機密情報にアクセスする権限または API

 

機密情報にアクセスする権限や API のリクエストは、ユーザーにとって理に適うものでなければなりません。そのため、機密情報にアクセスする権限や API をリクエストできるのは、アプリで現在提供している機能やサービスの実装に必要で、それらが Google Play ストアの掲載情報に掲載されている場合に限られます。ユーザーデータやデバイスデータへのアクセスを必要とする機能や目的が公開されていないもしくは実装されていない場合、または認可されていない場合には、機密情報にアクセスする権限や API は利用できません。機密情報にアクセスする権限または API を通じてアクセスした個人情報や機密情報を販売することは禁止されています。

データにアクセスするために、機密情報にアクセスする権限または API をリクエストする場合は、アプリが権限をリクエストする理由をユーザーが理解しやすいように状況に合わせて(段階的にリクエストする形で)行うようにしてください。データの使用は、ユーザーが同意した目的に限って行わなければなりません。後になって他の目的でデータを使用する必要が出てきた場合は、その追加の用途に関して、あらためてユーザーにリクエストし、同意を得る必要があります。

制限付きの権限

上記に加えて、制限付きの権限とは、「Dangerous」、「Special」、「Signature」と指定される権限、または下記のような権限です。これらの権限には、以下に示す追加の要件と制限が適用されます。

  • 制限付き権限を通じてアクセスしたユーザーやデバイスの機密情報を第三者に転送できるのは、データを収集したアプリの現在の機能やサービスを提供または改善するために必要な場合のみです。また、適用される法律を遵守するために必要な場合、または合併、買収、資産売買の一環として必要な場合には、法的に適切な通知を行ったうえでデータを転送できます。上記以外でのユーザーデータの転送または販売はすべて禁止されています。
  • ユーザーが制限付き権限のリクエストを承認しない場合はその決定を尊重してください。重要でない権限についてユーザーに同意するよう誘導または強制することも認められません。機密情報に関わる権限へのアクセスを許可しないユーザーにも対応する(たとえば、ユーザーが通話履歴へのアクセスを制限している場合であれば電話番号を手動で入力できるようにするなど)よう、合理的な努力を尽くす必要があります。
  • Android デベロッパー向け公式ドキュメントのアプリのパーミッションに関するおすすめの設定に違反する権限の使用や、既存のポリシーに違反する権限の使用(昇格させた権限の悪用を含む)は、明示的に禁止されています。

一部の制限付き権限には、下記の追加要件が適用されることがあります。これらの制限の目的は、ユーザーのプライバシーを守ることにあります。ただし、非常にまれなケースですが、アプリがきわめて必要性の高いまたは重要な機能を提供していて、その機能を実現する他の手段が現時点で他に存在しない場合には、下記の要件について例外が認められることがあります。例外が申請された場合は、ユーザーに対して想定されるプライバシーまたはセキュリティ上の影響を考慮して審査します。

 

SMS と通話履歴の権限

SMS と通話履歴に関する権限は、ユーザーの個人情報と機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の制限が適用されます。

制限付きの権限 要件
通話履歴に関する権限グループ(例: READ_CALL_LOG、WRITE_CALL_LOG、PROCESS_OUTGOING_CALLS) ユーザーのデバイスで、アプリがデフォルトの電話ハンドラまたはアシスタント ハンドラとして能動的に登録されている必要があります。
SMS に関する権限グループ(例: READ_SMS、SEND_SMS、WRITE_SMS、RECEIVE_SMS、RECEIVE_WAP_PUSH、RECEIVE_MMS) ユーザーのデバイスで、アプリがデフォルトの SMS ハンドラまたはアシスタント ハンドラとして能動的に登録されている必要があります。

 

デフォルトの SMS ハンドラ、電話ハンドラまたはアシスタント ハンドラとしての機能をアプリが備えていない場合、マニフェストで上記の権限の使用を宣言することはできません(マニフェスト内のプレースホルダ テキストである場合を含みます)。また、ユーザーに上記の権限の許可をリクエストする前に、アプリがデフォルトの SMS ハンドラ、電話ハンドラまたはアシスタント ハンドラとして有効に登録されている必要があります。アプリがデフォルトのハンドラではなくなったときは、直ちに該当する権限の使用を停止しなければなりません。許可されている使用方法と例外については、ヘルプセンターのこちらのページをご覧ください。

アプリが使用できる権限は、承認済みの重要なアプリの機能を提供するために必要な権限(およびその権限で取得したデータ)のみです。重要な機能とは、アプリの主たる目的である機能をいいます。いくつかの機能のセットである場合もあり、そのすべてがアプリの説明文の中に認識しやすい形で明記されている必要があります。その機能がなければアプリが「壊れている」、使用できない、と見なされるような機能が「重要な機能」にあたります。このデータの転送、共有、またはライセンス下での使用は、アプリ内で重要な機能やサービスを提供することのみを目的として許可されるものであり、その他の目的(他のアプリやサービスの改善、広告、マーケティング目的など)でデータを使用することはできません。通話履歴や SMS に関連する権限に基づくデータを取得するために、他の権限、API、第三者の提供元など、代わりの方法を使用することはできません。

 

位置情報の利用許可

デバイスの位置情報は、ユーザーの個人情報および機密情報と見なされ、個人情報と機密情報に関するポリシー、バックグラウンドでの位置情報に関するポリシー、および以下の要件が適用されます。

  • アプリで現在の機能やサービスを提供する必要がなくなった後は、位置情報の権限(ACCESS_FINE_LOCATION、ACCESS_COARSE_LOCATION、ACCESS_BACKGROUND_LOCATION など)で保護されているデータにアプリからアクセスすることはできません。
  • 広告や分析のみを目的として、ユーザーに位置情報の利用許可をリクエストしてはなりません。このデータの許可された利用の範囲を広告配信にも適用するアプリは、広告ポリシーを遵守していなければなりません。
  • アプリがリクエストするアクセスのレベルは、位置情報を必要とする現在の機能やサービスを提供するうえで必要最低限に留め(つまり、高精度よりも低精度、バックグラウンドよりもフォアグラウンド)、そのレベルの位置情報が機能やサービスに必要であることをユーザーが合理的に予期できる必要があります。たとえば、バックグラウンドで位置情報をリクエストまたは利用することに合理的な根拠がないアプリは承認されない可能性があります。
  • バックグラウンドで位置情報が利用できるのは、ユーザーにとってメリットがあり、かつアプリの重要な機能に関連する機能を提供する場合のみです。

アプリからフォアグラウンド サービスの権限で(たとえば「使用中」のみ許可されるなど、フォアグラウンドでのアクセス権でのみ)位置情報にアクセスするのが認められるのは、以下の場合です。

  • アプリ内でユーザーが開始したアクションの続きとして位置情報の利用が開始され、かつ
  • ユーザーが開始したアクションの意図されたユースケースが完了した後、直ちにその利用が終了する場合

子供を主な対象とするアプリは、ファミリー向けポリシーを遵守する必要があります。

ポリシーの要件について詳しくは、こちらのヘルプ記事をご覧ください。

 

すべてのファイルへのアクセス権限

ユーザーのデバイス上のファイルとディレクトリの属性は、ユーザーの個人情報および機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の要件が適用されます。

  • アプリがリクエストするアクセスの対象は、アプリが機能するうえで不可欠なデバイス ストレージに限定する必要があります。ユーザー向けの不可欠なアプリ機能と関係のない目的で第三者のためにデバイス ストレージへのアクセスをリクエストしてはなりません。
  • R 以降を搭載している Android デバイスでは、共有ストレージ内のアクセスを管理するには、MANAGE_EXTERNL_STORAGE 権限が必要です。R をターゲットとし、共有ストレージへの幅広いアクセス(「すべてのファイルへのアクセス」)をリクエストするアプリは必ず、公開前に適切なアクセスに関する審査に合格する必要があります。この権限の使用を許可されたアプリは、[特別なアプリアクセス] 設定で [すべてのファイルへのアクセス] を有効にするように求めるメッセージを、ユーザーにはっきり表示する必要があります。R のこの要件について詳しくは、こちらのヘルプ記事をご覧ください。

 

パッケージ(アプリ)の公開設定権限

デバイスにクエリして入手したインストール済みアプリのインベントリは、ユーザーの個人情報および機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の要件が適用されます。

デバイス上の他のアプリを起動、検索、相互運用することが主要な目的であるアプリは、以下で概説するように、デバイス上の他のインストール済みアプリに対して、スコープに応じた可視性を得ることができます。

  • 広範なアプリの可視性: 広範な可視性とは、アプリがデバイス上のインストール済みアプリ(「パッケージ」)を幅広く(「広範に」)見渡せる(可視性が与えられている)ことを指します。
    • API レベル 30 以降をターゲットとするアプリの場合、QUERY_ALL_PACKAGES 権限によってインストール済みアプリについて広範な可視性が得られるのは、特定のユースケース(当該アプリが機能するためにデバイス上のすべてのアプリを認識するか、それらのアプリと相互運用する必要がある)に制限されます。
    • QUERY_ALL_PACKAGES 権限に関連する広範な可視性レベルに近い別の方法の使用も同様に、ユーザー向けの主要なアプリ機能と、その別の方法によって検出されたアプリとの相互運用に制限されます。
    • QUERY_ALL_PACKAGES 権限を使用できるユースケースについては、こちらのヘルプセンター記事をご覧ください。
  • 限定的なアプリ公開設定: 限定的な公開設定とは、アプリが、よりターゲットを絞った(「広範」ではない)方法を使って特定のアプリのクエリを行うことによりデータへのアクセスを最小限に抑える場合(アプリのマニフェスト宣言を満たす特定のアプリのクエリを行う場合など)を指します。アプリが相互運用性に関するポリシーを遵守している場合や他のアプリの管理を担っている場合は、この方法でそれらのアプリのクエリを行えます。
  • デバイス上のインストール済みアプリのインベントリに対する公開設定は、アプリの主要な目的やユーザーがアプリ内でアクセスする主要な機能に直接関連する必要があります。

Play で配信中のアプリにクエリして入手したアプリ インベントリのデータを、分析や広告収益化の目的で販売、共有することは禁止されています。

 

Accessibility API

Accessibility API を次の目的で使用することはできません。

  • ユーザーの許可なくユーザー設定を変更する。ただし、保護者による使用制限を使用するアプリを通じて親権者または保護者の許可を得るか、エンタープライズ マネジメント ソフトウェアを通じて認定済み管理者の許可を得た場合を除きます。
  • ユーザーがアプリまたはサービスを無効化またはアンインストールできないようにする。
  • Android の組み込みのプライバシー管理とプライバシー通知を回避する。
  • 不正な方法または Google Play デベロッパー ポリシーに違反するその他の方法で、ユーザー インターフェースを変更または利用する。

Accessibility API を使用する場合は、Google Play のストアの掲載情報に記載する必要があります。

IsAccessibilityTool に関するガイドライン

障がいのあるユーザーを直接サポートする機能が主体になっているアプリは、IsAccessibilityTool を使用して、ユーザー補助アプリとして公式に表明できます。

IsAccessibilityTool の対象とならないアプリはこのフラグを使用できませんが、ユーザー補助に関連する機能をユーザーが認識しにくいため、ユーザーデータに関するポリシーに規定されている「認識しやすい開示と同意」の要件を遵守する必要があります。詳しくは、AccessibilityService API のヘルプセンター記事をご覧ください。

Accessibility API を使用しなくても必要な機能を提供できるのであれば、より限定された範囲の API と権限をアプリで使用してください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
ヘルプセンターを検索
true
92637
false