Voice Data Collection Not Disclosed in Privacy Policy

プライバシーポリシーにおける音声データ収集の開示漏れ

Risk: medium

説明

アプリケーションはユーザーから音声データまたは音声録音を収集しますが、プライバシーポリシーではこれを明確に開示していません。音声データは個人情報となり得るものであり、固有の識別のために使用される場合は生体情報と見なされる可能性があります。この収集についてユーザーに通知しないことは誤解を招く可能性があり、透明性と同意を要求するプライバシー規制に違反する可能性があります。

推奨事項

音声データまたは音声録音が収集されることを明示するように、アプリケーションのプライバシーポリシーを更新してください。この収集の目的、データの使用、処理、保存方法、保持期間、および実施されているセキュリティ対策を明確に記述してください。特に識別などの機密目的で使用される場合は、マイクにアクセスしたり音声データを収集したりする前に、ユーザーから明確な同意を得ていることを確認してください。

リンク

• GDPR Article 9 - Processing of Special Categories of Personal Data (if used for biometric identification)
• GDPR Article 4 - Definitions (Personal Data - can include voice)
• Apple Developer - Speech Recognition
• Android Developer - Speech To Text
• CWE-359: Exposure of Private Information ("Privacy Violation")

標準

• GDPR:
  • ART_5
  • ART_6
  • ART_7
  • ART_9
  • ART_12
  • ART_13
  • ART_25
  • ART_32
  • ART_35
• CCPA:
  • CCPA_1798_100
  • CCPA_1798_110
  • CCPA_1798_150
• OWASP_MASVS_v2_1:
  • MASVS_PRIVACY_1
  • MASVS_PRIVACY_2
• SOC2_CONTROLS:
  • CC_2_3
  • CC_5_3
  • CC_6_1
• CNIL_FOR_EDITORS:
  • EDITORS_1_2_5
  • EDITORS_3_1_1
  • EDITORS_3_1_2