プレビュー: 機密情報へのアクセスに関する権限と API

SMS と通話履歴に関する権限は、ユーザーの個人情報と機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の制限が適用されます。

制限付きの権限	要件
通話履歴に関する権限グループ（例: READ_CALL_LOG、WRITE_CALL_LOG、PROCESS_OUTGOING_CALLS）	ユーザーのデバイスで、アプリがデフォルトの電話ハンドラまたはアシスタント ハンドラとして能動的に登録されている必要があります。
SMS に関する権限グループ（例: READ_SMS、SEND_SMS、WRITE_SMS、RECEIVE_SMS、RECEIVE_WAP_PUSH、RECEIVE_MMS）	ユーザーのデバイスで、アプリがデフォルトの SMS ハンドラまたはアシスタント ハンドラとして能動的に登録されている必要があります。

 

デフォルトの SMS ハンドラ、電話ハンドラまたはアシスタント ハンドラとしての機能をアプリが備えていない場合、マニフェストで上記の権限の使用を宣言することはできません（マニフェスト内のプレースホルダ テキストである場合を含みます）。また、ユーザーに上記の権限の許可をリクエストする前に、アプリがデフォルトの SMS ハンドラ、電話ハンドラまたはアシスタント ハンドラとして有効に登録されている必要があります。アプリがデフォルトのハンドラではなくなったときは、直ちに該当する権限の使用を停止しなければなりません。許可されている使用方法と例外については、ヘルプセンターのこちらのページをご覧ください。

アプリが使用できる権限は、承認済みの重要なアプリの機能を提供するために必要な権限（およびその権限で取得したデータ）のみです。重要な機能とは、アプリの主たる目的である機能をいいます。いくつかの機能のセットである場合もあり、そのすべてがアプリの説明文の中に認識しやすい形で明記されている必要があります。その機能がなければアプリが「壊れている」、使用できない、と見なされるような機能が「重要な機能」にあたります。このデータの転送、共有、またはライセンス下での使用は、アプリ内で重要な機能やサービスを提供することのみを目的として許可されるものであり、その他の目的（他のアプリやサービスの改善、広告、マーケティング目的など）でデータを使用することはできません。通話履歴や SMS に関連する権限に基づくデータを取得するために、他の権限、API、第三者の提供元など、代わりの方法を使用することはできません。

デバイスの位置情報は、ユーザーの個人情報および機密情報と見なされ、個人情報と機密情報に関するポリシー、バックグラウンドでの位置情報に関するポリシー、および以下の要件が適用されます。

• アプリで現在の機能やサービスを提供する必要がなくなった後は、位置情報の権限（ACCESS_FINE_LOCATION、ACCESS_COARSE_LOCATION、ACCESS_BACKGROUND_LOCATION など）で保護されているデータにアプリからアクセスすることはできません。
• 広告や分析のみを目的として、ユーザーに位置情報の利用許可をリクエストしてはなりません。このデータの許可された利用の範囲を広告配信にも適用するアプリは、広告ポリシーを遵守していなければなりません。
• アプリがリクエストするアクセスのレベルは、位置情報を必要とする現在の機能やサービスを提供するうえで必要最低限に留め（つまり、高精度よりも低精度、バックグラウンドよりもフォアグラウンド）、そのレベルの位置情報が機能やサービスに必要であることをユーザーが合理的に予期できる必要があります。たとえば、バックグラウンドで位置情報をリクエストまたは利用することに合理的な根拠がないアプリは承認されない可能性があります。
• バックグラウンドで位置情報が利用できるのは、ユーザーにとってメリットがあり、かつアプリの重要な機能に関連する機能を提供する場合のみです。

アプリからフォアグラウンド サービスの権限で（たとえば「使用中」のみ許可されるなど、フォアグラウンドでのアクセス権でのみ）位置情報にアクセスするのが認められるのは、以下の場合です。

• アプリ内でユーザーが開始したアクションの続きとして位置情報の利用が開始され、かつ
• ユーザーが開始したアクションの意図されたユースケースが完了した後、直ちにその利用が終了する場合

子供を主な対象とするアプリは、ファミリー向けポリシーを遵守する必要があります。

ポリシーの要件について詳しくは、こちらのヘルプ記事をご覧ください。

ユーザーのデバイス上のファイルとディレクトリの属性は、ユーザーの個人情報および機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の要件が適用されます。

• アプリがリクエストするアクセスの対象は、アプリが機能するうえで不可欠なデバイス ストレージに限定する必要があります。ユーザー向けの不可欠なアプリ機能と関係のない目的で第三者のためにデバイス ストレージへのアクセスをリクエストしてはなりません。
• R 以降を搭載している Android デバイスでは、共有ストレージ内のアクセスを管理するには、MANAGE_EXTERNL_STORAGE 権限が必要です。R をターゲットとし、共有ストレージへの幅広いアクセス（「すべてのファイルへのアクセス」）をリクエストするアプリは必ず、公開前に適切なアクセスに関する審査に合格する必要があります。この権限の使用を許可されたアプリは、[特別なアプリアクセス] 設定で [すべてのファイルへのアクセス] を有効にするように求めるメッセージを、ユーザーにはっきり表示する必要があります。R のこの要件について詳しくは、こちらのヘルプ記事をご覧ください。

ユーザーのデバイス上の写真と動画は、ユーザーの個人情報および機密情報と見なされ、Google Play のユーザーデータに関するポリシーが適用されます。アプリは、アプリの機能に直接関連する目的のためにのみ写真と動画にアクセスできます。ユーザー向けのアプリの機能とは無関係な目的で、第三者に代わってアクセス権限をリクエストすることはできません。より強力なプライバシー保護機能を提供できるように、写真選択ツールのようなシステムの選択ツールの使用をおすすめします。

デバイス上の共有ストレージにある写真や動画ファイルへの幅広いアクセスを必要とするアプリは、適切なアクセスに関する審査に合格し、共有ストレージにある写真や動画への頻繁または持続的なアクセスを必要とする中核的なユースケースを実証しなければなりません。こうしたファイルに一度だけアクセスする必要があるアプリや、頻繁にアクセスする必要がないアプリでは、Android の写真選択ツールなどのシステムの選択ツールをご使用いただく必要があります。

写真や動画への幅広いアクセスには、以下の要件も適用されます。

• Android 13（API レベル 33）以降をターゲットとするアプリでは、デバイスの共有ストレージにある写真または動画ファイルにアクセスするために、READ_MEDIA_IMAGES 権限または READ_MEDIA_VIDEO 権限が必要です。Android 13 以降をターゲットとし、READ_MEDIA_IMAGES 権限または READ_MEDIA_VIDEO 権限をリクエストするアプリは必ず、公開前に適切なアクセスに関する審査に合格しなければなりません。
  • READ_MEDIA_VIDEO 権限または READ_MEDIA_IMAGES 権限へのアクセスをリクエストするアプリは、共有ストレージにある写真や動画への持続的なアクセスまたは頻繁なアクセスを必要とする中核的なユースケースを実証しなければなりません。

アプリが READ_MEDIA_VIDEO 権限または READ_MEDIA_IMAGES 権限による幅広いアクセス権を必要としない場合、またはその資格がない場合は、ポリシー審査要件を満たすために、この権限をアプリのマニフェストから削除してください。

制限付きの権限に関するポリシーに従い、デバイス上のメディア ファイルへの幅広いアクセスを許可しないユーザーにも適切に対応するために合理的な努力を尽くす必要があります。たとえば、ユーザーがアプリの機能やコア機能を利用できるように配慮されたアプリ エクスペリエンスを提供する必要があります。

写真や動画にアクセスする正当なユースケースはあるものの、READ_MEDIA_IMAGES 権限や READ_MEDIA_VIDEO 権限を利用できないアプリは、写真選択ツールなどのシステムの選択ツールを使用できます。詳しくは、こちらのヘルプセンター記事をご覧ください。

デバイスにクエリして入手したインストール済みアプリのインベントリは、ユーザーの個人情報および機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の要件が適用されます。

デバイス上の他のアプリを起動、検索、相互運用することが主要な目的であるアプリは、以下で概説するように、デバイス上の他のインストール済みアプリに対して、スコープに応じた可視性を得ることができます。

• 広範なアプリの可視性: 広範な可視性とは、アプリがデバイス上のインストール済みアプリ（「パッケージ」）を幅広く（「広範に」）見渡せる（可視性が与えられている）ことを指します。
  • API レベル 30 以降をターゲットとするアプリの場合、QUERY_ALL_PACKAGES 権限によってインストール済みアプリについて広範な可視性が得られるのは、特定のユースケース（当該アプリが機能するためにデバイス上のすべてのアプリを認識するか、それらのアプリと相互運用する必要がある）に制限されます。
    • スコープを絞ったパッケージの可視性を宣言（広範な可視性をリクエストせず、特定のパッケージをクエリしてやり取りするなど）して動作させることが可能なアプリでは、QUERY_ALL_PACKAGES を使用しないでください。
  • QUERY_ALL_PACKAGES 権限に関連する広範な可視性レベルに近い別の方法の使用も同様に、ユーザー向けの主要なアプリ機能と、その別の方法によって検出されたアプリとの相互運用に制限されます。
  • QUERY_ALL_PACKAGES 権限を使用できるユースケースについては、こちらのヘルプセンター記事をご覧ください。
• 限定的なアプリ公開設定: 限定的な公開設定とは、アプリが、よりターゲットを絞った（「広範」ではない）方法を使って特定のアプリのクエリを行うことによりデータへのアクセスを最小限に抑える場合（アプリのマニフェスト宣言を満たす特定のアプリのクエリを行う場合など）を指します。アプリが相互運用性に関するポリシーを遵守している場合や他のアプリの管理を担っている場合は、この方法でそれらのアプリのクエリを行えます。
• デバイス上のインストール済みアプリのインベントリに対する公開設定は、アプリの主要な目的やユーザーがアプリ内でアクセスする主要な機能に直接関連する必要があります。

Play で配信中のアプリにクエリして入手したアプリ インベントリのデータを、分析や広告収益化の目的で販売、共有することは禁止されています。

Accessibility API を次の目的で使用することはできません。

• ユーザーの許可なくユーザー設定を変更したり、ユーザーがアプリまたはサービスを無効化またはアンインストールできないようにしたりする。ただし、保護者による使用制限を使用するアプリを通じて親権者または保護者の許可を得るか、エンタープライズ マネジメント ソフトウェアを通じて認定済み管理者の許可を得た場合を除きます。
• Android の組み込みのプライバシー管理とプライバシー通知を回避する。
• 不正な方法または Google Play デベロッパー ポリシーに違反するその他の方法で、ユーザー インターフェースを変更または利用する。

Accessibility API は、リモート通話の音声録音用には設計されておらず、そのようなリクエストを受けることもできません。

Accessibility API を使用する場合は、Google Play のストアの掲載情報に記載する必要があります。

IsAccessibilityTool に関するガイドライン

障がいのあるユーザーを直接サポートする機能が主体になっているアプリは、IsAccessibilityTool を使用して、ユーザー補助アプリとして公式に表明できます。

IsAccessibilityTool の対象とならないアプリはこのフラグを使用できませんが、ユーザー補助に関連する機能をユーザーが認識しにくいため、ユーザーデータに関するポリシーに規定されている「認識しやすい開示と同意」の要件を遵守する必要があります。詳しくは、AccessibilityService API のヘルプセンター記事をご覧ください。

Accessibility API を使用しなくても必要な機能を提供できるのであれば、より限定された範囲の API と権限をアプリで使用してください。

Request Install Packages 権限を使用すると、アプリからアプリ パッケージのインストールをリクエストできます。この権限を使用するには、アプリのコア機能に以下の両方が含まれている必要があります。

• アプリ パッケージを送信または受信する機能
• ユーザーが自発的にアプリ パッケージのインストールを開始する機能

たとえば次のような機能が許可されています。

• ウェブのブラウジングまたは検索
• 添付ファイルをサポートするコミュニケーション サービス
• ファイルの共有、転送、管理
• 企業向けデバイスの管理
• バックアップと復元
• デバイスの移行または電話の転送
• スマートフォンをウェアラブル デバイスや IoT デバイス（スマートウォッチ、スマートテレビなど）に同期するためのコンパニオン アプリ

コア機能とは、アプリの主要な目的を果たすために必要不可欠な機能を指し、そのすべてがアプリの説明文に認識しやすい形で明記されている必要があります。

REQUEST_INSTALL_PACKAGES 権限は、デバイス管理を目的とする場合を除き、自動更新、修正、アセット ファイル内での他の APK のビルドには使用できません。パッケージの更新とインストールにおいては、常に Google Play のデバイスやネットワークでの不正行為に関するポリシーに準拠しなければならず、ユーザーが自発的に操作する必要があります。

ヘルスコネクトは、健康＆フィットネスのアプリのための Android プラットフォームです。この統合されたエコシステムの中で、アプリは同じデバイス上のデータを保存し、共有できます。ユーザーは、健康＆フィットネス データの読み取りと書き込みをどのアプリに許可するかを管理することもできます。ヘルスコネクトは、歩数や体温など、さまざまなデータタイプの読み取りと書き込みをサポートします。

ヘルスコネクト権限を通じてアクセスされるデータは、ユーザーの個人情報および機密情報と見なされ、ユーザーデータに関するポリシーが適用されます。アプリが健康アプリに該当する場合、または健康関連の機能を有し、健康に関するデータ（ヘルスコネクト データを含む）にアクセスする場合は、健康アプリに関するポリシーも遵守する必要があります。

ヘルスコネクトの使用を開始する方法については、こちらの Android デベロッパー ガイドをご覧ください。ヘルスコネクトのデータタイプへのアクセスをリクエストするには、こちらをご覧ください。

Google Play で配信されるアプリがヘルスコネクトでデータの読み取り / 書き込みを行うには、次のポリシー要件を満たす必要があります。

ヘルスコネクトは、該当するポリシーと利用規約に準拠したうえで、このポリシーによって規定されている承認された用途に限り使用できます。これは、アプリまたはサービスの用途が承認された用途のいずれかに該当する場合に限り、権限へのアクセスをリクエストできることを意味します。

承認された用途には、フィットネスとウェルネス、特典、フィットネス コーチング、法人向けのウェルネス、医療、健康調査、ゲームがあります。これらの権限へのアクセスを許可されたアプリは、権限の使用を非公開の目的または許可されていない目的に拡張することはできません。

ヘルスコネクト権限へのアクセスをリクエストできるのは、ユーザーの健康とフィットネスの増進を主な目的として設計された機能を 1 つ以上備えたアプリまたはサービスのみです。これには次のものが含まれます。

• ユーザーが自分の身体活動、睡眠、心の健康、栄養、健康状態の測定値、身体的特徴、または健康やフィットネスに関連するその他の記述や測定値を直接記録、レポート、モニタリング、分析できるアプリまたはサービス。
• ユーザーが自分の身体活動、睡眠、心の健康、栄養、健康状態の測定値、身体的特徴、または健康やフィットネスに関連するその他の記述や測定値をスマートフォンまたはウェアラブルに保存して、承認された用途に適合するその他のオンデバイス アプリとデータを共有できるアプリまたはサービス。

このポリシー、またはヘルスコネクトに適用されるその他の利用規約またはポリシーに違反する形で、ヘルスコネクトにアクセスしてはなりません。これには以下を目的とする場合が含まれます。

• ヘルスコネクトの使用または障害によって、死亡、人身傷害、もしくは環境上または財産上の損害に至ることが合理的に予想されるようなアプリ、環境、またはアクティビティ（核施設、航空管制システム、生命維持装置、兵器の作成または操作など）の開発、あるいはそれらに組み込む目的で、ヘルスコネクトを使用してはなりません。
• ヘルスコネクトを通じて取得したデータに、ヘッドレス アプリを使用してアクセスしてはなりません。アプリでは、アプリトレイ、デバイスのアプリ設定、通知アイコンなどに、明確に特定できるアイコンを表示する必要があります。
• 互換性のないデバイスまたはプラットフォーム間でデータを同期するアプリで、ヘルスコネクトを使用してはなりません。
• 子供のみを対象とするアプリ、サービス、または機能に接続するために、ヘルスコネクトを使用してはなりません。
• デベロッパーは、合理的かつ適切な手順に沿って、ヘルスコネクトを使用するすべてのアプリまたはシステムを、不正または違法なアクセス、使用、破壊、紛失、改変、開示から保護する必要があります。

また、デベロッパーには、ヘルスコネクトの用途、およびヘルスコネクトを通じて得られたデータの用途に基づいて適用される、規制または法律上の要件を遵守する責任があります。Google の特定の製品またはサービスについて Google が提供するラベルまたは情報に明示的に記載されていない限り、Google は、特に調査、健康、医療の用途に限らず、いかなる用途または目的でも、ヘルスコネクトに含まれるデータの使用を推奨することや、そのようなデータの正確性を保証することはありません。Google は、ヘルスコネクトを通じて取得されたデータの使用に関連する、いかなる責任も負いません。

ヘルスコネクトを使用する場合、データアクセスとデータ使用は特定の制限に従う必要があります。

• データ使用は、アプリのユーザー インターフェースに表示される適切なユースケースまたは機能の提供または改善に限定する必要があります。
• ユーザーデータは、セキュリティ上の目的で必要なとき（不正行為の調査など）、適用される法律または規則の遵守のために必要なとき、または合併買収の一環として必要なとき、ユーザーの明示的な同意がある場合に限り、第三者に転送できます。
• セキュリティ上の目的のため、法令の遵守のため、または法的要件に基づいて内部運用のために集約する場合のユーザーデータへの人によるアクセスは、ユーザーの明示的な同意が得られない限り制限されます。
• 上記以外のヘルスコネクト データの送信、使用、または販売は、以下の行為を含めてすべて禁止されています。
  • 広告プラットフォーム、データ ブローカー、または情報リセラーなどの第三者にユーザーデータを譲渡または販売すること。
  • パーソナライズ広告やインタレスト ベース広告など、広告の配信を目的としてユーザーデータを譲渡、販売、または使用すること。
  • 信用力を判断するため、または貸与目的でユーザーデータを譲渡、販売、または使用すること。
  • ユーザーデータが規制対象の機能を実行するために医療機器で使用される場合、連邦食品・医薬品・化粧品法のセクション 201（h）に基づいて医療機器と見なされる可能性がある製品またはサービスで、ユーザーデータを譲渡、販売、または使用すること。
  • Google から書面による事前の承認を得ている場合を除き、（HIPAA で定義された）保護医療情報に関連する目的または方法で、ユーザーデータを譲渡、販売、または使用すること。

アクセスをリクエストできる権限は、製品の機能またはサービスの実装に必要なものに限られます。このようなアクセス リクエストは、必要なデータごとに個別に、また必要なデータだけに対して行われるべきです。

ヘルスコネクトが管理する健康とフィットネスのデータには機密情報が含まれるため、すべてのアプリは包括的なプライバシー ポリシーを備えていることが求められます。プライバシー ポリシーでは、アプリがユーザーデータを収集、使用、共有する方法が明確に説明されていなければなりません。デベロッパーは法的要件を満たすことに加え、次の情報をプライバシー ポリシーに含める必要があります。

• アプリがアクセスするデータと、主な機能や推奨事項とそのデータの関連をおおまかに説明し、どのようなアプリなのかを正確に伝える
• データの保持と削除の仕組み
• データ処理の流れ。たとえば、最新の暗号手法を使用して（HTTPS 経由などで）転送することなど

ヘルスコネクトに接続するアプリに関する要件について詳しくは、こちらのヘルプセンター記事をご覧ください。

VpnService は、アプリが独自の VPN ソリューションを拡張、構築できるようにするための基本クラスです。VPN がコア機能であり、VpnService を使用するアプリのみが、リモート サーバーへのデバイスレベルのセキュアなトンネルを作成できます。ただし、次のようなコア機能を実装するためリモート サーバーを必要とするアプリは例外となります。

• 保護者による使用制限や企業による管理を実装するアプリ。
• アプリの使用状況をトラッキングするアプリ。
• デバイス保護アプリ（ウイルス対策、モバイル デバイス管理、ファイアウォールなど）。
• ネットワーク関連ツール（リモート アクセスなど）。
• ウェブ ブラウジング用アプリ。
• テレフォニーサービスまたは接続サービスを提供するために VPN 機能の使用を必要とする携帯通信会社のアプリ。

VpnService を次の目的で使用することはできません。

• 認識しやすい開示および同意機能を実装せずに、ユーザーの個人情報や機密情報を収集する。
• 収益化を目的として、デバイスでの他のアプリからのユーザー トラフィックをリダイレクトまたは操作する（ユーザーの国とは異なる国から広告トラフィックをリダイレクトするなど）。

VpnService を使用するアプリは、次のすべての要件を満たす必要があります。

• VpnService を使用することを Google Play の掲載情報に記載する。
• デバイスから VPN トンネル エンドポイントに送信されるデータを暗号化する。
• 広告の不正行為、権限、マルウェアに関するポリシーを含む、すべてのデベロッパー プログラム ポリシーに準拠する。

新しく導入される権限「USE_EXACT_ALARM」により、Android 13（対象 API レベル 33）以降のアプリで正確なアラーム機能へのアクセスが許可されるようになります。

USE_EXACT_ALARM は制限付きの権限です。アプリがこの権限を宣言できるのは、アプリのコア機能で正確なアラームが必要な場合に限られます。この制限付きの権限をリクエストするアプリは審査の対象となり、妥当な用途の条件を満たさない場合は、Google Play で公開できなくなります。

正確なアラームの権限の妥当な用途

アプリが USE_EXACT_ALARM 機能を使用できるのは、ユーザー向けのコア機能で正確な時刻にアクションを実行する必要がある場合のみです。たとえば次のようなアプリが該当します。

• アラームアプリまたはタイマーアプリ。
• 予定の通知を表示するカレンダー アプリ。

上記以外の用途で正確なアラーム機能を必要とする場合は、SCHEDULE_EXACT_ALARM を代替オプションとして使用することをご検討ください。

正確なアラーム機能について詳しくは、こちらのデベロッパー ガイドをご覧ください。

Android 14（API 対象レベル 34）以降を対象とするアプリでは、USE_FULL_SCREEN_INTENT は特別なアプリアクセス権限です。アプリのコア機能が、優先度の高い通知を必要とする以下のカテゴリのいずれかに該当する場合にのみ、自動的にアプリに USE_FULL_SCREEN_INTENT 権限が付与されます。

• アラームの設定
• 通話またはビデオ通話の着信

この権限をリクエストするアプリは審査の対象となり、上記の基準を満たさない場合、この権限は自動的には付与されません。その場合、アプリで USE_FULL_SCREEN_INTENT を使用するにはユーザーに権限をリクエストする必要があります。

なお、USE_FULL_SCREEN_INTENT 権限の使用においては常にモバイルの望ましくないソフトウェアに関するポリシー、デバイスやネットワークでの不正行為に関するポリシー、広告ポリシーを含むすべての Google Play デベロッパー ポリシーに準拠する必要があります。全画面表示インテント通知では、ユーザーのデバイスに対する不正な妨害、阻害、破損、またはアクセスは許可されません。また、アプリはデバイスのユーザビリティや他のアプリを妨げないようにする必要があります。

USE_FULL_SCREEN_INTENT 権限の詳細については、ヘルプセンターをご覧ください。