Identity Verification Information Collection Not Disclosed in Privacy Policy
プライバシーポリシーにおいて開示されていない本人確認情報の収集
説明
アプリケーションは、政府発行の身分証明書の画像や確認用の自撮り写真など、本人確認のための情報を収集しますが、プライバシーポリシーにはこのことが明確に開示されていません。この種のデータは機密性が高く、個人の法的な身元に直接関連しています。この収集についてユーザーに通知しないことは誤解を招く可能性があり、明示的な同意と厳格な保護措置を要求するプライバシー規制に違反する可能性があります。
推奨事項
アプリケーションのプライバシーポリシーを更新し、本人確認情報が収集されることを明示的に記載してください。収集される情報の種類、収集の具体的な目的、安全な処理と保存方法、保持期間、およびこのデータに関するユーザーの権利を明確に説明してください。ユーザーの明示的な同意が得られていること、およびすべての慣行が適用されるデータ保護法に準拠していることを確認してください。
リンク
- GDPR Article 9 - Processing of Special Categories of Personal Data (if biometrics involved in ID)
- GDPR Article 32 - Security of Processing
- NIST Special Publication 800-63A - Digital Identity Guidelines: Enrollment and Identity Proofing
- CWE-359: Exposure of Private Information ("Privacy Violation")
標準
- GDPR:
- ART_5
- ART_6
- ART_7
- ART_9
- ART_12
- ART_13
- ART_25
- ART_32
- ART_35
- CCPA:
- CCPA_1798_100
- CCPA_1798_110
- CCPA_1798_150
- OWASP_MASVS_v2_1:
- MASVS_PRIVACY_1
- MASVS_PRIVACY_2
- SOC2_CONTROLS:
- CC_2_3
- CC_5_3
- CC_6_1
- CNIL_FOR_EDITORS:
- EDITORS_1_2_5
- EDITORS_3_1_1
- EDITORS_3_1_2
- EDITORS_4_1_1