OWASPトップ10のプラバシーリスク バージョン2.0 日本語訳

新たに2021年からのOWASPトップ10プライバシーリスクリストのバージョン2.0がリリースされました。

Webアプリケーションおよび関連する対策におけるプライバシーリスクのトップ10リストですが、例えばWebアプリケーションにプライバシーバイデザインを実装する方法に関するヒントとして、特定のWebアプリケーションに関連するプライバシーリスクを評価するためにも使用できます。法的な問題だけでなく、現実のリスクに焦点を当てた技術的および組織的側面をカバーしています。なお、2014年のランキングとは順位も入れ替わり、新たに2つランクインしたものがあります。

タイプはリスクが組織的:man_office_worker:、技術的:woman_technologist:、またはその両方であるかどうかを示しています。
# タイプ タイトル 頻度 影響 説明
P1
1→
:woman_technologist: Webアプリケーションの脆弱性 高い 非常に高い 脆弱性は、機密性の高い個人データを保護または操作する上でシステムの重大な問題です。アプリケーションの適切な設計と実装、問題の検出、または修正(パッチ)の迅速な適用を怠ると、プライバシーが侵害される可能性があります。このリスクには、Webアプリケーションの脆弱性のOWASPトップ10リストとそれらに起因するリスクも含まれます。

P2
2→

:man_office_worker::woman_technologist: オペレーター側のデータ漏えい 高い 非常に高い 個人データを含むまたは個人データに関連する情報が許可されていない第三者に漏洩し、データの機密性が失われるのを防ぐことができません。意図的な悪意のある違反または意図しないミスのいずれかが原因で引き起こされました。たとえば、不十分なアクセス管理制御、安全でないストレージ、データの重複、または認識の欠如が原因です。
P3
3→
:man_office_worker::woman_technologist: 不十分なデータ侵害対応 高い 非常に高い 意図的または意図的でないイベントのいずれかが原因で発生する侵害またはデータ漏洩について、影響を受ける人(データ主体)に通知しない。原因を修正することによって状況を改善することに失敗した。漏洩を制限できるようにしていません。
P4
🆕
:man_office_worker: すべてに同意する 非常に高い 高い 処理を正当化するための同意を集約する、または不適切に使用。同意の対象は「すべて」であり、目的ごとに収集していません(たとえば、Webサイトの使用や広告のプロファイリング)。
P5
5→
:man_office_worker: 不透明なポリシー、利用規約 非常に高い 高い データの収集、保存、処理など、データの処理方法を説明するための十分な情報が提供されていません。例えば弁護士以外の人でも簡単に理解できるようにしなければなりません。
P6
4
:man_office_worker::woman_technologist: 個人データの削除が不十分 高い 高い 指定された目的の終了後または要求に応じて、個人データを効果的および/またはタイムリーに削除しなかった場合。
P7
🆕
:man_office_worker::woman_technologist: 不十分なデータ品質 非常に高い 古い、正しくない、または偽の個人データを使用。データの更新または修正の誤り。
P8
9
:woman_technologist: セッションの有効期限がないか不十分 非常に高い セッションの終了が確実ではない。ユーザーの同意または認識なしに、追加の個人データが収集される可能性があります。
P9
13
:man_office_worker::woman_technologist: ユーザーがデータにアクセスして変更できない 高い 高い ユーザーが自分に関連するデータにアクセス、変更、または削除することができません。

P10
6↓

:man_office_worker: ユーザーの同意を得た目的と異なるデータの収集 高い 高い システムの目的に関係のない、分析データ、統計データ、またはその他の個人の関連データの収集。ユーザーが同意しなかったデータも含まれます。
OWASP Top 10 Privacy Risks
owasp.org

注:頻度と影響の評価に使用される0〜3の値は、テキストによる説明に置き換えられました:0〜1.5:低、1.5〜1.9:中、1.9〜2.3:高、> 2.3:非常に高

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 サイバーセキュリティコンサルタント、IPAセキュリティプレゼンター、2020年度総務省事業 テレワークセキュリティ専門家 I キャリア(個人事業主 PG→SE→PL→PM→ システムコンサルティング事業部 部長)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター