12. Privacy Considerations (プライバシー考慮事項)
JWTには、個人に関するプライバシーに配慮すべき情報が含まれる場合があります。この場合、この情報が権限のない当事者に開示されることを防ぐための措置を講じる必要があります。1つのアプローチは、暗号化されたJWTを使用し、暗号化でJWTを認証することです。JWT作成者は、この情報が権限のない当事者に開示されないように適切な保護が取られない限り、個人を特定できる情報(PII)やその他の機密情報をJWTに含めないように注意する必要があります。
JWTが暗号化されている場合でも、JWT Claims Set内のクレーム名は依然として可視であることに注意してください(それらは単にbase64urlエンコードされているだけです)。したがって、機密性の高いクレーム名自体もプライバシーに配慮すべき情報を明らかにすべきではありません。
多くのアプリケーションシナリオでは、JWTは一時的に保存されます(たとえば、HTTPリクエストの一部として送信されます)。ただし、JWTが永続化されるシナリオ(たとえば、Cookieやデータベースにおいて)では、機密情報の長期保存に関連するプライバシーリスクを考慮する必要があります。