この記事は近日変更される予定です
この記事は、先日発表された変更内容を組み込む形で、更新される予定です。
ユーザー エクスペリエンス向上のため、USE_FULL_SCREEN_INTENT 権限の使用に関する新しい制限事項を導入します。Android U(API レベル 34)以降を対象とするアプリでは、この権限は特別なアプリアクセス権限に変更されます。コア機能が全画面表示の通知を必要とするアプリにのみ、デフォルトでこの権限が付与されます。その他のすべてのアプリでは、ユーザーに権限をリクエストする必要があります。 (2024 年 5 月 31 日発効)
ユーザー エクスペリエンスのプライバシー保護を強化するために、写真と動画の権限に関するポリシーを導入して、写真 / 動画に関する広範な権限(READ_MEDIA_IMAGES および READ_MEDIA_VIDEO)を要求できるアプリの数を減らします。アプリは、アプリの機能に直接関連する目的のためにのみ写真と動画にアクセスできます。こうしたファイルに一度だけアクセスする必要があるアプリや、頻繁にアクセスする必要がないアプリでは、Android の写真選択ツールなどのシステムの選択ツールをご使用いただく必要があります。 (発効日: 2024 年 8 月 31 日)
ヘルスコネクトに関する申請手続きを合理化し、健康アプリのポリシーとの整合性を確保することを目的に、ヘルスコネクトのポリシーを更新します。本年中に従来の申請フォームは終了し、Google Play Console で申告していただくことになります。 (発効日: 2024 年 8 月 31 日)
更新された記事「機密情報へのアクセスに関する権限と API」のプレビュー版は、こちらのページをご覧ください。
機密情報にアクセスする権限や API のリクエストは、ユーザーにとって理に適うものでなければなりません。そのため、機密情報にアクセスする権限や API をリクエストできるのは、アプリで現在提供している機能やサービスの実装に必要で、それらが Google Play ストアの掲載情報に掲載されている場合に限られます。ユーザーデータやデバイスデータへのアクセスを必要とする機能や目的が公開されていないもしくは実装されていない場合、または認可されていない場合には、機密情報にアクセスする権限や API は利用できません。機密情報にアクセスする権限または API を通じてアクセスした個人情報や機密情報を販売したり、販売を促進する目的で共有したりすることは禁止されています。
データにアクセスするために、機密情報にアクセスする権限または API をリクエストする場合は、アプリが権限をリクエストする理由をユーザーが理解しやすいように状況に合わせて(段階的にリクエストする形で)行うようにしてください。データの使用は、ユーザーが同意した目的に限って行わなければなりません。後になって他の目的でデータを使用する必要が出てきた場合は、その追加の用途に関して、あらためてユーザーにリクエストし、同意を得る必要があります。
制限付きの権限
上記に加えて、制限付きの権限とは、「Dangerous」、「Special」、「Signature」と指定される権限、または下記のような権限です。これらの権限には、以下に示す追加の要件と制限が適用されます。
- 制限付きの権限を通じてアクセスされたユーザーデータやデバイスデータは、ユーザーの個人情報および機密情報と見なされ、ユーザーデータに関するポリシーの要件が適用されます。
- ユーザーが制限付き権限のリクエストを承認しない場合はその決定を尊重してください。重要でない権限についてユーザーに同意するよう誘導または強制することも認められません。機密情報に関わる権限へのアクセスを許可しないユーザーにも対応する(たとえば、ユーザーが通話履歴へのアクセスを制限している場合であれば電話番号を手動で入力できるようにするなど)よう、合理的な努力を尽くす必要があります。
- Google Play のマルウェアに関するポリシー(昇格させた権限の悪用を含む)に違反する権限の使用は、明示的に禁止されています。
一部の制限付き権限には、下記の追加要件が適用されることがあります。これらの制限の目的は、ユーザーのプライバシーを守ることにあります。ただし、非常にまれなケースですが、アプリがきわめて必要性の高いまたは重要な機能を提供していて、その機能を実現する他の手段が現時点で他に存在しない場合には、下記の要件について例外が認められることがあります。例外の申請があった場合は、ユーザーに対して想定されるプライバシーまたはセキュリティ上の影響を考慮して審査します。
SMS と通話履歴の権限SMS と通話履歴に関する権限は、ユーザーの個人情報と機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の制限が適用されます。
デフォルトの SMS ハンドラ、電話ハンドラまたはアシスタント ハンドラとしての機能をアプリが備えていない場合、マニフェストで上記の権限の使用を宣言することはできません(マニフェスト内のプレースホルダ テキストである場合を含みます)。また、ユーザーに上記の権限の許可をリクエストする前に、アプリがデフォルトの SMS ハンドラ、電話ハンドラまたはアシスタント ハンドラとして有効に登録されている必要があります。アプリがデフォルトのハンドラではなくなったときは、直ちに該当する権限の使用を停止しなければなりません。許可されている使用方法と例外については、ヘルプセンターのこちらのページをご覧ください。 アプリが使用できる権限は、承認済みの重要なアプリの機能を提供するために必要な権限(およびその権限で取得したデータ)のみです。重要な機能とは、アプリの主たる目的である機能をいいます。いくつかの機能のセットである場合もあり、そのすべてがアプリの説明文の中に認識しやすい形で明記されている必要があります。その機能がなければアプリが「壊れている」、使用できない、と見なされるような機能が「重要な機能」にあたります。このデータの転送、共有、またはライセンス下での使用は、アプリ内で重要な機能やサービスを提供することのみを目的として許可されるものであり、その他の目的(他のアプリやサービスの改善、広告、マーケティング目的など)でデータを使用することはできません。通話履歴や SMS に関連する権限に基づくデータを取得するために、他の権限、API、第三者の提供元など、代わりの方法を使用することはできません。 |
位置情報の利用許可デバイスの位置情報は、ユーザーの個人情報および機密情報と見なされ、個人情報と機密情報に関するポリシー、バックグラウンドでの位置情報に関するポリシー、および以下の要件が適用されます。
アプリからフォアグラウンド サービスの権限で(たとえば「使用中」のみ許可されるなど、フォアグラウンドでのアクセス権でのみ)位置情報にアクセスするのが認められるのは、以下の場合です。
子供を主な対象とするアプリは、ファミリー向けポリシーを遵守する必要があります。 ポリシーの要件について詳しくは、こちらのヘルプ記事をご覧ください。 |
すべてのファイルへのアクセス権限ユーザーのデバイス上のファイルとディレクトリの属性は、ユーザーの個人情報および機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の要件が適用されます。
|
パッケージ(アプリ)の公開設定権限デバイスにクエリして入手したインストール済みアプリのインベントリは、ユーザーの個人情報および機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の要件が適用されます。 デバイス上の他のアプリを起動、検索、相互運用することが主要な目的であるアプリは、以下で概説するように、デバイス上の他のインストール済みアプリに対して、スコープに応じた可視性を得ることができます。
Play で配信中のアプリにクエリして入手したアプリ インベントリのデータを、分析や広告収益化の目的で販売、共有することは禁止されています。 |
Accessibility APIAccessibility API を次の目的で使用することはできません。
Accessibility API は、リモート通話の音声録音用には設計されておらず、そのようなリクエストを受けることもできません。 Accessibility API を使用する場合は、Google Play のストアの掲載情報に記載する必要があります。 IsAccessibilityTool に関するガイドライン障がいのあるユーザーを直接サポートする機能が主体になっているアプリは、IsAccessibilityTool を使用して、ユーザー補助アプリとして公式に表明できます。 IsAccessibilityTool の対象とならないアプリはこのフラグを使用できませんが、ユーザー補助に関連する機能をユーザーが認識しにくいため、ユーザーデータに関するポリシーに規定されている「認識しやすい開示と同意」の要件を遵守する必要があります。詳しくは、AccessibilityService API のヘルプセンター記事をご覧ください。 Accessibility API を使用しなくても必要な機能を提供できるのであれば、より限定された範囲の API と権限をアプリで使用してください。 |
パッケージ インストールのリクエスト(REQUEST_INSTALL_PACKAGES)権限Request Install Packages 権限を使用すると、アプリからアプリ パッケージのインストールをリクエストできます。この権限を使用するには、アプリのコア機能に以下の両方が含まれている必要があります。
たとえば次のような機能が許可されています。
コア機能とは、アプリの主要な目的を果たすために必要不可欠な機能を指し、そのすべてがアプリの説明文に認識しやすい形で明記されている必要があります。 REQUEST_INSTALL_PACKAGES 権限は、デバイス管理を目的とする場合を除き、自動更新、修正、アセット ファイル内での他の APK のビルドには使用できません。パッケージの更新とインストールにおいては、常に Google Play のデバイスやネットワークでの不正行為に関するポリシーに準拠しなければならず、ユーザーが自発的に操作する必要があります。 |
Android の権限によるヘルスコネクトヘルスコネクト権限を通じてアクセスされたデータは、ユーザーの個人情報および機密情報と見なされ、ユーザーデータに関するポリシーおよび以下の追加要件が適用されます。 ヘルスコネクトのアクセス方法と使用方法ヘルスコネクトを通じてデータにアクセスするためのリクエストは、明確にわかりやすく記述してください。ヘルスコネクトは、該当するポリシーと利用規約を遵守したうえで、このポリシーによって規定されている承認された用途に限り使用できます。これはつまり、権限へのアクセスをリクエストできるのは、アプリまたはサービスの用途が、承認されているいずれかの用途に該当する場合に限られることを意味します。 ヘルスコネクト権限へのアクセスを承認される用途は次のとおりです。
ヘルスコネクトは、ユーザーが Android デバイス内のさまざまなソースから健康とフィットネスに関するデータを集めて、特定の第三者と共有できる、汎用のデータ ストレージおよびデータ共有プラットフォームです。データは、ユーザーが任意に選択したソースから集めることができます。デベロッパーは、ヘルスコネクトが意図する用途に適しているかを評価するとともに、特定の目的に関連して、また特に調査、健康、または医療上の用途について、ヘルスコネクトからのデータのソースと質を精査する必要があります。
限定的な使用適切な用途でヘルスコネクトを使用する際には、ヘルスコネクトを通じてアクセスするデータも、以下の要件を遵守して使用する必要があります。これらの要件は、ヘルスコネクトから取得した元データと、元データから集計、匿名化、または取得されたデータに適用されます。
ヘルスコネクト データのその他の譲渡、使用、または販売は、以下の行為を含めてすべて禁止されています。
このポリシー、またはヘルスコネクトについて適用されるその他の利用規約またはポリシーに違反する形で、ヘルスコネクトにアクセスしてはなりません。これには以下を目的とする場合が含まれます。
ヘルスコネクトのデータの使用が、限定的な使用に関する制限を遵守していることを示す確認的陳述書を、アプリ内、あるいはウェブサービスまたはアプリに関連するウェブサイト上で開示する必要があります。たとえばホームページで、専用ページまたはプライバシー ポリシーに関する注記へのリンクを示し、「ヘルスコネクトから受け取った情報の使用については、限定的な使用に関する要件を含む、ヘルスコネクト権限ポリシーを遵守してください」などと記載します。 最小範囲アクセス権限をリクエストできるのは、アプリまたはサービスの機能を実装するために不可欠な場合に限ります。 これは次のことを意味します。
通知と管理の透明性と正確性ヘルスコネクトは健康とフィットネスに関するデータを扱いますが、それには個人情報と機密情報が含まれます。すべてのアプリとサービスについてプライバシー ポリシーを規定し、アプリまたはサービスがユーザーデータを収集、使用、共有する方法を包括的に開示する必要があります。開示する情報には、ユーザーデータを共有する当事者の種類、データの使用方法、データの保存と保護の方法、アカウントが無効になるか削除された場合のデータの扱いが含まれるものとします。 適用される法律で規定されている要件に加えて、デベロッパーは以下の要件を遵守する必要があります。
安全なデータ処理ユーザーデータはすべて安全に扱う必要があります。デベロッパーは合理的かつ適切な手順に沿って、ヘルスコネクトを使用するすべてのアプリケーションまたはシステムを、不正または違法なアクセス、使用、破壊、紛失、改変、開示から保護する必要があります。 推奨されるセキュリティ対策としては、たとえば ISO/IEC 27001 などで規定されている情報セキュリティ管理システムを実装して維持することで、アプリまたはウェブサービスを堅牢にし、OWASP トップ 10 に示されているセキュリティ上の一般的な問題がない状態を確保することが挙げられます。 デベロッパーのプロダクトによってユーザーが所有するデバイスからデータが転送される場合には、使用している API、ユーザーによる権限付与の数、またはユーザー数に応じて、アプリまたはサービスについて定期的なセキュリティ評価を受け、指定した第三者による評価文書を取得する必要があります。 ヘルスコネクトに接続するアプリに関する要件について詳しくは、こちらのヘルプ記事をご覧ください。 |
VPN サービスVpnService は、アプリが独自の VPN ソリューションを拡張、構築できるようにするための基本クラスです。VPN がコア機能であり、VpnService を使用するアプリのみが、リモート サーバーへのデバイスレベルのセキュアなトンネルを作成できます。ただし、次のようなコア機能を実装するためリモート サーバーを必要とするアプリは例外となります。
VpnService を次の目的で使用することはできません。
VpnService を使用するアプリは、次のすべての要件を満たす必要があります。
|
正確なアラームの権限新しく導入される権限「USE_EXACT_ALARM」により、Android 13(対象 API レベル 33)以降のアプリで正確なアラーム機能へのアクセスが許可されるようになります。 USE_EXACT_ALARM は制限付きの権限です。アプリがこの権限を宣言できるのは、アプリのコア機能で正確なアラームが必要な場合に限られます。この制限付きの権限をリクエストするアプリは審査の対象となり、妥当な用途の条件を満たさない場合は、Google Play で公開できなくなります。 正確なアラームの権限の妥当な用途 アプリが USE_EXACT_ALARM 機能を使用できるのは、ユーザー向けのコア機能で正確な時刻にアクションを実行する必要がある場合のみです。たとえば次のようなアプリが該当します。
上記以外の用途で正確なアラーム機能を必要とする場合は、SCHEDULE_EXACT_ALARM を代替オプションとして使用することをご検討ください。 正確なアラーム機能について詳しくは、こちらのデベロッパー ガイドをご覧ください。 |