Device and Network Information Collection Not Disclosed in Privacy Policy

デバイスおよびネットワーク情報の収集がプライバシーポリシーに記載されていない

リスク: medium

説明

アプリケーションはIPアドレス、デバイス識別子、オペレーティングシステムのバージョン、ネットワークの詳細などのデバイスまたはネットワーク情報を収集していますが、プライバシーポリシーにはこのことが明記されていません。これらのデータの一部はアプリの機能やセキュリティに不可欠ですが、ユーザーには何が収集され、どのような理由で収集されるかが通知されるべきです。この開示を怠るとユーザーに誤解を与え、識別子が個人と結び付けられる場合にはプライバシー規制に違反する可能性があります。

推奨事項

アプリケーションのプライバシーポリシーを更新し、収集されるデバイスおよびネットワーク情報の種類を明記してください。この収集の目的（例：アプリの機能、セキュリティ、分析、パーソナライゼーション）、データの使用・保存方法、および保持期間を明確に説明してください。このデータ収集に関してユーザーに対する透明性を確保してください。

リンク

• GDPR第4条 - 定義（オンライン識別子）
• Apple Developer - User Privacy and Data Use
• Android Developer - Privacy
• CWE-359: Exposure of Private Information ("Privacy Violation")

基準

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_12
  • ART_13
  • ART_25
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_3_1_2