bubbleにおけるプライバシールールについて

macchi_hal · 2022 年 8 月 20 日午後 2:01

bubbleで業務効率化アプリを作成し、複数の企業の情報をアプリ内に登録するとします。この時、

①プライバシールールを用いることで他企業へのデータアクセスを防ぐことは可能か

②コンプライアンス的に問題があるか

の二点についてお伺いできればと思います。

①について、業務効率化アプリのため社員のデータやそれらを記載したPDFファイルをアップロードすることを想定しています。例えば健康診断データについて、

「健康診断」というテーブルを作成し、

・実施年月日(date)
・健康診断結果(text)
・どのユーザーか(User)
・アップロードファイル(file)

のフィールドを用意したと仮定します。ここで、もう一つ

・どの会社か(会社情報)

というフィールドを用意し、Userテーブルにも

・どの会社か(会社情報)

を用意します。会社情報テーブルは

・会社名(text)

のみで構成され、会社を判別するためだけに使用されます。

この時、プライバシールールを

This 健康診断’s どの会社か is Current user’s どの会社か

で定義することで、一応データの表示に関しては制限をすることが出来ました。しかし、実際に他社がそのデータにアクセスできてしまうのではないかと不安です。プライバシールールに詳しい有識者の方、教えていただけないでしょうか、、、

個人的には、ここのプライバシールールさえクリアできれば1つのアプリに複数の企業を詰め込んでも問題ないかなと予想しています。

よろしくお願いします。

jansnap · 2022 年 8 月 21 日午前 12:58

PDFファイルにもアクセス制限をかける必要があります。
ファイルのアップロード時に、アクセス許可したいユーザーが見られるレコード（＝プライバシールールで制限されたレコード）を指定します。

macchi_hal · 2022 年 8 月 21 日午前 6:20

ありがとうございます！調べてみるとそこについて記述している記事が見つかりました！

make this file private にチェックを入れて、 attach this file to のところなのですが、ユーザー1人しか入れることはできないのでしょうか？ do a search for で適合するユーザー(今回だと複数いる管理者ユーザー)すべてに公開したいので、ここを何とかしたいです、、、

画像は実際にsearch for で出た赤字とエラー表示です、、

2022-08-21 (2)

jansnap · 2022 年 8 月 21 日午前 11:34

特定の1レコードを見られるユーザーに公開する事ができます。
（ファイルごとに固定の1レコードを指定します）

ただし、アップロードされた時点でそのレコードが存在していて、そのレコードにプライバシールールが設定されている必要があります。

複数ユーザーに公開したい場合は、プライバシールール側で工夫する必要がありますね。

K.nakata · 2022 年 8 月 21 日午後 12:15

これで問題なくその企業に属するユーザーだけ閲覧できる設定になっていますよ！

ファイル権限に関しては、僕もいまだにあまり理解できてなくて @jansnap さんにぜひまた教えていただきたいです(笑)

macchi_hal · 2022 年 8 月 22 日午前 9:42

ありがとうございます、、、

実際にどのようにプライバシールールを組む必要がありますか？教えていただけると有難いです、、

macchi_hal · 2022 年 8 月 22 日午前 9:43

よかったです！もう少し詳しく勉強してみます！

jansnap · 2022 年 8 月 24 日午前 12:20

例えば、「FileInfo」というテーブルを使ってファイル管理する場合、
FileInfoテーブルとUserテーブルに「company」というカラムを作ると、
プライバシールールでWhenに「Current User’s company is This FileInfo’s company」のように指定でき、companyで制限することができます。そこで「View Attached files」にチェックを入れれば、ファイルのアクセス制御ができます。

「Everyone else (default permissions)」の「View attached files」のチェックを外すのを、お忘れなく。

macchi_hal · 2022 年 8 月 25 日午前 10:21

お返事ありがとうございます、

ご指摘いただいたプライバシールールは既に作成していて質問文にも書いてあるのですが、、

つまりこのプライバシールールを作ればアップロードファイルを他者に閲覧されることはなく、jansnapさんが指摘したファイルアップローダー内での制限設定も要らない、ということですか？

jansnap · 2022 年 8 月 26 日午前 1:08

分かりづらくてすみません。
「健康診断」テーブルで管理するのであれば、その中の1レコードを、ファイルアップロード時の「Attach this file to」に指定すればOKです。

macchi_hal · 2022 年 8 月 30 日午前 4:10

すみません、、

仰る意味が分かりません、、「その中の1レコード」とは何ですか、、？

「その中の1レコード」というのが分からなくて、「attach this file to」に何を入れればいいのかわかりません、、、

jansnap · 2022 年 8 月 31 日午前 5:40

書いていただいた情報からの推測なので、外していたらすみません。

例えばAさんの健康診断結果を管理する場合、以下の流れになると思います。

（「健康診断」テーブルが作成されている前提）

「健康診断」テーブルに、実施年月日、健康診断結果、どのユーザーか＝Aさん。を書き込む
AさんへのPDFファイルをアップロードする。この際に、「Attach this file to」に「健康診断」テーブルのAさんのレコードを指定する
アップロード後に、アップロードファイルの情報をAさんのレコードに書き込む

これで伝わるでしょうか・・・？

macchi_hal · 2022 年 9 月 1 日午前 11:20

つまり、いきなり create a new thing で「実施年月日(date)」や「健康診断結果(text)」と一緒に「pdfデータ(file)」を記録するのではなく、

先に create a new thing で「pdfデータ(file)」以外のカラムを含んだレコード(仮に unique id を1234とする)を記録し、次のステップとして make change to thing でレコード(unique id = 1234)に「pdfデータ(file)」を追加、その際のファイルアップローダーの attach this file to には do a search for などを使ってそのレコード(unique id = 1234)を入力すればいいということですか？

もしそうだとすると、 attach this file to にレコード(unique id = 1234)を入力することで、ファイルを閲覧できるユーザーが特定の一人ではなく privacy rule によって定義された任意のユーザーになるため、実質 privacy rule の定義によって複数人にファイルの閲覧権限を与えることが出来る、ということでしょうか？

jansnap · 2022 年 9 月 2 日午前 12:37

はい！その通りです！

macchi_hal · 2022 年 9 月 2 日午前 4:35

伝わりました！丁寧にありがとうございます！！！！

macchi_hal · 2022 年 9 月 7 日午後 3:24

実際にやったらエラー消えました！ほんとうにありがとうございます！！！

トピック		返信	表示
Bubbleアプリにおける同時アクセス数(負荷分散) bubble バックエンドwork , flowフロントエンドバックエンドデータ	3	708	2023 年 1 月 26 日
データ表示のパフォーマンスについて bubble バックエンドデータベース	1	203	2023 年 8 月 7 日
有料プランアプリの変更について bubble	4	562	2022 年 1 月 28 日
アドレスの一部暗号化について bubble	5	305	2022 年 3 月 2 日
【Bubble】日報機能の作成 bubble フロントエンド	2	180	2023 年 5 月 22 日

bubbleにおけるプライバシールールについて

関連トピック