ユーザーデータ

ユーザーデータ(デバイス情報を含む、ユーザーについての情報やユーザーから収集する情報など)を扱う場合は、その処理方法を明らかにする必要があります。それには、アプリによるユーザー データのアクセス、収集、使用、処理、共有の方法を示すとともに、データの使用をポリシーに準拠した目的に制限することが求められます。ユーザーの個人情報と機密情報の扱いについては、さらに下記の「ユーザーの個人情報と機密情報」に示す要件も適用されることにご注意ください。これらの Google Play の要件は、プライバシー保護とデータ保護に関する適用法令が規定する要件に加えて適用されます。

サードパーティのコード(SDK など)をアプリに含める場合には、アプリ内で使用するサードパーティのコードと、アプリでのサードパーティによるユーザーデータの扱いが、使用と開示に関する要件を含め、Google Play デベロッパー プログラム ポリシーに準拠していることを確認する必要があります。たとえば、SDK プロバイダがアプリを通じてユーザーの個人情報や機密情報を販売しないようにする必要があります。この要件は、ユーザーデータがサーバーに送信された後で転送される場合にも、サードパーティのコードをアプリに埋め込むことで転送される場合にも適用されます。

すべて折りたたむ すべて展開

 

ユーザーの個人情報と機密情報

ユーザーの個人情報や機密情報には、個人を特定できる情報、財務情報、支払い情報、認証情報、電話帳、連絡先、デバイスの位置情報、SMS や通話に関するデータ、健康に関するデータHealth Connect のデータ、デバイス上の他のアプリの一覧、マイクやカメラなどのデバイスや使用状況に関するその他の機密情報が含まれますが、これらに限定されません。アプリがユーザーの個人情報や機密情報を扱う場合は、以下の要件を満たす必要があります。

  • アプリを通じて取得した個人情報や機密情報のアクセス、収集、使用、および共有を、ユーザーが合理的に予期する目的に適合するアプリとサービスの機能、およびポリシーにのみ許可すること。
    • ユーザーの個人情報や機密情報を使用して広告を配信するアプリは、Google Play の広告ポリシーに準拠する必要があります。
    • サービス プロバイダが必要とする場合、あるいは政府機関による有効な要請や適用される法律を遵守するため、もしくは合併または買収の一環として必要な場合には、法的に適切な通知を行ったうえでデータを転送できます。
  • 最新の暗号手法を使用して(HTTPS 経由などで)転送するなど、ユーザーのすべての個人情報や機密情報を安全に扱うこと。
  • Android の権限によって制限されているデータにアクセスする前に、可能な限り実行時の権限をリクエストすること。
  • ユーザーの個人情報や機密情報を販売しないこと。
    • 「販売」とは、金銭的対価を目的に第三者との間でユーザーの個人情報や機密情報の交換または転送を行うことを意味します。
      • ユーザーの個人情報や機密情報をユーザーが転送すること(たとえば、ユーザーがアプリの機能を使用して特定のファイルを第三者に転送したり、調査研究専用のアプリを使用したりすること)は、販売とは見なされません。

認識しやすい開示と同意の要件

アプリによるユーザーの個人情報や機密情報のアクセス、収集、使用、共有が、対象のプロダクトや機能のユーザーが合理的に予測できる範囲を超えている場合(たとえばユーザーがアプリを操作していないときに、データの収集がバックグラウンドで行われるなど)には、以下の要件を満たす必要があります。

認識しやすい開示: データの収集、使用、共有について、アプリ内で開示する必要があります。アプリ内での開示に関する要件は次のとおりです。

  • アプリ内で開示すること。アプリの説明文やウェブサイトでの開示だけでは不十分です。
  • アプリの通常使用時に表示すること。表示するのにメニューや設定に移動する必要のある開示方法では不十分です。
  • アクセスまたは収集するデータの種類について説明すること。
  • データをどのように使用、共有するかについて説明すること。
  • 掲載場所を、プライバシー ポリシーや利用規約のみとしないこと。
  • 個人情報や機密情報の収集に関係のない他の開示の中に掲載しないこと。

同意およびランタイム権限: アプリ内でのユーザーによる同意のリクエストや、ランタイム権限のリクエストを行う場合は、その直前にこのポリシーの要件に沿ってアプリ内で開示される必要があります。同意を求める場合は、以下のようにする必要があります。

  • 同意ダイアログは、あいまいにならないよう明確に表示する。
  • 同意を示すための明確な操作をユーザーに求める(例: タップで同意する、チェックボックスをオンにする)。
  • 開示画面から他へ移動する操作(例: タップで移動する、戻るボタンやホームボタンを押す)を同意と見なさない。
  • ユーザーの同意を得る方法として、自動で非表示になるメッセージや閲覧期限付きメッセージを使用しない。
  • アプリがユーザーの個人情報と機密情報の収集やアクセスを開始するには、事前にユーザーの許可を得る必要があります。

他の法的根拠(EU の GDPR における正当な利益など)に基づいてユーザーの同意なく個人情報と機密情報を処理するアプリは、適用されるすべての法的要件を遵守するとともに、ユーザーに対して、このポリシーで要求されるアプリ内開示を含む適切な開示を行う必要があります。

ポリシーの要件に準拠するには、認識しやすい開示に関する以下のサンプル フォーマットを必要に応じて参照することをおすすめします。

  • 「[このアプリ] は、[機能] を可能にするために、[想定される状況]、[データの種類] を [収集 / 転送 / 同期 / 保存] します。」
  • 例: 「Fitness Funds は、フィットネスの記録を可能にするために、アプリが閉じているときや使用されていないときでも、位置情報を収集します。また、位置情報は広告をサポートするためにも使用されます。」 
  • 例: 「Call buddy は、組織への連絡を可能にするために、アプリが使用されていないときでも、通話履歴の書き込みと読み込みのデータを収集します。」

デフォルトでユーザーの個人情報と機密情報を収集するように設計されているサードパーティのコード(SDK など)がアプリに統合されている場合は、Google Play による要請を受けてから 2 週間以内に(Google Play によってそれより長い期間が与えられている場合はその期間内に)、アプリがこのポリシーの認識しやすい開示と同意の要件(サードパーティのコードを通じたデータのアクセス、収集、使用、共有に関する要件を含む)を満たしていることを示す、十分な根拠を提示する必要があります。

違反の例
  • デバイスの位置情報を収集するにもかかわらず、このデータを使用する機能と、バックグラウンドでのアプリの使用について、認識しやすい開示で説明していないアプリ。
  • データの使用目的を説明する認識しやすい開示が提示される前に、データへのアクセスを要求する実行時の権限が付与されているアプリ。
  • ユーザーのインストール済みアプリの一覧にアクセスできるにもかかわらず、そのデータを個人情報や機密情報として扱わず、上記のプライバシー ポリシー、データの処理、認識しやすい方法での開示、および同意の各要件を満たしていないアプリ。
  • ユーザーの電話機能や連絡帳のデータにアクセスできるにもかかわらず、そのデータを個人情報や機密情報として扱わず、プライバシー ポリシー、データの処理、認識しやすい方法での開示、および同意の各要件を満たしていないアプリ。
  • ユーザーの画面を記録するにもかかわらず、そのデータを個人情報や機密情報として、このポリシーに沿って扱わないアプリ。
  • デバイスの位置情報を収集するにもかかわらず、上記の要件に沿ってその情報の使用について包括的に開示せず、同意を得ていないアプリ。
  • 追跡、調査、またはマーケティングの目的などのため、アプリのバックグラウンドで制限付きの権限を使用するにもかかわらず、上記の要件に沿って各権限の使用について包括的に開示せず、同意を得ていないアプリ。
  • ユーザーの個人情報と機密情報を収集し、そのデータをこのユーザーデータ ポリシーや、アクセス、データ処理(許可されていない販売を含む)、認識しやすい開示と同意の要件に沿って処理しない SDK を使用するアプリ。

認識しやすい開示と同意の要件について詳しくは、この記事をご覧ください。

個人情報と機密情報へのアクセスに関する制限

上記の要件に加えて、特定の操作における要件を下表に記載します。

操作  要件
個人の財務情報、支払い情報、政府発行の個人識別番号をアプリが扱う場合 財務処理、支払い処理、政府発行の個人識別番号に関する個人情報や識別情報は一切公開してはなりません。
非公開の電話帳や連絡先情報をアプリが扱う場合 個人の非公開の連絡先を許可なく公開または開示することは認められません。
ウイルス対策、マルウェア対策、セキュリティ関連の機能など、ウイルス対策機能やセキュリティ機能を持つアプリの場合 アプリ内での開示と併せて、アプリが収集、転送するユーザーデータの種類と内容、使用方法、共有先について説明するプライバシー ポリシーを掲載する必要があります。
アプリが子供を対象とする場合 子供向けサービスで使用が承認されていない SDK をアプリに含めてはなりません。ポリシーのすべての文言と要件については、子供向けやファミリー向けにアプリを設計するをご覧ください。
永続的なデバイス識別子(IMEI、IMSI、SIM のシリアル番号など)を収集またはリンクするアプリの場合

永続的なデバイス識別子を、他の個人情報と機密情報、またはリセット可能なデバイス識別子にリンクしてはなりません。ただし、以下を目的とする場合を除きます。

  • SIM 識別子にリンクされた通話機能(例: 携帯通信会社アカウントにリンクされた Wi-Fi 通話機能)
  • デバイス所有者モードを使用するエンタープライズ デバイス管理アプリ

これらの使用方法は、ユーザーデータに関するポリシーの規定に沿って、ユーザーが認識しやすいように開示する必要があります。

その他の一意の識別子については、こちらのリソースをご覧ください。

Android 広告 ID に関する追加のガイドラインについては、広告ポリシーをお読みください。

 

データ セーフティ セクション

すべてのデベロッパーは、すべてのアプリについて、ユーザーデータの収集、使用、共有に関する詳細な説明を、データ セーフティ セクションに明瞭かつ正確に記載する必要があります。デベロッパーには、ラベルを正確に記載し、ラベルの情報を最新の状態に保つ責任があります。データ セーフティ セクションは、該当箇所において、アプリのプライバシー ポリシーで開示されている内容と一致する必要があります。

データ セーフティ セクションへの入力に関する追加情報については、こちらの記事をご覧ください。

プライバシー ポリシー

すべてのアプリで、プライバシー ポリシーのリンクを Google Play Console 内の所定の欄に掲載し、アプリ内にはプライバシー ポリシーのリンクまたはテキストを掲載する必要があります。プライバシー ポリシーでは、アプリ内での開示内容と併せて、当該アプリでユーザーデータ(データ セーフティ セクションで開示されているデータに限定されない)がどのようにアクセス、収集、使用、共有されるかを包括的に開示する必要があります。これには以下の情報が含まれます。

  • デベロッパー情報、およびプライバシーに関する連絡先または問い合わせを行う方法。
  • アプリがアクセス、収集、使用、共有するユーザーの個人情報や機密情報の種類、およびユーザーの個人情報や機密情報の共有先の開示。
  • ユーザーの個人情報や機密情報を安全に処理するための手順。
  • デベロッパーのデータ保持ポリシーおよびデータ削除ポリシー。
  • プライバシー ポリシーであることが明瞭にわかるラベル付け(たとえば、タイトルに「プライバシー ポリシー」と記載する)。

アプリの Google Play ストアの掲載情報に記載されている主体(デベロッパーや会社等)がプライバシー ポリシーに明記されている、もしくはアプリ名がプライバシー ポリシーに明記されている必要があります。ユーザーの個人情報や機密情報にアクセスしないアプリであっても、プライバシー ポリシーを掲載する必要があります。

プライバシー ポリシーは必ず、どの国からもアクセスできるよう、アクセス制限のない一般公開の有効な URL(PDF は不可)で参照可能、かつ編集不可にしてください。

アカウント削除要件

ユーザーがアプリ内からアカウントを作成できる場合、ユーザーが自分のアカウントの削除をリクエストできるようにすることが求められます。アプリ内およびアプリ外(ウェブサイトにアクセスするなど)でアプリ アカウントの削除を開始するオプションを、ユーザーが簡単に見つけられるようにしてください。アプリ外のウェブリソースへのリンクは、Google Play Console 内の指定された URL 形式の項目に入力する必要があります。

ユーザーのリクエストに基づいてアプリ アカウントを削除する場合は、そのアプリ アカウントに関連付けられたユーザーデータも削除しなければなりません。一時的なアカウントの停止、無効化、またはアプリ アカウントの「凍結」は、アカウントの削除とは見なされません。セキュリティ、不正行為防止、法規制の遵守といった正当な理由により特定のデータを保持する必要がある場合は、データ保持の方法についてユーザーに明確に知らせる必要があります(プライバシー ポリシーに記載するなど)。

アカウント削除ポリシー要件について詳しくは、こちらのヘルプセンターの記事をご確認ください。データ セーフティ フォームの更新に関する詳細情報については、こちらの記事をご覧ください。

 

アプリセット ID の使用

Android では、分析や不正防止などの重要なユースケースに対応するために、新しい ID が導入されます。この ID を使用するための規約は以下のとおりです。

  • 使用: アプリセット ID を広告のパーソナライズと広告の測定に使用することはできません。
  • 個人を特定できる情報またはその他の識別子との関連付け: 広告を目的として、アプリセット ID を Android の識別子(例: AAID)または個人情報や機密情報に関連付けることはできません。
  • 透明性と同意: アプリセット ID を収集および使用することと、この規約を遵守していることを、法的に適切なプライバシーに関するお知らせ(デベロッパー独自のプライバシー ポリシーを含む)を通じてユーザーに開示する必要があります。必要に応じて、ユーザーから法的に有効な同意を得る必要があります。Google のプライバシー基準について詳しくは、ユーザーデータに関するポリシーをご確認ください。

 

EU-U.S., Swiss Privacy Shield(EU-US スイス プライバシー シールド)

Google が公開している、欧州連合またはスイスにおいて収集された直接または間接的に個人を特定できる個人情報(「EU 個人情報」)にアクセスする場合や、そうした個人情報を利用、処理する場合は、以下の義務があります。

  • 適用のある法域におけるプライバシー、データ セキュリティ、データ保護に関するあらゆる法律、指令、規制、ルールを遵守すること
  • EU 個人情報のアクセス、使用、処理は、その EU 個人情報に関連する人物が同意した目的の範囲内に限って行うこと
  • データの消失、不正使用、不正または違法アクセス、漏えい、改変、破壊などから EU 個人情報を保護するために適切な組織的および技術的な措置をとること
  • Privacy Shield(プライバシー シールド)原則で要求されているものと同水準の保護を確保すること

上記の義務を遵守していることを定期的に監視し、上記の条件を満たせない(または満たせなくなるリスクが高い)場合は、直ちに data-protection-office@google.com 宛てのメールで Google に通知するとともに、直ちに EU 情報の処理を停止するか、適切な水準の保護を確保するための合理的かつ適切な措置を講じなければなりません。

2020 年 7 月 16 日をもって、Google では、欧州経済領域または英国から米国へのデータ転送において EU-U.S. Privacy Shield(EU-US プライバシー シールド)の利用を終了しました(詳細)。詳しくは、デベロッパー販売 / 配布契約の第 9 条をご覧ください。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー