個人情報保護委員会は7月8日、Webサービスやアプリの高度化、プラットフォーム連携、提携先サービスとの接続拡大に伴い、APIを介したデータ処理が増えているとして、事業者に対し、APIによる個人情報処理の保護措置を強化するよう要請した。
同委は、APIで個人情報を扱う事業者に対し、設計段階から個人情報の最小化原則を徹底するよう求めた。利用者画面に表示されない個人情報や、サービス提供の目的に不要な情報は、APIのレスポンスデータからも除外する設計が必要だとした。
あわせて、APIを通じた大量照会や反復的な呼び出しを制限し、大規模な個人情報の照会や流出を防ぐ対策も促した。
APIの権限付与・管理については、最小権限の原則に沿って運用すべきだと指摘した。利用者向け、管理者向け、提携先・協力先向けなど、利用主体ごとにアクセス可能なAPIと取り扱える個人情報の範囲を必要最小限に絞って付与するよう求めた。認証や権限を欠くリクエスト、またはポリシーに反するリクエストは、原則として遮断する設定が必要だとした。
運用中のAPIについては、一覧を把握したうえで最新の状態に保ち、継続的に点検する必要性も強調した。機能改修やテスト終了、サービス再編の後も、外部から呼び出し可能なAPIが残存していないか、APIレスポンスに不要な情報が含まれていないかを確認し、不要な情報は削除するよう求めた。
ヤン・チョンサム事務処長は「APIは、サービス画面に表示されない個人情報まで送信され得る。サービス提供に必要な最小限の個人情報だけが処理されるよう、設計・運用する必要がある」と述べた。