このページでは、健康とフィットネスに関するセンシティブ データにアクセスする Android の権限の使用について詳しく説明し、よくある質問とその回答を紹介します。以下の権限が含まれますが、これらに限定されません。
A. ヘルスコネクトの権限: ヘルスコネクトでは、ユーザーのプライバシーとセキュリティを維持しながら、健康とフィットネスに関するアプリから、データを一元的された標準的な方法で保存、共有することができます。アプリは広い範囲のアクセス権限ではなく、特定の種類のデータへのアクセス権限を求めることができ、データの透明性と制御性が強化されています。以下にヘルスコネクトの権限の例を示します。
-
android.permission.health.READ_HEART_RATE
-
android.permission.health.READ_BLOOD_PRESSURE
使い方など、ヘルスコネクトについて詳しくは、デベロッパー向け Android のヘルスコネクトについてのページをご覧ください。健康に関する権限について詳しくは、Android の HealthPermissions をご覧ください。
B. ボディセンサー: Android には、心拍数モニター、パルス オキシメーター、皮膚温センサーなどのボディセンサーから直接データにアクセスする権限も用意されています(android.permission.BODY_SENSORS、または Android 16 からは、android.permission.health.READ_HEART_RATE など、よりきめ細かい android.permission.health.* 権限を使用)。
移行について詳しくは、動作の変更点: Android 16 以上をターゲットとするアプリをご覧ください。
C. その他の関連する権限:
-
READ_HEALTH_DATA_IN_BACKGROUND、READ_HEALTH_DATA_HISTORY など、特定の健康関連の権限
-
健康に関するセンシティブな情報を収集、推測するために健康アプリ内で使用する標準の Android の権限(位置情報、カメラ、マイク、Bluetooth、バックグラウンド実行など)にも、ここに記載されている基本方針(ユーザーの同意、データの最小化、目的の制限、セキュリティ)とユーザーデータに関するポリシーが適用されます。
データのアクセスと使用: 要件とガイダンス
健康に関する権限のアクセスと使用に適用される基本方針は次のとおりです。これらの方針は、ヘルスコネクト、ボディセンサー、またはその他の関連する健康、フィットネス、ウェルネスのどの権限に基づいてデータを取得するかどうかにかかわらず適用され、ユーザーデータに関するポリシーおよび健康アプリに関するポリシーのすべての要件を補完するものです。
-
Android の権限に基づいて取得する健康とフィットネス関連データへのアクセスは、このガイダンスで詳しく説明されている承認済みのユースケースの範囲内で、ユーザーに明確なメリットをもたらすことに直接関連する場合にのみ制限しなければなりません。
-
Google Play のユーザーデータに関するポリシーに記載されている、同意、実行時の権限のリクエスト、認識しやすい開示に関する詳細な要件をすべて満たす必要があります。
-
リクエストする権限およびアクセスするデータの種類は、健康に関してユーザー向けに提供する具体的な機能をサポートするもののみとします。必要以上に広範なアクセスをリクエストしないでください。
-
アプリと Google Play ストアの掲載情報から簡単にアクセスでき、以下を明確に説明している、包括的で正確なプライバシー ポリシーを維持します。
-
アプリが収集およびアクセスする、健康とフィットネスに関するデータ。
-
データがどのように使用されて保存されるか。データがどのように共有される可能性があるか(第三者との共有を含む)。
-
データの保持および削除に関するポリシー。
-
セキュリティの方針。
アプリの機能、Google Play ストアの掲載情報、健康に関するデータへのアクセスに関連するアプリ内開示は、データの取り扱いと用途を正確に表す必要があります。
-
健康に関するセンシティブ データを不正なアクセス、使用、開示、改ざん、紛失、破壊から保護するために、技術的、管理的、物理的に堅牢なセキュリティ対策を実装する必要があります。これには、少なくとも、格納時と転送時の両方でのデータ暗号化、システム内の強力なアクセス制御、安全な開発手法と脆弱性の管理が含まれます。
-
アプリを配信するすべての地域において、健康に関するデータに関連して適用されるすべての法律、規制、業界標準を特定し、遵守する責任は、デベロッパーが単独で負います。これには、次のような要件が含まれますが、これらに限定されません。
-
保護医療情報(PHI)についての米国の HIPAA。
-
個人データの処理、特に特別なカテゴリのデータ処理に関する欧州の GDPR。
-
医療機器としてのソフトウェア(SaMD)に関する規制(アプリが関連する基準を満たしている場合)。
-
地域のデータ プライバシー法と健康情報に関する法律。
Android の健康とフィットネスに関するデータの使用禁止について詳しくは、Android の健康とフィットネスに関するデータの使用が禁止されている場合をご覧ください。
Android の健康に関する権限の承認済みのユースケース
Android の権限を介して健康とフィットネスに関するセンシティブ データにアクセスできるのは、承認済みのユースケース内でユーザーに明確なメリットをもたらすアプリに厳格に限定されています。Google Play Console で申告するユースケースは、健康とフィットネスに関するデータを必要とするアプリの機能を正確に反映している必要があります。
このセクションでは、主な承認済みのユースケースについて詳しく説明し、その例を紹介します。ヘルスコネクトやボディセンサーから取得するデータの適合性は、具体的な機能に応じて異なる可能性があります。
フィットネス、ウェルネス、コーチング
ユーザーが、体力、全体的な健康状態の記録、モニタリング、分析、管理、改善を行ったり、パーソナライズされたコーチングやガイダンスを受けたりできるようにすることを主な目的とするアプリ。ウェアラブルのフィットネス指標を同期、表示するコンパニオン アプリもこれに含まれます。
機能には一般に、さまざまなユーザーソース(アプリ、ウェアラブル)からデータを集計し、包括的な表示や長期的な傾向分析を行うものなどが含まれます。以下に例を示します。
- アクティビティ中のリアルタイム フィードバックの提供(関連するセンサーデータを使用して、エクササイズの強度、心拍ゾーン、アクティビティ後のリカバリーをモニタリングする機能など)
- 毎日のアクティビティの記録(歩数、ウォーキング / ランニングを検出する機能など)
- 睡眠の質とパターンの分析
- 傾向分析による潜在的疾患の早期兆候の検出(医学的診断を意図したものではない)
- 栄養の記録
- ガイド付きのエクササイズや瞑想セッションの提供
- パーソナライズされたワークアウトや食事プランの提供
報酬
企業の健康管理プログラム
医療
ユーザーが診療を受け、管理できるようにするアプリ。以下のアプリがこれに含まれます。
- 直接的ケア: ユーザーが医療機関とつながる、予約を管理する、医療記録にアクセスする、健康状態を追跡することができるアプリ。
- 体調管理: 特定の医学的状態(糖尿病、高血圧など)の管理に重点を置くアプリ。ユーザーデータを利用して治療計画をカスタマイズしたり、経過をモニタリングしたり、関連する指導やサポートを提供したりできるアプリです。
- 臨床的測定値やバイタルサインの記録(心血管に関する心拍数パターン、呼吸 / 睡眠に関する問題についての酸素飽和度、発熱 / 回復の評価に関する皮膚温など、健康状態に関連する継続的または準リアルタイムのモニタリングを潜在的に含む)
- 投薬管理: ユーザーが投薬の管理、服薬状況の追跡、リマインダーの受信を行えるようにするアプリ。ユーザーデータを使用して薬の相互作用の可能性を見極めたり、投薬に関する情報をカスタマイズして提供したりできるアプリです。
たとえば、糖尿病管理アプリ(血糖値、インスリン、食事、アクティビティの記録)、投薬管理トラッカー、電子医療記録(EHR)にユーザーがアクセスできるプラットフォームなどがこれに該当します。
コンプライアンスに関する注意事項:
- 医療機器の規制: 診断、おすすめの治療、臨床モニタリングを行うアプリは、医療機器としてのソフトウェア(SaMD)と見なされ、厳格な規制要件(米国の FDA、欧州の CE マーク / MDR など)が適用される可能性があります。適用される規制の遵守は、デベロッパーが単独で責任を負うものとします。
- データ プライバシー法: この種のデータを取り扱う場合は、米国の HIPAA、EU の GDPR などの健康に関するデータのプライバシー法、または同等の規制を遵守する必要があります。
被験者調査
適切な同意を得て、匿名化措置を講じたうえで、健康に関する調査のためにユーザーがデータを提供できるようにするアプリ。特定の疾患、公衆衛生サーベイランス、臨床試験の被験者募集に重点を置くアプリがこれに含まれます。こうした調査は通常、治験審査委員会(IRB)または倫理委員会(EC)によって承認され、健康調査の実施についてユーザーの同意を得ます。
注: ヘルスコネクトを通じて取得したデータを使用して、健康関連の被験者調査を実施するアプリは、被験者(未成年の場合は保護者)の同意を得る必要があります。そのような同意事項には、(a)調査の性質、目的、期間、(b)調査手順、被験者に対するリスクおよび利点、(c)データの機密性および取り扱い(第三者との共有を含む)に関する情報、(d)被験者の質問に対応する問い合わせ先、(e)取り消し手順が含まれるものとします。ヘルスコネクトを通じて取得したデータを使用して、健康関連の被験者調査を実施するアプリは、(1)被験者の権利、安全、心身の健康を保護する目的を持ち、(2)被験者調査を精査、変更、承認する権限を有する、独立した委員会による承認を得る必要があります。要請があった場合には、そのような承認の証明を提出しなければなりません。
健康系ゲーム
Android の健康とフィットネスに関するデータの使用が禁止される場合
健康、フィットネス、ウェルネスに関するデータはセンシティブな性質があることから、ユーザーのプライバシーと安全を守るために特定の用途は厳しく禁止されています。Android の健康に関する権限(ヘルスコネクト、ボディセンサー、その他の関連する権限を含む)を介してアクセスしたデータを、以下のいずれかの目的で使用することは禁止されています。
収益を目的とした利用、広告
- 広告プラットフォーム、データ ブローカー、情報リセラーなどの第三者に健康とフィットネスに関するユーザーデータを譲渡または販売すること。
- パーソナライズド広告やインタレスト ベース広告など、広告の配信を目的として健康とフィットネスに関するユーザーデータを譲渡、販売、または使用すること。
- 信用力を判断するため、または貸与目的で健康とフィットネスに関するユーザーデータを譲渡、販売、または使用すること。
- 十分な情報を提供して明示的にユーザーの同意を得ることなく、健康に関するデータを第三者と共有すること。
不正なアプリ、安全でないアプリ
- 医療機器と見なされる可能性がある製品またはサービスで、健康とフィットネスに関するユーザーデータを譲渡、販売、または使用すること。ただし、医療機器アプリが、健康とフィットネスに関するデータの用途に関して、関連する規制機関(米国の FDA など)から必要な許可または承認を取得することを含め、適用されるすべての規制を遵守しており、ユーザーがそのような使用に明示的に同意している場合を除く。
- 特定のプライバシーに関する規則(HIPAA の保護医療情報など)が適用される健康に関するセンシティブな情報に関連する目的または方法で、健康とフィットネスに関するユーザーデータを譲渡、販売、または使用すること。ただし、ユーザーが開始し、かかる適用される法律および規制をすべて遵守している場合を除く。
- 健康に関するデータの使用または障害によって、死亡、人身傷害、個人への危害、または環境上の損害や物的損害に至ることが合理的に予想されるようなアプリ、環境、アクティビティを開発する、またはそれらに組み込む目的で、健康とフィットネスに関するデータを使用してはなりません。
- Android の健康に関する権限を介して取得したデータに、ヘッドレス アプリを使用してアクセスしてはなりません。アプリでは、アプリトレイ、デバイスのアプリ設定、通知アイコンなどに、明確に特定できるアイコンを表示する必要があります。
- ヘルスコネクトに対応していないデバイス間またはプラットフォーム間でデータを同期するアプリで、健康とフィットネスに関するデータの API を使用してはなりません。
- 子どものみを対象とするアプリ、サービス、機能に接続するために Android の健康に関する権限を使用してはなりません。
健康とフィットネスの権限に関するデータへのアクセスをリクエストする方法を教えてください
- 関連するポリシーを確認する: 健康とフィットネスに関するユーザーデータのアクセス、共有、保護についての承認済みのユースケースと要件を確認し、理解してください。詳しくは、Android の健康に関する権限のポリシーと、このページに記載されているガイダンスをご覧ください。
- Google Play Console で権限をリクエストする: Google Play Console でアプリを送信する際に、アプリが機能をサポートするために必要とするデータの種類に必要な権限を具体的にリクエストしてください。
権限をリクエストする際は、次の点にご注意ください。
- リクエストする権限ごとに、理由をはっきりと詳しく示し、ユーザーの役に立つようアプリがデータをどのように使用するかを説明してください。
- アプリが特定のデータの種類にアクセスする必要がない場合は、それらのデータの種類に対するアクセス権をリクエストしないでください。
- アクセス権リクエストの目的について、可能な限り詳しく記述してください。
- 必要最小限のデータの種類をリクエストし、各リクエストの有効なユースケースを提示してください。
健康とフィットネスの権限の管理に関するビジュアル ガイドについては、こちらの動画をご覧ください。
正当な理由の例:
- リクエストする権限: 身体活動データへのアクセス権。
- 理由: 「ユーザーに合わせたワークアウト プランを提供するアプリです。ユーザーの身体活動データにアクセスし、現在のアクティビティ レベルに基づいてプランをカスタマイズすることで、フィットネスの成果を向上させることができます。」
- リクエストする権限(ボディセンサー): android.permission.health.READ_HEART_RATE
- 理由: 「ワークアウト中にリアルタイムで心拍数をモニタリングするアプリです。ユーザーにフィードバックを提供し、ユーザーはフィードバックを見てワークアウトの強度を調整できます。」
不十分な理由の例:
- リクエストする権限: 身体活動データへのアクセス権。
- 理由: 「アプリの機能に必要です。」(漠然としていて、具体的な理由が挙げられていません)
- プライバシーとセキュリティの方針について記述する: 次のような包括的なプライバシー ポリシーを提示してください。
- アプリのデータを収集、使用、共有する方法の概要を提示します。収集するデータの種類、データの使い方や保存方法、ユーザーによる管理、データ共有の方法について詳しく記載します。
- 暗号化、アクセス制御、定期的なセキュリティ評価など、ユーザーデータを保護するために実装されているセキュリティ対策について説明します。
健康とフィットネスの権限やボディセンサーの権限のアクセス リクエストはすべて審査の対象となり、このセンシティブ データの使用が承認済みのユースケースに合致しているかが確認されます。
リクエストが不備または不承認となった場合はどうなるか、教えてください。
リクエストが不備または不承認となった場合は、Google Play Console を通じてフィードバックが届きます。不承認となる一般的な理由は次のとおりです。
- リクエストした権限についての明確な理由がない。
- 承認済みのユースケースと整合しない。
- データを収集、使用、共有する方法が詳しく説明されていない。
デベロッパーは、リクエストを修正し、追加情報や詳しい説明を添えて再送信することができます。
健康とフィットネスの権限に関するポリシーは Wear OS アプリに適用されますか?
健康とフィットネスの権限とデータをリクエストする UI のガイドラインを教えてください