データの保存と削除のスケジュール

1）目的とエリア

• 法律/ライセンス（GDPR/ePrivacy/AML/ローカル行為）を遵守します。
• PIIボリュームを最小化します。
• パフォーマンス（アーティファクト/ログ）の証明性を確保する。
• インシデント・リスクとストレージ・コストの削減

適用範囲：アカウント/プロファイル、KYC/AML、 支払/PSP、ゲームのテレメトリー、RG/SE、 CRM/マーケティング、関連会社、ログ/AWP、 分析/DWH、バックアップ/アーカイブ、プロバイダ/ベンダー、すべてのターゲット市場。

2）原則

1.合法的および目的に制限されています。締め切りは法的根拠と処理目的に関連付けられています。

2.データの最小化。最小フィールド/日付；「永続的なストレージの代わりに匿名化」

3.ローカル・ファースト。リテンションはリージョン内で観察されます（データ常駐）。
4.Policy-as-Data。グラフは機械読み取り可能な記録（図）として保存され、自動化によってバージョン化され適用されます。
5.フェイルクローズ。期限切れ/不明な理由→許可されていない/削除トリガー。
6.オーディタビリティ。各削除/匿名化→WORMストアのアーティファクト。
7.バックアップ対応。バックアップ/アーカイブは同じ期限（暗号切断セグメント）の対象となります。

3）役割とRACI

DPO/コンプライアンス責任者（所有者）-ポリシー、登録、規範の解釈、例外。（A）

法的-市場の法的根拠/期限、法的保有物。（R）

セキュリティ/インフラ-KMS/暗号化、crypto-shred、ログアクセス。（R）

データプラットフォーム/分析-非PII/匿名化、DWH/DLルール。（R）

エンジニアリング/SRE-保持、カスケード、システム/ベンダーとの統合のオーケストレーター。（R）

製品/CRM-締め切りと機能と抑制フローの遵守。（C）

Vendor Manager-削除、プロバイダからの確認のためのDPA/SLA。（R）

内部監査-選択、CAPA、独立した検証。（C）

4）データ分類と基礎

• KUS/年齢/バイオメトリクス-ドキュメント、selfies/liveliness、 verdicts。（根拠：法律/ライセンス、公益；多くの場合5-7年）
• 支払い/PCI-トークン、トランザクション/レジストリ、チャージバック。（理由：契約・会計法・PCI）
• ゲームのアクティビティ-賭け/勝利、ボーナス、割引。（根拠：契約/ライセンス、オペレーターの関心）
• RG/SE-自己排除ステータス、可用性チェック/リアリティチェック。（根拠：法律/ライセンス、公益）
• CRM/マーケティング-連絡先、同意、キャンペーン履歴。（根拠：同意/正当な利益）
• アフィリエイト-クリックID、配置、用語ハッシュ（プレーヤーPIIなし）。（根拠：契約、正当な利益）
• Logs/AWS-テクニカルイベント（デフォルトでPII-free）。（根拠：正当な利益/安全性）
• Analytics/DWH-集計/仮名、ML機能。（根拠：正当な利益/研究）

5）タイムラインマトリックス（フレームワーク）

6）例外とブロック

AML/ライセンス要件-削除アプリケーション（DSAR-erase）より優先され、制限と最小化が適用されます。
法的保持/紛争/調査-削除のためのフラグを停止します。基礎と言葉を修正します。
第三者の権利/秘密-発行/エクスポート時の編集/非同期化。
操作レジスタ（会計など）-主キーを削除する代わりにマスキング。

7）地域プロファイル（テンプレート）

Юрисдикция: ______
KYC/биометрия: срок ___; особые запреты/форматы: ___
Платежи/бухучет: срок ___; маскирование: ___
Игровая активность: срок ___; анонимизация: k≥__
RG/SE: срок ___; политика хранения флага: ___
CRM/согласия: неактивность ≤ __ мес; double opt-in: да/нет
Логи/APM: __ дней; PII-free: да/нет
Бэкапы/архивы: локализация ___; crypto-shred SLA ___
Исключения/легал-холд: условия ___

8） Policy-as-Data： グラフモデル

retention_rule {
rule_id, version, market, data_class{KYC    PCI    GAME    RG    CRM    LOG    ANON},
lawful_basis{consent    contract    legal_obligation    legit_interest    public_interest},
retention_days, grace_days, action_after{erase    anonymize    mask    revoke_token},
pii{yes/no}, residency_region, backups_policy{crypto_shred:true, kms_key_scope:region},
dsar_applicable{yes/no}, exceptions{aml:true, legal_hold:true},
owner{dpo    legal    security    data}, approved_at_utc, next_review_at_utc
}

バージョン管理が必要です：任意の編集→新しいバージョン+移行プラン。

9）ワークフロー（スケッチ）

1.検出：'retention_due_detected' （cron/stream by creationイベント）。
2.対象：例外のチェック（AML/hold/residency）。
3.オーケストレーション：システム/ベンダーのパッケージが形成され、戦略（消去/匿名化）。
4.実行：削除ジョブのカスケード化、トークンの取り消し、バックアップのcrypto-shredセグメントキー。
5.検証：レコードの調整、孤児スキャン、DWH/ログの選択的検証。
6.証拠：WORMのレポート（チェック量、キーID、時間、ボリューム）；ダッシュボードへのリンク。
7.レポート：KPI、アラート、障害が発生した場合のCAPA。

10）バックアップ、アーカイブ、DR

ローカリゼーション：同じリージョン/ブロック内のバックアップ。
暗号化：地域ごとのKMS/HSM；キーは市場/テナントによって区分されます。
Crypto-shredding：期限に達すると-セグメントキーの破壊、'kms_key_id'で報告します。
不変ストレージ：スケジューラで「暗号シュレッドを待っている」とマークします。

11） 分析/DWHおよび匿名化

De-PIIパイプライン：DWHへのエクスポート前-トークン化/切り捨て/k-anon、ビニング日付/地理、まれな値の抑制、差分。レポートのプライバシー。
グローバルレポート-集計のみ；「raw」 PIIを地域外で禁止します。
歴史家の運命：用語の後-プライマリ識別子との関係を破る。

12） DSAR/CMP/ローカリゼーションとの統合

DSAR-erase：同じオーケストレーション/アーティファクト・メカニズムを使用します。AMLとの競合の場合は、削除の代わりに→制限。
CMP/同意：同意の撤回→即時停止処理およびマーケティングデータ保持タイマーの含める。
滞在期間：地域の境界にグラフが適用され、PII輸出は国境を越えたメカニズムに従属しています。

13）削除アーティファクトモデル

erasure_artifact {
job_id, rule_version, market, region, scope{subject    partition    cohort},
systems[], vendors[], method{cascade    crypto_shred    anonymize    mask    revoke_token},
started_at_utc, completed_at_utc, status{ok    partial    failed},
counts{records, tables, bytes}, checksum{before, after},
kms_keys_destroyed[{id, destroyed_at_utc}], orphan_scan{passed    failed},
dsar_case_id?, approvers{dpo, security}, evidence_uri(WORM)
}

14） KPI/KRIおよびダッシュボード

保持コンプライアンス率-期限に達し、SLAで処理されたレコードの割合。
消去時間-トリガーから完了までの平均/95パーセンタイル。
Backup Crypto-Shred SLA-破壊されたキーを持つセグメントの割合。
孤立したデータレート-孤立したレコード/非同期レプリカ。
ベンダー消去Ack-ベンダーからの時間通りの確認。
DSARリンケージ-DSARケースに関連する削除の割合。
Auditability Score-完全なアーティファクトを含むタスクの％。
Exceptions Mix-AML/holdが保持するレコードの割合。

15）チェックリスト

A）デザインとポリシー

• DPO/Legalによって承認されたカテゴリーおよびマーケットレジストリ。
• 法的根拠とaction_afterは、レコードごとに定義されます。
• バージョニングと次のリビジョンの日付をスケジュールします。
• システム/ベンダー/キーマップとローカリゼーションペリメータ。

B）技術と操作

• プレゼンテーションオーケストレーターはすべてのシステムに接続されています。
• カスケードされた削除/マスキング/匿名化がテストされました。
• バックアップ用のcrypto-shred：キーはセグメント化され、レポートが生成されます。
• 孤児スキャンとスケジュールされた検証サンプル。
• WORMアーティファクトストアは監査対象となります。

C）ベンダー

• DPA/SLA：削除期間、確認の形式、罰則。
• 四半期ごとの確認、テストの削除。
• 違反のあるプロバイダのブラックリスト。

16）テンプレート（クイックインサート）

A）スケジュール記録（YAML例）

yaml
- rule_id: CRM-MKT-EMAIL version: 1.3 market: EU data_class: CRM lawful_basis: consent retention_days: 730  # ≤24 мес неактивности grace_days: 30 action_after: erase pii: true residency_region: EU backups_policy: { crypto_shred: true, kms_key_scope: region }
dsar_applicable: true exceptions: { aml: false, legal_hold: true }
owner: dpo

B）ベンダー条項（削除・確認）

C）匿名化の決定（DWH）

key>個々のイベントの期限切れ。私たちは、k ≥ 20、ビニング日（週）、地理-「地域」まで、まれなカテゴリの抑制<0でのみ集計を保存します。5%.

17）頻繁なミスと予防

本番データベースから削除されましたが、バックアップからは削除されません。
PIIはAWS/ログに落ちます。→デフォルトでPII-free、エージェントのマスキング、短い保持。
PIIの尾を持つDWH。→輸出の前の必須のde-PIIパイプライン。
アーティファクトはありません。→"erasure_artifact'とWORMストレージの必須生成。
ベンダーは削除を確認しませんでした。→支払い/制裁、エスカレーション、オフボーディングを保持します。

18）30日間の実施計画

ウィーク1

1.分類/根拠とカテゴリ別の保持のプライマリレジストリを承認します。
2.地域プロファイル（EU/UK/……）を準備する：締め切り、例外、バックアップ。
3.モデル'retention_rule'と'erasure_artifact'を指定します。

ウィーク2

4）プレゼンテーションオーケストレーター（cron/stream）を展開し、キーシステムを接続します。
5）暗号シュレッド（市場別KMS）、キー操作のログを設定します。
6） DWH/レポートのためのde-PIIパイプラインを含んで下さい。

ウィーク3

7）パイロット：2カテゴリ（CRM/ログ）+1ゲームイベント部分→匿名化。
8）ベンダーのテスト：削除と確認の要求。
9） KPI/KRIダッシュボードとアラート（消去時間、孤児率）。

ウィーク4

10）完全な解放；スケジュールと地域プロファイルの四半期ごとのレビュー。
11）発見された残余/違反のためのCAPA。
12）プランv1。1：自動孤児スキャンとベンダーのレポート。

19）相互に関連するセクション

データの削除と匿名化

DSAR： データのユーザー要求

管轄区域によるデータのローカライズ

GDPR： 同意管理/クッキーおよびCMPポリシー

デザインによるプライバシー

At Rest/In Transit、 KMS/BYOK/HYOK暗号化

コンプライアンスダッシュボードとモニタリング/内部および外部監査