MASVS-PRIVACY: プライバシー

MASVS-PRIVACY の主な目的は ユーザープライバシーに関するベースライン を提供することです。特に ENISA や GDPR などの他の標準や規制がすでに適用している場合には、ユーザープライバシーのあらゆる側面をカバーすることを意図したものではありません。私たちはアプリ自体に焦点を当て、一般に入手可能な情報や、静的解析や動的解析などの方法を通じてアプリ内で見つかった情報を使用してテストできるものに注目しています。

関連するテストは自動化できるものもありますが、プライバシーの精緻な性質のため、手作業が必要なものもあります。たとえば、アプリがアプリストアやそのプライバシーポリシーに記載されていないデータを収集している場合、これを発見するには慎重な手作業によるチェックが必要です。

「データの収集と共有」に関する注意: MASTG テストでは、「収集 (Collect)」と「共有 (Share)」を統一的に扱います。つまり、アプリがデータを別のサーバーに送信する場合も、デバイス上の別のアプリに転送する場合も、ユーザーのコントロールを離れる可能性があるデータとみなすことを意味します。リモートエンドポイント上のデータに何が起こるかを確認することは困難であり、アクセス制限やサーバーサイドのオペレーションの動的な性質のため、多くの場合は実行不可能です。したがって、この問題は MASVS の範囲外です。

重要な免責事項:

MASVS-PRIVACY は網羅的または排他的なリファレンスとしての役割を果たすことを意図したものではありません。これは、アプリを中心としたプライバシーの考慮に関する貴重なガイダンスを提供しますが、一般データ保護規則 (GDPR) やその他の関連法規および規制の枠組みによって義務付けられているデータ保護影響評価 (DPIA) などの包括的な評価に取って代わるものではありません。関係者は、包括的なデータ保護コンプライアンスを確保するために、MASVS-PRIVACY の洞察をより広範な評価と統合して、プライバシーに対する総合的なアプローチに取り組むことを強くお勧めします。プライバシー規制の特殊な性質とデータ保護の複雑さを考慮すると、これらの評価はセキュリティの専門家ではなくプライバシーの専門家が行うのが最適です。