Scope
対象データ
このチェックは、ITライセンス棚卸しの確認候補を出すために、利用者が選択したCSVをブラウザ内で読み込みます。
- 人事CSV: 社員番号、氏名、メール、部署、雇用区分、退職日、契約終了日
- Microsoft 365 CSV: 表示名、メール、ライセンス、有効状態、最終サインイン
- サンプルCSVは架空データです
Processing
処理方式
- CSV本文はブラウザ内だけで処理し、サーバーへ送信しません
- ホスト提供時、CSV本文は送信しませんが、通常のWebアクセスログは提供環境により記録される可能性があります
- CSV解析、診断、結果CSV生成はブラウザのメモリ上で行います
- サービス側ではCSV本文、診断結果、診断履歴を永続保存しません
- タブを閉じる、リロードする、または「読み込みデータをクリア」を押すと、画面上の読み込み状態は破棄されます
- 結果CSVをダウンロードした場合、そのファイルは利用者端末側に保存されます
- 実行レポートJSONにはCSV本文を含めず、ファイル名、サイズ、SHA-256、列マッピング、ルールバージョン、単価表、サマリーを含めます
- 前回結果CSVを読み込んだ場合、差分状態の計算にだけ使います。アプリは前回結果CSVも永続保存しません
- HTMLサマリーレポートには診断サマリーと上位確認候補を含みます。社内共有時は結果CSVと同じく情報管理対象として扱ってください
- SHA-256の計算にはHTTPSまたはlocalhostなどのブラウザ機能が有効な実行環境が必要です。計算できない場合、実行レポートJSONは出力しません
Controls
実装上の制御
- 現行の診断画面では、外部スクリプト、CDN、分析タグ、広告タグは使っていません
- 現行の診断画面では、外部通信、Cookie、localStorage、sessionStorage、IndexedDBは使っていません
- 各HTMLにCSP metaを設定し、外部通信と外部リソース読み込みを制限する構成にしています。公開時は同等以上のHTTPレスポンスヘッダー設定も確認してください
- CSV由来データはHTMLとして描画せず、テキストとして表示します
- 結果CSVでは、Excel/Sheetsで数式として解釈されやすい値を無害化します
- CSVは10MB、20,000行、200列までに制限します
- UTF-8とShift-JIS/CP932の読み込みに対応します
- 重複列名と文字化けの疑いがある列名を検知します
M365 Self Check
このチェックで言えること
- CSV本文はサーバーへ送信しません
- 診断はMicrosoft 365と人事CSVの突合に限定します
- 診断結果は確認候補であり、自動停止、自動削除、自動ライセンス回収は行いません
- 削減額は概算です。実際の契約単価、割引、年契約条件は利用者側で確認してください
- このチェックはセルフチェック用途です。個別のCSV整形代行や社内判断の代行は含みません
Responsibility
利用者側の管理
- 診断結果は確認候補です。アカウント停止、削除、ライセンス回収は社内確認後に実施してください
- ライセンス削減額は概算です。実契約単価と請求条件で確認してください
- 画面上の単価表は利用者が実契約単価に合わせて編集できます
- ダウンロードした結果CSVは、利用者側の情報管理ルールに従って保存・共有・削除してください
- 実行レポートJSONもファイル名、ハッシュ、単価表、診断サマリーを含むため、結果CSVと同じく情報管理対象として扱ってください
- サポート依頼時は、実CSVや診断結果ファイルを送らず、列名、件数、エラーメッセージ、利用者側で架空化した再現用サンプルだけを共有してください