User Photos and Media Collection Not Disclosed in Privacy Policy

プライバシーポリシーにおけるユーザーの写真およびメディアの収集に関する開示の欠落

リスク: medium

概要

アプリケーションはユーザーの写真、動画、またはその他のメディアファイルにアクセスまたは収集しますが、プライバシーポリシーにはこのことが明確に開示されていません。ユーザーのメディアは非常に個人的で機密性の高い情報となる可能性があります。ユーザーに対してメディアファイルのアクセスまたは収集方法を通知しないことは誤解を招く恐れがあり、このような処理に対する透明性とユーザーの同意を求めるプライバシー規制に違反する可能性があります。

推奨事項

アプリケーションのプライバシーポリシーを更新し、ユーザーの写真、動画、またはその他のメディアファイルにアクセスまたは収集するかどうか、およびその方法を明記してください。このアクセスまたは収集の目的、メディアの使用、処理、保存方法、およびその保持期間を明確に説明してください。ユーザーのメディアにアクセスする前に明確なユーザーの同意が得られていること、およびユーザーがこれらの権限を制御できることを確認してください。

リンク

• GDPR - 個人データの定義（画像を含む）
• Apple Developer - 保護されたリソースへのアクセス（フォトライブラリ）
• Android Developer - Storage Access Framework
• CWE-359: Exposure of Private Information ("Privacy Violation")

基準

GDPR: * ART_5 * ART_6 * ART_7 * ART_12 * ART_13 * ART_25 * ART_32 * CCPA: * CCPA_1798_100 * CCPA_1798_110 * CCPA_1798_150 * OWASP_MASVS_v2_1: * MASVS_PRIVACY_1 * MASVS_PRIVACY_2 * SOC2_CONTROLS: * CC_2_3 * CC_5_3 * CC_6_1 * CNIL_FOR_EDITORS: * EDITORS_3_1_1 * EDITORS_3_1_2 * EDITORS_5_1_1