今、世界が注目しているプライバシーリスクは何だ？

先日、世界中のセキュリティ専門家による、オープンソース・ソフトウェアコミュニティ（OWASP）から、Webアプリケーションおよび関連する対策における プライバシーリスク Top１０ が発表されました。

OWASP Top 10 Privacy Risks

法的な問題だけでなく、現実的なリスクに焦点をあてた、技術的、組織的なプライバシーリスクをカバーしているので、Webアプリケーションのプライバシーリスク対策のヒントとして参考になります。

ということで、
本日は、「OWASP プライバシーリスク Top10」について整理してみました。

👑１位　Webアプリケーションの脆弱性

脆弱性は、機密性の高い個人データの保護や、業務上の重大なシステムの問題。

アプリケーションの適切な設計と実装、問題の検出、修正（パッチ）の迅速な適用を怠ると、プライバシーが侵害される可能性がある。

２位　オペレーター側のデータ漏えい

個人データまたは個人データに関連する情報が、許可されていない第三者に漏洩し、データの機密性が失われるのを防がなければならない。

意図的な悪意のある違法行為の他、たとえば、不十分なアクセス管理制御、安全でないストレージ、データの重複、または認識の欠如が原因で引き起こされる。

３位　不十分なデータ侵害対応

意図的か否かに関わらず、発生したインシデントや情報漏洩について、影響を受ける人（データ主体）に対して通知していない場合がある。

TOP３は、情報セキュリティ業界では、すっかりおなじみですね。

４位　すべてに同意する

正当な処理に対する同意の集約。

一括して同意を求め、目的ごとに個別に同意を取得していない。
（たとえば、Web広告やプロファイリングでの利用）

GDPR施行の影響もあってか、前回（2017）１４位から急上昇
海外で急速に関心が高まっている注目のトピックです。

国内法では、個人を特定しない限り、Cookie情報の取得に対して同意取得の義務は生じませんが、多くのユーザーはそんなこと判りません。
Cookie同意バナーを表示するとか、何らかのケアが必要になると思います。

５位　不透明なポリシー、利用規約

データの収集、保存、処理など、データの処理方法について、十分な情報が提供されていない。

たとえば、弁護士以外の人でも簡単に理解できるようにしなければならない。

正確に説明しようとすると複雑に…
わかり易く説明しようとすると長文に…
なかなか難しい課題です。

６位　個人データの削除が不十分

個人データの目的の終了後、または本人の要求に応じて、個人データがタイムリー（効果的）に削除されていない。

日本では、不要になった個人データの削除は、これまで努力義務でしたが、改正法では本人の求めに応じて削除出来るようにしなければなりません。

７位　不十分なデータ品質

個人データの内容が古かったり、正しくなかったり、または偽の個人データを使用していたりする。

引っ越したので、登録した住所には知らない人が住んでいます…
これは確かに良くない。

８位　セッションの有効期限がないか不十分

セッションの終了が確実ではない。

ユーザーの同意または認識なしに、追加の個人データが収集される可能性がある。

個人的には、アプリを閉じても、ずーーーーーっとログイン状態を保持してくれる機能は便利なんだけどなぁ…（←意識低い系）

９位　ユーザーがデータにアクセスして変更できない

ユーザーが自分に関連するデータにアクセス、変更、または削除することができない。

今となっては、会員情報の編集は当たり前になっていますが、決済系のサービスでは自由に編集でき過ぎると別の問題が起きます。
注文のキャンセルや数量の変更なんかもこれにあたりそうです。
カートに入れたのを忘れて、ある日注文したら、同じ本が３冊届きました。

１０位　ユーザーの同意を得た目的と異なるデータの収集

システムの目的に関係のない、分析データ、統計データ、またはその他の個人の関連データが収集されている。
これには、ユーザーが同意（認識）していないデータの収集も含まれる。

「データの過剰収集」や「すぐに必要ないデータの収集」は、データ収集の目的が欠落するため生じやすくなります。

ランキング上位ほど、実際に問題が生じていたり、対策が不十分と感じている人が多いということ。

プライバシーリスク対策と言っても、その観点は広範囲にわたるので、どこから手をつけたら良いか迷ったときは、このランキング上位の観点から現状の棚卸してみるのも良いと思います。

OWASPとは

Open Web Application Security Project とは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的とした、世界中のセキュリティ専門家による、オープンソース・ソフトウェアコミュニティです。

全世界に200以上の支部があり、日本でも「OWASP Japan（オワスプ ジャパンと読みます）」が活動しています。

OWASP Japan | OWASP Foundation

本日のアウトプットはいかがでしたか？
少しでも参考になりましたら
❤️（スキ）で応援いただけると大変励みになります

では、また！