表示にします(デフォルトで有効)allow_users_to_hide_profileを有効にして、ユーザーが自身のプロフィールを非表示に選択できるようにしますdefault_hide_profileを true に設定して、新規ユーザーのプロフィールをデフォルトで非表示にします
ウェブサイト
ユーザーはプロフィールにオプションでウェブサイト URL を追加でき、これはユーザーカードとプロフィールページで公開されます。
管理者オプション:
allowed_user_website_domains設定を使用して、ユーザーがリンクできるウェブサイトドメインを制限します(デフォルトは空で、すべてのドメインが許可されます)- プロフィールを非表示にすること(上記参照)により、このフィールドへの公開アクセスを防ぐことができます
所在地
ユーザーはオプションで所在地を指定でき、これはユーザーカードとプロフィールに表示されます。
管理者オプション:
- このフィールドは個別に無効化できません。常にユーザー向けのオプションフィールドとして利用可能です。ただし、プロフィールを非表示にすること(上記参照)により、公開アクセスを防ぐことができます
- 所在地データの共有に伴うプライバシーへの影響についてユーザーに教育します
カスタムフィールド
管理者は、サインアップ時とユーザープロフィールに表示されるカスタムユーザーフィールドを作成できます。これらのフィールドは不用意に PII を収集する可能性があります。
管理者オプション:
- すべてのカスタムユーザーフィールドを PII 収集の観点から慎重にレビューします
- コミュニティに必要なカスタムフィールドのみを作成します
- 機密性の高いフィールドは必須ではなくオプションにする検討を行います
- 「公開プロフィールに表示」オプションを慎重に使用します
ユーザーステータス
ユーザーステータス機能を使用すると、ユーザーは絵文字とオプションの有効期限を伴う一時的なステータスメッセージ(「退席中」や「在宅勤務中」など)を設定できます。
管理者オプション:
- ユーザーステータスはデフォルトで無効化されており、
enable_user_statusサイト設定で管理されます - 有効化した場合、ステータスメッセージに PII を含めないようにユーザーに教育します
コンテンツに基づく PII の露出
投稿と返信
ユーザーは以下のすべての投稿コンテンツに PII を含めることができます。
- トピック
- 返信
- コメント(JavaScript を通じて別のウェブサイトに Discourse コメントを埋め込む)
- プライベートメッセージ(PM)
- チャットメッセージ(Chat プラグインが有効な場合)
管理者オプション:
- AI トリアージまたは
watched_words機能を使用して、特定のパターン(電話番号、住所など)をフラグ付けまたはブロックします - 管理者とモデレーターは、組み込みのスタッフアクション(編集、削除、フラグ付きまたは保留中のコンテンツのキューのレビュー)を通じて、コンテンツ内の PII を迅速に編集または削除できます。
edit_history_visible_to_public設定を使用して、PII 削除後の編集履歴を誰が見られるかをグローバルに制御するか、または個別の PII 削除に対しては改訂履歴モーダルの「改訂を非表示」ボタンを使用します。
トピック
トピックタイトルは(プライベートカテゴリでない限り)公開され、不用意に PII を含む可能性があります。
管理者オプション:
- スタッフアクションを使用して、PII を含むトピックタイトルを迅速に編集します
- 機密性の高い議論エリアをプライベートカテゴリにする検討を行います
チャットメッセージ
Discourse Chat プラグインが有効な場合、ユーザーはチャットチャンネルやダイレクトメッセージで PII を共有できます。
管理者オプション:
- チャットへのアクセス権を持つグループを慎重に設定します
タグに基づく PII の露出
適切な権限を持つユーザーはタグを作成できます。極端な場合、ユーザーが PII を含むタグを作成する可能性があります。
例: 電話番号を共有しようとするユーザーが my-name-is-jenny-call-me-at-867-5309 のようなタグを作成する可能性があります
管理者オプション:
Create tag allowed groups設定を使用して、タグ作成を信頼されたユーザーレベルに制限します