ポリシー設定ガイド

ポリシーとは

組織ポリシーは、ベンダーを自動的に3つの判定に分類するルールを定義する機能です：

• Allow（許可） — 組織の要件を満たしており、利用可能です。
• Deny（拒否） — 要件を満たしておらず、利用すべきではありません。
• Review（要審査） — 判定前に手動レビューが必要です。

ポリシーの作成・編集はorg_adminユーザーのみ可能です。すべてのorgメンバーがベンダー一覧でポリシー判定を確認できます。

ポリシールールの作成

各ポリシーには優先順位順に評価される1つ以上のルールが含まれます。ルールの作成方法：

1. 組織のポリシーページに移動します。
2. 「ルールを追加」をクリックします。
3. 優先度を設定します（小さい数値が先に評価されます）。
4. 判定（allow、deny、review）を選択します。
5. 1つ以上の条件を定義します。
6. ルールを保存します。

ルール条件

条件はルールがいつマッチするかを決定します。AND/ORロジックで複数の条件を組み合わせることができます。利用可能な条件パス：

• transparency_score — ベンダーの透明性スコア（0〜100）。例：transparency_score >= 70で高い透明性を要求。
• adoptability — 採用可否の評価：green、yellow、red、not_assessable。
• evidence_level — 利用可能な証跡のレベル：E0〜E4。
• fact.<fact_key> — 特定の評価項目を確認。例：fact.data.dpa_available eq trueでDPAの提供を要求。

利用可能な演算子：eq、neq、in、not_in、gte、lte、exists、not_exists。

優先度と評価順序

ルールは優先度の小さい順に評価されます。条件が最初にマッチしたルールの判定が適用されます。どのルールにもマッチしない場合、ポリシーのデフォルト判定（通常は「review」）が適用されます。

設定例：

1. 優先度1 — adoptabilityがredならDeny。
2. 優先度2 — transparency_scoreが70以上かつDPAありならAllow。
3. 優先度3 — その他はすべてReview（デフォルト）。

ポリシーのテスト

ポリシーを有効化する前に、特定のベンダーに対してテストできます：

1. ポリシーページで「ポリシーをテスト」をクリックします。
2. ドロップダウンからベンダーを選択します。
3. どのルールがマッチし、どの判定が適用されるかが表示されます。

これにより、ルールが期待通りの結果を生成するかを、組織のベンダー一覧に影響を与える前に確認できます。