コンプライアンスと監査
Enterprise Checklists for Jiraは、SOC 2、SOX、HIPAA、ITIL、ISO 27001プログラムなどの監査人に対してチェックリストの証拠を証明する必要がある環境向けに設計されています。このページでは、アプリの機能(および同様に重要なこととして、アプリが主張していないこと)について説明し、お客様の統制フレームワークに適切にマッピングできるようにします。
自動監査証跡
すべての操作は自動的にログに記録されます。ユーザーの操作は必要ありません。
- 記録されるイベント: アイテムの作成、チェック、チェック外し、テキストの編集、削除、並べ替え、およびテンプレートの同期。
- デュアルライト(二重書き込み)ストレージ:
- アプリのForgeストレージ内の信頼できるログ(エクスポートおよび外部監査のための信頼できる情報源(SSOT))。
- Checklist Audit Logカスタムフィールドに書き込まれるベストエフォートのサマリー。これにより、最近のアクティビティがJiraのネイティブの「履歴」タブに表示されます。
- 改ざん検知可能(暗号学的な不変性ではない): ログは自動化されており、Jiraのフィールドレベルのアクセス制御によって保護されていますが、ブロックチェーンではありません。マーケティングや内部統制のドキュメントでは、_不変(immutable)_ではなく、_自動監査証跡(automated audit trail)_として記述する必要があります。
課題のステータスロック
クローズされたチケットの「完了の定義(Definition of Done)」を誰も密かに変更できないようにする、SOC 2に準拠した保証です。
- 課題のステータスが**
Doneステータスカテゴリ**(Done、Closed、Resolved、またはそのカテゴリにマッピングされたカスタムステータス)に入ると、チェックリストは読み取り専用になります。 - すべての変更操作(チェック、チェック外し、編集、削除、並べ替え、テンプレートの適用)はUIとバックエンドの両方で拒否されるため、APIや自動化の経路でもこのロックを回避することはできません。
- チェックリストは引き続き表示およびエクスポート可能ですが、変更のみがブロックされます。
CSV監査エクスポート
証拠収集のために、承認されたユーザー(Jira管理者、プロジェクト管理者)によって抽出されます。
- 課題ごとのエクスポート — 単一の課題のチェックリストパネルから直接実行します。
- プロジェクトごとの一括エクスポート — 管理ダッシュボードのExportタブから実行します。大規模な環境向けにページネーションされています。
- 監査人に優しい列構成 — Issue Key列には人間が読めるJiraキー(例:
CMSP-7)が使用されるため、監査人は課題を直接相互参照できます。 - OWASPの数式インジェクション保護 — ユーザーが制御するフィールドの先頭にある
=、+、-、@、タブ、およびCR文字は無効化されるため、ExcelやGoogleスプレッドシートでCSVを開いても数式が実行されることはありません。
ワークフローの強制
Checklist Completeワークフローバリデーターは、すべてのチェックリストアイテムがチェックされていない限り、ターゲットステータスへのトランジションをブロックします。チェックリストがない課題はバリデーターを通過します(そのため、レガシーチケットが滞留することはありません)。ステータスロックと組み合わせることで、_クローズ前のゲート_と_クローズ後の凍結_の両方を実現します。
ネイティブの通知と自動化
- アイテムの完了時にウォッチャー/担当者への通知がネイティブにトリガーされるため(管理者による切り替え可能)、コラボレーションのループが途切れることはありません。
- すべてのチェック/チェック外しは課題プロパティ**
enterprise-checklist-event**に書き込まれます。これは、チケット管理、GRC、またはチャットツールへの証拠のルーティングのために、Issue property changedトリガーを介して任意のJira Automationルールで利用できます。
一般的なフレームワークへのマッピング
| フレームワーク | 統制領域 | アプリの支援内容 |
|---|---|---|
| SOC 2 | CC7.2 / CC8.1 — 変更管理とモニタリング | すべてのチェックリスト変更の自動監査証跡。Done時のステータスロック。CSV証拠エクスポート。 |
| SOX | ITGC変更統制 | 本番環境に影響を与えるトランジションでのChecklist Completeバリデーター。プロジェクトごとの一括監査エクスポート。 |
| HIPAA | §164.308(a)(1) 管理的セーフガード | Cloud Infrastructure ePHI Baselineスターターテンプレート。プロジェクトごとの有効化。Jiraから継承される制限付き編集権限。 |
| ITIL | 変更およびインシデント管理 | 順次手順のためのRead-Doタイピングを備えたIncident ManagementおよびProduction Deploymentスターターテンプレート。 |
| ISO 27001 | A.12.1.2 変更管理 | 追記専用のテンプレート同期によるローカル編集の保持。監査人が読み取れるCSVエクスポート。 |
GDPRとデータレジデンシー
- Forgeのデータ境界: すべてのチェックリストデータはAtlassianのForgeストレージ内に保存され、Atlassianのデータレジデンシーのコミットメントを継承します。
- Personal Data Reporting API: 毎週スケジュールされたジョブにより、追跡されたAtlassianアカウントIDがAtlassianのPersonal Data Reporting APIに報告されます。
- 忘れられる権利: Atlassianがアカウントのクローズを通知すると、そのアカウントを参照するすべてのチェックリストレコードは匿名化されます。監査ログの整合性を維持しつつ、アカウントIDはセンチネル値に置き換えられます。
アクセシビリティ
- WCAG 2.1 レベルAA準拠。
- すべての操作(チェック、チェック外し、編集、並べ替え、削除、テンプレートの適用)は、完全にキーボードナビゲーション可能であり、スクリーンリーダーに対応しています。
セキュリティ
- すべてのエントリポイント(UI、REST、自動化の経路)での入力検証。
- アイテムテキストでのXSSを防ぐための、レンダリング時のMarkdownサニタイズ。
- 前述の通りのCSV数式インジェクション保護。
- アプリケーションログにPIIを含まない: アカウントIDや表示名が運用ログに表示されることはありません。
- 並行処理の安全性: 同じチェックリストに対する同時編集は楽観的並行性制御によって保護されるため、競合する書き込みによってデータが気付かずに失われることはありません。
国際化
アプリは現在英語で提供されています。UIはローカライズのために完全に外部化されています。