External Account Information Collection Not Disclosed in Privacy Policy

プライバシーポリシーに開示されていない外部アカウント情報の収集

Risk: medium

説明

このアプリケーションは、ユーザーの外部アカウント（ソーシャルメディアのプロフィールや他のサードパーティサービスなど）から情報にアクセスまたは収集していますが、プライバシーポリシーにはこれが明確に開示されていません。これには、プロフィール情報、連絡先リスト、またはリンクされたアカウントからのその他のデータが含まれる可能性があります。このデータアクセスについてユーザーに通知しないことは誤解を招く恐れがあり、プライバシー規制に違反する可能性があります。

推奨事項

外部アカウントからの情報がアクセスまたは収集されるかどうか、およびその方法を明示するようにアプリケーションのプライバシーポリシーを更新してください。取得される情報の種類、このアクセスの特定の目的、データの使用方法、保存方法、保持期間、および主要アプリケーションとの共有について明確に記述してください。ユーザーが外部アカウントをリンクする前に明確な同意を提供し、どのデータにアクセスされるかを理解できるようにしてください。

リンク

• GDPR - Personal Data Definition
• OAuth 2.0 Standard
• CWE-359: Exposure of Private Information ("Privacy Violation")

標準

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_12
  • ART_13
  • ART_25
  • ART_32
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_3_1_1
  • EDITORS_3_1_2