機密情報へのアクセスに関する権限と API

SMS と通話履歴に関する権限は、ユーザーの個人情報と機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の制限が適用されます。

制限付きの権限	要件
通話履歴に関する権限グループ（例: READ_CALL_LOG、WRITE_CALL_LOG、PROCESS_OUTGOING_CALLS）	ユーザーのデバイスで、アプリがデフォルトの電話ハンドラまたはアシスタント ハンドラとして能動的に登録されている必要があります。
SMS に関する権限グループ（例: READ_SMS、SEND_SMS、WRITE_SMS、RECEIVE_SMS、RECEIVE_WAP_PUSH、RECEIVE_MMS）	ユーザーのデバイスで、アプリがデフォルトの SMS ハンドラまたはアシスタント ハンドラとして能動的に登録されている必要があります。

 

デフォルトの SMS ハンドラ、電話ハンドラまたはアシスタント ハンドラとしての機能をアプリが備えていない場合、マニフェストで上記の権限の使用を宣言することはできません（マニフェスト内のプレースホルダ テキストである場合を含みます）。また、ユーザーに上記の権限の許可をリクエストする前に、アプリがデフォルトの SMS ハンドラ、電話ハンドラまたはアシスタント ハンドラとして有効に登録されている必要があります。アプリがデフォルトのハンドラではなくなったときは、直ちに該当する権限の使用を停止しなければなりません。許可されている使用方法と例外については、ヘルプセンターのこちらのページをご覧ください。

アプリが使用できる権限は、承認済みの重要なアプリの機能を提供するために必要な権限（およびその権限で取得したデータ）のみです。重要な機能とは、アプリの主たる目的である機能をいいます。いくつかの機能のセットである場合もあり、そのすべてがアプリの説明文の中に認識しやすい形で明記されている必要があります。その機能がなければアプリが「壊れている」、使用できない、と見なされるような機能が「重要な機能」にあたります。このデータの転送、共有、またはライセンス下での使用は、アプリ内で重要な機能やサービスを提供することのみを目的として許可されるものであり、その他の目的（他のアプリやサービスの改善、広告、マーケティング目的など）でデータを使用することはできません。通話履歴や SMS に関連する権限に基づくデータを取得するために、他の権限、API、第三者の提供元など、代わりの方法を使用することはできません。

デバイスの位置情報は、ユーザーの個人情報および機密情報と見なされ、個人情報と機密情報に関するポリシー、バックグラウンドでの位置情報に関するポリシー、および以下の要件が適用されます。

• アプリで現在の機能やサービスを提供する必要がなくなった後は、位置情報の権限（ACCESS_FINE_LOCATION、ACCESS_COARSE_LOCATION、ACCESS_BACKGROUND_LOCATION など）で保護されているデータにアプリからアクセスすることはできません。
• 広告や分析のみを目的として、ユーザーに位置情報の利用許可をリクエストしてはなりません。このデータの許可された利用の範囲を広告配信にも適用するアプリは、広告ポリシーを遵守していなければなりません。
• アプリがリクエストするアクセスのレベルは、位置情報を必要とする現在の機能やサービスを提供するうえで必要最低限に留め（つまり、高精度よりも低精度、バックグラウンドよりもフォアグラウンド）、そのレベルの位置情報が機能やサービスに必要であることをユーザーが合理的に予期できる必要があります。たとえば、バックグラウンドで位置情報をリクエストまたは利用することに合理的な根拠がないアプリは承認されない可能性があります。
• バックグラウンドで位置情報が利用できるのは、ユーザーにとってメリットがあり、かつアプリの重要な機能に関連する機能を提供する場合のみです。

アプリからフォアグラウンド サービスの権限で（たとえば「使用中」のみ許可されるなど、フォアグラウンドでのアクセス権でのみ）位置情報にアクセスするのが認められるのは、以下の場合です。

• アプリ内でユーザーが開始したアクションの続きとして位置情報の利用が開始され、かつ
• ユーザーが開始したアクションの意図されたユースケースが完了した後、直ちにその利用が終了する場合

子供を主な対象とするアプリは、ファミリー向けポリシーを遵守する必要があります。

ポリシーの要件について詳しくは、こちらのヘルプ記事をご覧ください。

ユーザーのデバイス上のファイルとディレクトリの属性は、ユーザーの個人情報および機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の要件が適用されます。

• アプリがリクエストするアクセスの対象は、アプリが機能するうえで不可欠なデバイス ストレージに限定する必要があります。ユーザー向けの不可欠なアプリ機能と関係のない目的で第三者のためにデバイス ストレージへのアクセスをリクエストしてはなりません。
• R 以降を搭載している Android デバイスでは、共有ストレージ内のアクセスを管理するには、MANAGE_EXTERNL_STORAGE 権限が必要です。R をターゲットとし、共有ストレージへの幅広いアクセス（「すべてのファイルへのアクセス」）をリクエストするアプリは必ず、公開前に適切なアクセスに関する審査に合格する必要があります。この権限の使用を許可されたアプリは、[特別なアプリアクセス] 設定で [すべてのファイルへのアクセス] を有効にするように求めるメッセージを、ユーザーにはっきり表示する必要があります。R のこの要件について詳しくは、こちらのヘルプ記事をご覧ください。

デバイスにクエリして入手したインストール済みアプリのインベントリは、ユーザーの個人情報および機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の要件が適用されます。

デバイス上の他のアプリを起動、検索、相互運用することが主要な目的であるアプリは、以下で概説するように、デバイス上の他のインストール済みアプリに対して、スコープに応じた可視性を得ることができます。

• 広範なアプリの可視性: 広範な可視性とは、アプリがデバイス上のインストール済みアプリ（「パッケージ」）を幅広く（「広範に」）見渡せる（可視性が与えられている）ことを指します。
  • API レベル 30 以降をターゲットとするアプリの場合、QUERY_ALL_PACKAGES 権限によってインストール済みアプリについて広範な可視性が得られるのは、特定のユースケース（当該アプリが機能するためにデバイス上のすべてのアプリを認識するか、それらのアプリと相互運用する必要がある）に制限されます。
    • スコープを絞ったパッケージの可視性を宣言（広範な可視性をリクエストせず、特定のパッケージをクエリしてやり取りするなど）して動作させることが可能なアプリでは、QUERY_ALL_PACKAGES を使用しないでください。
  • QUERY_ALL_PACKAGES 権限に関連する広範な可視性レベルに近い別の方法の使用も同様に、ユーザー向けの主要なアプリ機能と、その別の方法によって検出されたアプリとの相互運用に制限されます。
  • QUERY_ALL_PACKAGES 権限を使用できるユースケースについては、こちらのヘルプセンター記事をご覧ください。
• 限定的なアプリ公開設定: 限定的な公開設定とは、アプリが、よりターゲットを絞った（「広範」ではない）方法を使って特定のアプリのクエリを行うことによりデータへのアクセスを最小限に抑える場合（アプリのマニフェスト宣言を満たす特定のアプリのクエリを行う場合など）を指します。アプリが相互運用性に関するポリシーを遵守している場合や他のアプリの管理を担っている場合は、この方法でそれらのアプリのクエリを行えます。
• デバイス上のインストール済みアプリのインベントリに対する公開設定は、アプリの主要な目的やユーザーがアプリ内でアクセスする主要な機能に直接関連する必要があります。

Play で配信中のアプリにクエリして入手したアプリ インベントリのデータを、分析や広告収益化の目的で販売、共有することは禁止されています。

Accessibility API を次の目的で使用することはできません。

• ユーザーの許可なくユーザー設定を変更したり、ユーザーがアプリまたはサービスを無効化またはアンインストールできないようにしたりする。ただし、保護者による使用制限を使用するアプリを通じて親権者または保護者の許可を得るか、エンタープライズ マネジメント ソフトウェアを通じて認定済み管理者の許可を得た場合を除きます。
• Android の組み込みのプライバシー管理とプライバシー通知を回避する。
• 不正な方法または Google Play デベロッパー ポリシーに違反するその他の方法で、ユーザー インターフェースを変更または利用する。

Accessibility API は、リモート通話の音声録音用には設計されておらず、そのようなリクエストを受けることもできません。

Accessibility API を使用する場合は、Google Play のストアの掲載情報に記載する必要があります。

IsAccessibilityTool に関するガイドライン

障がいのあるユーザーを直接サポートする機能が主体になっているアプリは、IsAccessibilityTool を使用して、ユーザー補助アプリとして公式に表明できます。

IsAccessibilityTool の対象とならないアプリはこのフラグを使用できませんが、ユーザー補助に関連する機能をユーザーが認識しにくいため、ユーザーデータに関するポリシーに規定されている「認識しやすい開示と同意」の要件を遵守する必要があります。詳しくは、AccessibilityService API のヘルプセンター記事をご覧ください。

Accessibility API を使用しなくても必要な機能を提供できるのであれば、より限定された範囲の API と権限をアプリで使用してください。

Request Install Packages 権限を使用すると、アプリからアプリ パッケージのインストールをリクエストできます。この権限を使用するには、アプリのコア機能に以下の両方が含まれている必要があります。

• アプリ パッケージを送信または受信する機能
• ユーザーが自発的にアプリ パッケージのインストールを開始する機能

たとえば次のような機能が許可されています。

• ウェブのブラウジングまたは検索
• 添付ファイルをサポートするコミュニケーション サービス
• ファイルの共有、転送、管理
• 企業向けデバイスの管理
• バックアップと復元
• デバイスの移行または電話の転送
• スマートフォンをウェアラブル デバイスや IoT デバイス（スマートウォッチ、スマートテレビなど）に同期するためのコンパニオン アプリ

コア機能とは、アプリの主要な目的を果たすために必要不可欠な機能を指し、そのすべてがアプリの説明文に認識しやすい形で明記されている必要があります。

REQUEST_INSTALL_PACKAGES 権限は、デバイス管理を目的とする場合を除き、自動更新、修正、アセット ファイル内での他の APK のビルドには使用できません。パッケージの更新とインストールにおいては、常に Google Play のデバイスやネットワークでの不正行為に関するポリシーに準拠しなければならず、ユーザーが自発的に操作する必要があります。

ヘルスコネクト権限を通じてアクセスされたデータは、ユーザーの個人情報および機密情報と見なされ、ユーザーデータに関するポリシーおよび以下の追加要件が適用されます。

ヘルスコネクトを通じてデータにアクセスするためのリクエストは、明確にわかりやすく記述してください。ヘルスコネクトは、該当するポリシーと利用規約を遵守したうえで、このポリシーによって規定されている承認された用途に限り使用できます。これはつまり、権限へのアクセスをリクエストできるのは、アプリまたはサービスの用途が、承認されているいずれかの用途に該当する場合に限られることを意味します。

ヘルスコネクト権限へのアクセスを承認される用途は次のとおりです。

• ユーザーの健康とフィットネスにとって有益な 1 つ以上の機能をユーザー インターフェースを通じて利用できるアプリまたはサービス。ユーザーが自分の身体活動、睡眠、心身の健康、栄養、健康状態の測定値、身体的特徴、および / または健康とフィットネスに関連するその他の記述や測定値を直接記録、レポート、モニタリング、および / または分析できる。
• ユーザーの健康とフィットネスにとって有益な 1 つ以上の機能をユーザー インターフェースを通じて利用できるアプリまたはサービス。ユーザーが自分の身体活動、睡眠、心身の健康、栄養、健康状態の測定値、身体的特徴、および / または健康とフィットネスに関連するその他の記述や測定値をスマートフォンおよび / またはウェアラブルに保存して、用途に適合するその他のオンデバイス アプリとデータを共有できる。

ヘルスコネクトは、ユーザーが Android デバイス内のさまざまなソースから健康とフィットネスに関するデータを集めて、特定の第三者と共有できる、汎用のデータ ストレージおよびデータ共有プラットフォームです。データは、ユーザーが任意に選択したソースから集めることができます。デベロッパーは、ヘルスコネクトが意図する用途に適しているかを評価するとともに、特定の目的に関連して、また特に調査、健康、または医療上の用途について、ヘルスコネクトからのデータのソースと質を精査する必要があります。

• ヘルスコネクトを通じて取得したデータを使用して、健康関連の被験者調査を実施するアプリは、被験者（未成年者の場合は保護者）の同意を得る必要があります。そのような同意事項には、（a）調査の性質、目的、期間、（b）調査手順、被験者に対するリスクおよび利点、（c）データの機密性および取り扱い（第三者との共有を含む）に関する情報、（d）被験者の質問に対応する問い合わせ先、（e）取り消し手順が含まれるものとします。ヘルスコネクトを通じて取得したデータを使用して、健康関連の被験者調査を実施するアプリは、（1）被験者の権利、安全、心身の健康を保護する目的を持ち、（2）被験者調査を精査、変更、承認する権限を有する、独立した委員会による承認を得る必要があります。要請があった場合には、そのような承認の証明を提出しなければなりません。
• デベロッパーは、ヘルスコネクトの用途、およびヘルスコネクトを通じて得られたデータの用途に基づいて適用される、規制または法律上の要件を遵守する責任があります。Google の特定のプロダクトまたはサービスについて、Google が提供するラベルまたは情報に明示的に記載されていない限り、Google は、特に調査、健康、医療用途に限らず、いかなる用途または目的でも、ヘルスコネクトに含まれるデータの使用を推奨し、その正確性を保証することはありません。Google は、ヘルスコネクトを通じて取得されたデータの使用に関連する、いかなる責任も負いません。

適切な用途でヘルスコネクトを使用する際には、ヘルスコネクトを通じてアクセスするデータも、以下の要件を遵守して使用する必要があります。これらの要件は、ヘルスコネクトから取得した元データと、元データから集計、匿名化、または取得されたデータに適用されます。

• ヘルスコネクトのデータの使用は、リクエスト元アプリのユーザー インターフェースに明確に表示される、適切な用途または機能の提供もしくは改善に限定されます。
• 以下の目的がある場合を除き、ユーザーデータを第三者に譲渡してはなりません。
  • ユーザーの同意に基づき、リクエスト元アプリのユーザー インターフェースに明確に表示される、適切な用途または機能を提供もしくは改善する場合。
  • セキュリティ上の目的で必要な場合（不正使用の調査など）。
  • 適用される法律および / または規制を遵守するために必要な場合。
  • ユーザーから事前に明示的な同意を得た後で、デベロッパーの合併、買収、または資産売買の一環として行う場合。
• 以下の場合を除き、人にユーザーデータが読まれないようにする必要があります。
  • 特定のデータを読まれることに、ユーザーが明示的に同意している場合。
  • セキュリティ上の目的で必要な場合（不正使用の調査など）。
  • 適用される法律を遵守するために必要な場合。
  • データ（派生データを含む）を集計し、適用されるプライバシー要件および地域のその他の法的要件を遵守した、内部オペレーションのために使用する場合。

ヘルスコネクト データのその他の譲渡、使用、または販売は、以下の行為を含めてすべて禁止されています。

• 広告プラットフォーム、データ ブローカー、または情報リセラーなどの第三者にユーザーデータを譲渡または販売すること。
• パーソナライズ広告やインタレスト ベース広告など、広告の配信を目的としてユーザーデータを譲渡、販売、または使用すること。
• 信用力を判断するため、または貸与目的でユーザーデータを譲渡、販売、または使用すること。
• 連邦食品・医薬品・化粧品法のセクション 201(h) に基づく医療機器と見なされるプロダクトまたはサービスを使用して、規制対象の機能を実行するために、ユーザーデータを譲渡、販売、または使用すること。
• Google から書面による事前の承認を得ている場合を除き、（HIPAA によって定義される）保護対象保健情報に関連する目的で、方法を問わず、ユーザーデータを譲渡、販売、または使用すること。

このポリシー、またはヘルスコネクトについて適用されるその他の利用規約またはポリシーに違反する形で、ヘルスコネクトにアクセスしてはなりません。これには以下を目的とする場合が含まれます。

• ヘルスコネクトの使用または障害によって、死亡、人身傷害、もしくは環境上または財産上の損害に至ることが合理的に予想されるようなアプリ、環境、またはアクティビティ（核施設、航空管制システム、生命維持装置、兵器の作成または操作など）については、その開発、あるいはそれらに組み込む目的で、ヘルスコネクトを使用してはなりません。
• ヘルスコネクトを通じて取得したデータに、ヘッドレス アプリを使用してアクセスしてはなりません。アプリでは、アプリトレイ、デバイスのアプリ設定、通知アイコンなどに、明確に特定できるアイコンを表示する必要があります。
• 対応していないデバイスまたはプラットフォーム間でデータを同期するアプリで、ヘルスコネクトを使用してはなりません。
• 子供だけを対象としているアプリ、サービス、または機能にヘルスコネクトを接続することはできません。主に子供を対象としているサービスでヘルスコネクトを使用することは承認されていません。

ヘルスコネクトのデータの使用が、限定的な使用に関する制限を遵守していることを示す確認的陳述書を、アプリ内、あるいはウェブサービスまたはアプリに関連するウェブサイト上で開示する必要があります。たとえばホームページで、専用ページまたはプライバシー ポリシーに関する注記へのリンクを示し、「ヘルスコネクトから受け取った情報の使用については、限定的な使用に関する要件を含む、ヘルスコネクト権限ポリシーを遵守してください」などと記載します。

アクセス権限をリクエストできるのは、アプリまたはサービスの機能を実装するために不可欠な場合に限ります。

これは次のことを意味します。

• 必要のない情報へのアクセス権限はリクエストしないでください。プロダクトの機能またはサービスの実装に必要なアクセス権限のみリクエストできます。プロダクトで特定のアクセス権限を必要としない場合、そのアクセス権限はリクエストしないでください。

ヘルスコネクトは健康とフィットネスに関するデータを扱いますが、それには個人情報と機密情報が含まれます。すべてのアプリとサービスについてプライバシー ポリシーを規定し、アプリまたはサービスがユーザーデータを収集、使用、共有する方法を包括的に開示する必要があります。開示する情報には、ユーザーデータを共有する当事者の種類、データの使用方法、データの保存と保護の方法、アカウントが無効になるか削除された場合のデータの扱いが含まれるものとします。

適用される法律で規定されている要件に加えて、デベロッパーは以下の要件を遵守する必要があります。

• データのアクセス、収集、使用、共有について開示する必要があります。開示については次のことが求められます。
  • ユーザーデータへのアクセスを求めるアプリまたはサービスの識別情報を正確に示す。
  • アクセス、リクエスト、および / または収集するデータの種類に関して、明確かつ正確な情報を提供する。
  • データを使用、共有する方法を示す。1 つの目的でデータをリクエストしながら、別の目的でもデータを使用する場合には、ユーザーに両方の用途を通知する必要があります。
• ユーザーがアプリ上で個人データを管理または削除する方法を示すヘルプ ドキュメントを提供する。

ユーザーデータはすべて安全に扱う必要があります。デベロッパーは合理的かつ適切な手順に沿って、ヘルスコネクトを使用するすべてのアプリケーションまたはシステムを、不正または違法なアクセス、使用、破壊、紛失、改変、開示から保護する必要があります。

推奨されるセキュリティ対策としては、たとえば ISO/IEC 27001 などで規定されている情報セキュリティ管理システムを実装して維持することで、アプリまたはウェブサービスを堅牢にし、OWASP トップ 10 に示されているセキュリティ上の一般的な問題がない状態を確保することが挙げられます。

デベロッパーのプロダクトによってユーザーが所有するデバイスからデータが転送される場合には、使用している API、ユーザーによる権限付与の数、またはユーザー数に応じて、アプリまたはサービスについて定期的なセキュリティ評価を受け、指定した第三者による評価文書を取得する必要があります。

ヘルスコネクトに接続するアプリに関する要件について詳しくは、こちらのヘルプ記事をご覧ください。

VpnService は、アプリが独自の VPN ソリューションを拡張、構築できるようにするための基本クラスです。VPN がコア機能であり、VpnService を使用するアプリのみが、リモート サーバーへのデバイスレベルのセキュアなトンネルを作成できます。ただし、次のようなコア機能を実装するためリモート サーバーを必要とするアプリは例外となります。

• 保護者による使用制限や企業による管理を実装するアプリ。
• アプリの使用状況をトラッキングするアプリ。
• デバイス保護アプリ（ウイルス対策、モバイル デバイス管理、ファイアウォールなど）。
• ネットワーク関連ツール（リモート アクセスなど）。
• ウェブ ブラウジング用アプリ。
• テレフォニーサービスまたは接続サービスを提供するために VPN 機能の使用を必要とする携帯通信会社のアプリ。

VpnService を次の目的で使用することはできません。

• 認識しやすい開示および同意機能を実装せずに、ユーザーの個人情報や機密情報を収集する。
• 収益化を目的として、デバイスでの他のアプリからのユーザー トラフィックをリダイレクトまたは操作する（ユーザーの国とは異なる国から広告トラフィックをリダイレクトするなど）。

VpnService を使用するアプリは、次のすべての要件を満たす必要があります。

• VpnService を使用することを Google Play の掲載情報に記載する。
• デバイスから VPN トンネル エンドポイントに送信されるデータを暗号化する。
• 広告の不正行為、権限、マルウェアに関するポリシーを含む、すべてのデベロッパー プログラム ポリシーに準拠する。

新しく導入される権限「USE_EXACT_ALARM」により、Android 13（対象 API レベル 33）以降のアプリで正確なアラーム機能へのアクセスが許可されるようになります。

USE_EXACT_ALARM は制限付きの権限です。アプリがこの権限を宣言できるのは、アプリのコア機能で正確なアラームが必要な場合に限られます。この制限付きの権限をリクエストするアプリは審査の対象となり、妥当な用途の条件を満たさない場合は、Google Play で公開できなくなります。

正確なアラームの権限の妥当な用途

アプリが USE_EXACT_ALARM 機能を使用できるのは、ユーザー向けのコア機能で正確な時刻にアクションを実行する必要がある場合のみです。たとえば次のようなアプリが該当します。

• アラームアプリまたはタイマーアプリ。
• 予定の通知を表示するカレンダー アプリ。

上記以外の用途で正確なアラーム機能を必要とする場合は、SCHEDULE_EXACT_ALARM を代替オプションとして使用することをご検討ください。

正確なアラーム機能について詳しくは、こちらのデベロッパー ガイドをご覧ください。