Missing Declaration of Phone Number Collection in Privacy Policy
プライバシーポリシーにおける電話番号収集の宣言の欠落
概要
アプリのプライバシーポリシーにおいて、ユーザーの電話番号の収集に関する記載が欠落しているという脆弱性が存在します。Play Data Safety セクションでこのデータタイプが宣言されているにもかかわらず、記載がないため、ユーザーのプライバシーがリスクにさらされる可能性があります。
推奨事項
ユーザーの電話番号収集に伴う脆弱性を緩和するために、プライバシーポリシーにデータ収集の目的を明確に記載してください。電話番号を収集する前にユーザーから明示的な同意を取得し、この機密情報を不正アクセスや悪用から保護するための強力なセキュリティ対策を実装してください。さらに、データ収集の運用に変更があった場合は、それを反映するためにプライバシーポリシーを定期的に見直し、更新してください。
関連リンク
- Android Privacy Guidelines
- Privacy Policies for Mobile Apps
- Apple Privacy Manifest
- CWE-359: Exposure of Private Information ("Privacy Violation")
基準
- OWASP_MASVS_L1:
- OWASP_MASVS_L2:
- OWASP_MASVS_RESILIENCE:
- CWE_TOP_25:
- GDPR:
- ART_5
- ART_6
- ART_7
- ART_9
- ART_11
- ART_13
- ART_15
- ART_16
- ART_17
- ART_32
- CCPA:
- CCPA_1798_100
- CCPA_1798_105
- CCPA_1798_110
- CCPA_1798_115
- CCPA_1798_120
- CCPA_1798_125
- CCPA_1798_130
- CCPA_1798_135
- CCPA_1798_140
- CCPA_1798_150
- PCI_STANDARDS:
- OWASP_MASVS_v2_1:
- MASVS_PRIVACY_1
- MASVS_PRIVACY_2
- MASVS_PRIVACY_3
- MASVS_PRIVACY_4
- OWASP_ASVS_L1:
- OWASP_ASVS_L2:
- OWASP_ASVS_L3:
- SOC2_CONTROLS:
- CC_2_3
- CC_5_3
- CNIL_FOR_EDITORS:
- EDITORS_3_1_1