Biometric Data Collection Not Disclosed in Privacy Policy

プライバシーポリシーにおける生体認証データ収集の非開示

Risk: medium

説明

アプリケーションは指紋や顔認識データなどの生体認証データを収集していますが、プライバシーポリシーでこれを開示していません。個人の識別に使用される生体認証データは、その機密性と不変性から、GDPRなどのプライバシー規制において、通常、特別な種類の個人情報と見なされます。この収集についてユーザーに通知しないことは誤解を招く可能性があり、明示的な同意と透明性に関する法的要件に違反する可能性があります。

推奨事項

生体認証データを収集していることを明記するように、アプリケーションのプライバシーポリシーを更新してください。収集される生体認証データの種類、収集の具体的な目的（例：認証）、安全に処理および保存される方法（暗号化やテンプレート保護などのセキュリティ対策を含む）、ユーザーの同意メカニズム（多くの場合、明示的である必要があります）、およびデータ保持期間を明確に定義してください。この種のデータ処理については、データ保護影響評価（DPIA）の実施を検討する必要があります。

リンク

• GDPR Article 9 - Processing of Special Categories of Personal Data
• GDPR Article 35 - Data Protection Impact Assessment
• ISO/IEC 24745 - Biometric Information Protection
• CWE-359: Exposure of Private Information ("Privacy Violation")

標準

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_1_2_5
  • EDITORS_3_1_1
  • EDITORS_3_1_2
  • EDITORS_4_1_1