メインコンテンツへスキップ
データ主体が忘れられる権利を行使するとき、あなたは 2 つのものを必要とします: 彼らのデータのポータブルなコピーと、ユーザー行だけでなく彼らの活動が触れたすべての サーフェスに実際に届く不可逆な削除です。OrcaRouter は両方をセルフサービスにします。 サインインしたアカウントは自身のデータをエクスポートし、自身の削除をスケジュール できます;削除は 30 日猶予ウィンドウに続いて、そのアカウントに結びついた 可観測性レコードをカスケードパージする PII スクラブとして実行されます。 このページは顧客が観測可能な消去フローをカバーします。エビデンスアーティファクト がどこに存在するかについてはデータレジデンシーを 参照;リクエストログが消去とは独立してどれくらい永続するかについては 保持を参照。

1. GDPR 消去 LLM:セルフサービス DSAR フロー

3 つのコンソールアクションがデータ主体アクセスリクエストを端から端までカバー します。それぞれが /api/user/* 配下の UserAuth ルートです — あなたのコンソール セッションによって駆動され、リレー(sk-orca-…)キーでは決してありません:

エクスポート

削除する前に、個人データのポータブルな JSON コピーをダウンロードします。

削除

即座にソフト削除;不可逆なスクラブを +30 日にスケジュールします。

キャンセル

猶予ウィンドウ内のいつでもアカウントを復元します。
エクスポートはデータポータビリティ — DSAR のアクセス半分です。削除は消去半分です。 まずエクスポートを実行してください;スクラブが発火すると、エクスポートするものは 何も残りません。

2. データをエクスポートする(ひとつの具体的なフロー)

コンソールから Account → Privacy を開き、Export my data を選びます。 コンソールがあなたのセッションでこの読み取りルートを駆動します: 
GET /api/user/self/export
Authorization: Bearer <your console session>
レスポンスは、プロフィールと非シークレットの個人データのダウンロード可能な JSON ドキュメントです。エクスポートは明示的な許可リストです — パスワードハッシュ、 システムアクセストークン、OAuth シークレット、webhook/通知の認証情報、リクエスト ログのペイロードボディを決して含みません。
エクスポートは猶予ウィンドウの間利用可能なままです。削除予定のアカウントは ソフト削除されますが、まだエクスポートとキャンセルに到達できます — スクラブが 実行されるまでそのドアを開けておくことの眼目はポータビリティです。

3. 削除をスケジュールする

Account → Privacy → Delete my account はアカウントを即座にソフト削除し、PII スクラブを now + 30 日にスケジュールします: 
DELETE /api/user/self
Authorization: Bearer <your console session>
Content-Type: application/json

{ "password": "<current password>" }
レスポンスはスケジュールされたスクラブ日付を運びます。いくつかのガードが適用 されます:
パスワードアカウントは削除リクエストで現在のパスワードを提供しなければなりません — ハイジャックされたセッションがデータを永久に破壊することへの防御です。 OAuth のみのアカウントはパスワードがありません;認証されたセッションが証明です。
まだ他のメンバーがいる共有チームワークスペースの唯一のオーナーである場合、 削除は拒否されます — そうでなければチームメイトがオーナーのいないワークスペース を継承してしまいます。先に所有権を移譲するか、ワークスペースをアーカイブして ください。
インスタンスの root アカウントは拒否されます — それをセルフ消去すると、 デプロイメントにスーパー管理者がいなくなります。先に root ロールを引き継いで ください。
すでに保留中の間に再び削除を呼び出すと、エラーではなくフレンドリーな「already scheduled」レスポンスを返します。
一度スケジュールされると、あなたのセッションは猶予ウィンドウの残りの間 cancelexport のエンドポイントに制限されます — 保持されたクッキーは もう /api/user/* の残りで認証を通しません。キャンセルは制限を解除し、再ログイン なしにフルアクセスを復元します。

4. 30 日猶予ウィンドウ

猶予ウィンドウは意図的な取り消しバッファです。それが経過するまでアカウントは 消去ではなくソフト削除であり、ひとつの呼び出しがそれを復元します: 
POST /api/user/self/deletion/cancel
Authorization: Bearer <your console session>
スイープがあなたのアカウントを選択するのとスクラブが実行されるのの間のレースに キャンセルが着地した場合、今やアクティブなアカウントは匿名化されません — スクラブはまだ保留中の状態でガードし、復活したものはすべてスキップします。
30 日を DSAR 履行 SLA バッファとして扱ってください。気を変えた主体、または誤って 提起されたリクエストは、ウィンドウが閉じるまで完全に回復可能です — その後、 スクラブは設計により不可逆です。

5. PII スクラブとそのカスケードパージ

猶予ウィンドウが経過すると、スイープがスクラブを実行します。それは単に行を隠す だけではありません — 直接識別子を剥がし、あなたの活動がすべての可観測性 サーフェスにわたって残したレコードをカスケードパージします:
サーフェススクラブが何をするか
アカウント直接識別子を匿名化;認証情報、キー、OAuth バインディング、パスキー、2FA をハード削除
リクエストログリクエストログストアからパージ
会計 / 使用量の行課金のため保持される行で、ユーザー名をリダクトし IP をクリア
ガードレールマッチパージ — 生のマッチした部分文字列を含む
ファイアウォールイベントパージ — あなたに帰属するツール名、IP、リクエスト ID
アカウントフィールドはその場で匿名化され(ユーザー名とメールが deleted-… プレースホルダに書き換えられ、ステータスが無効化される)、そのため永続する適法な 基礎を持つ会計と監査の行は、埋め込まれた個人データを失いながらその形を保ちます。 認証情報を持つものはすべてハード削除されます — 単に隠すソフト削除ではなく、真の 消去です。
カスケードは、コンソールの他の場所で読むのと同じ 3 つのサーフェスに届きます: ガードレールマッチファイアウォールイベント、そしてリクエストログ。スクラブの後、それらのどれも削除された人物に 解決し返しません。これが、コンテンツ層、アクション層、ログにわたって消去を対称的に するものです。
生のマッチしたコンテンツとの区別に注意してください。ガードレールマッチは、その ガードレールの Log raw content トグルがオンのとき(デフォルトはオフ)のみ、 マッチした部分文字列を保存します。いずれにせよ、スクラブはそれらのレコードを 完全にパージします — つまりトグルは、かつて記録されたものを変えるのであって、 削除を生き残るものを変えるのではありません。

6. 消去 vs 保持

消去と保持は 2 つの異なる時計です — 混同しないでください:
  • 保持は、全員のリクエストログをローリングウィンドウでエイジアウトします — 30 日デフォルト、180 日ハード最大値にサーバークランプ。 保持を参照。
  • 消去は、DSAR によってトリガーされる一度限りのアカウントスコープのイベント です:30 日猶予ウィンドウ、それからスクラブ。
主体のログは、彼らが DSAR を提出する前に保持の下で既にエイジアウトしているかも しれません;スクラブはそれでも残っているものに対して実行され、保持された会計の 行をリダクトします。

7. これがどう位置づけられるか

消去権はあなたのデータ主体義務のひとつの部分です。それをリージョンスタンプ済み エビデンスとより広いコンプライアンスループと組み合わせてください:

保持

ローリングのリクエストログウィンドウ — 30 日デフォルト、180 日クランプ — 消去とは独立して動作します。

データレジデンシー

署名付きコンプライアンスレポートが保存され配信されるリージョン。

GDPR パック

コントロールをインストールし、署名付き GDPR エビデンスを監査人に出荷します。

責任共有

ゲートウェイがあなたのために消去するものと、あなたの判断として残るもの。
ゲートウェイは、それが所有するすべてのレコードに届くセルフサービス DSAR を提供 します。削除がいつ必要かを判断し、管轄固有の期限を満たすことは、あなたの判断の ままです — 30 日猶予ウィンドウはそれを下すためのバッファです。