Google Play のデータ セーフティ セクションで、アプリのプライバシーとセキュリティの方針について理解する

次のような場合、デベロッパーは、アプリがアクセスするデータを「収集」されるデータとしてデータ セーフティ セクションで開示する必要はありません。

• アプリがアクセスするのはデバイス上のデータのみで、そのデータがデバイスから送信されることはない。たとえば、アプリがユーザーから位置情報へのアクセスを許可されていても、そのデータはデバイス上でアプリの機能を提供するためにのみ使用され、サーバーに送信されない場合、「収集」として開示する必要はありません。
• データはデバイスから送信されるが、一時的に処理されるだけである。つまり、デベロッパーがデータにアクセスして使用するのはそのデータがメモリに保存されているときのみで、データは特定のリクエストに対応するために必要な間だけ保持されるということです。たとえば、ある天気情報アプリが現在地の天気情報を取得するためにデバイスから位置情報を送信するとします。そのアプリが使用するのはメモリ内の位置情報のみであり、天気情報の提供に必要な時間よりも長く位置情報が保存されることがない場合、これに該当します。
• データはエンドツーエンドの暗号化を使用して送信される。これは、送信者と受信者以外はデータを読み取ることができないことを意味します。たとえば、エンドツーエンドの暗号化を採用しているメッセージ アプリを使って友だちにメッセージを送信した場合、そのメッセージを読むことができるのはあなたとその友だちのみです。

アプリによっては、特定の操作を完了するために別のサービスにリダイレクトすることがあります。たとえば、購入を完了するためにアプリから PayPal や Google Pay などの決済サービスに誘導されることがあります。その場合、以下に該当するときは、他のサービスにより収集されるデータについてアプリ デベロッパーが宣言する必要はありません。

• アプリはこの情報にアクセスしない。
• 当該サービスのプライバシー ポリシーと利用規約に基づいて、ユーザーが直接そのサービスに情報を提供する。

アプリ デベロッパーが、データ セーフティ セクションでサードパーティへのデータ転送を「共有」として宣言する必要がない場合もあります。たとえば次のようなケースです。

• データは、ユーザーが開始する特定の操作に基づいてサードパーティに転送される（ユーザーはデータが共有されることを合理的に予想できる）。たとえば、メールを送信したときや、他の人とドキュメントを共有したときなどです。
• サードパーティへのデータ転送についてアプリ内で認識しやすいように開示されており、Google Play のユーザーデータに関するポリシーの要件を満たす方法でアプリがユーザーに同意を求めている。
• データは、デベロッパーに代わってデータを処理するサービス プロバイダに転送される。たとえば、デベロッパーの指示、契約上の条件、プライバシー ポリシー、およびセキュリティ基準を遵守して、デベロッパーの代わりにデータをホストするサービス プロバイダをデベロッパーが利用する場合などです。
• データは、政府のリクエストへの対応など、特定の法的な目的のために転送される。
• 転送されるデータは、個人との関連付けができなくなるよう完全に匿名化される。

デベロッパーは、独自に採用しているセキュリティの方針について説明することができます。たとえば、次のようなアプリの場合です。

• 収集または共有したデータを転送する際に暗号化する。
  • アプリの中には、データを別のサイトやアプリに転送できるよう設計されているものもあります。これらのアプリは、デバイスとアプリのサーバー間で転送する際に最適な業界標準に基づいてデータを安全に暗号化していれば、データは安全な接続を介して転送されていることをデータ セーフティ セクションで申告できます。データの転送先として選択したサイトやサービスによっては、プライバシーやセキュリティの方針が異なることがあります。データを安全な宛先に転送できるよう、こうした方針を別途ご確認ください。たとえば、転送の際にデータを暗号化することを申告しているメッセージ アプリには、モバイル サービス プロバイダを介して SMS メッセージを送信するオプションが用意されている可能性があります。その場合、モバイル サービス プロバイダはそのモバイル ネットワークを介して SMS メッセージを安全に送信するための転送時の暗号化を使用していないことがあるため、ご利用のモバイル サービス プロバイダによるデータの取り扱い方針を確認する必要があります。
• 国際的セキュリティ基準に基づいた審査を独自に受けている。この独立した審査は、アプリのセキュリティの方針が国際基準を満たしているかどうかを検証するもので、第三者組織がデベロッパーに代わって審査を実施します。ただしこの審査は、データ セーフティ セクションでデベロッパーが申告する内容の正確性と完全性を証明するものではありません。
• Unified Payments Interface（UPI）を通じたお支払いを提供している。UPI は、インド準備銀行の規制下にあるインド国立決済公社（NPCI）が開発した即時送金システムです。このアプリの UPI 実装が NPCI に認定、検証されていることを示しています。このセキュリティ対策は、インドで使用されるアプリにのみ利用できます。

[データの削除] セクションでは、アプリ内のデータを削除する方法についてデベロッパーが説明を記入できます。

アプリによってはアカウントを作成できるものもあります。アカウントを作成できるアプリは、次の要件を満たしている必要があります。

• アプリ アカウントと関連データをアプリ内で削除できる手順をユーザーに提供する。
• ユーザーがアプリ アカウントの削除と関連データの削除をリクエストできるウェブリンク リソースを提供する。

アカウントを作成できるアプリの中には、アカウント全体を削除せずに特定のアプリデータを削除できるものもあります。

アカウントの作成はできないが関連データを削除できるアプリもあります。ユーザーデータの削除をリクエストする方法や、デベロッパーがデータ削除リクエストに対応して処理する仕組みについては、以下の方法でご確認ください。

• アプリのプライバシー ポリシーを確認する。
• デベロッパーに問い合わせる。

アカウント管理に関するデータの開示、およびシステム サービスの開示に関する詳細をご確認ください。

アカウント管理

アプリによっては、そのサービス全体で使用するアカウントをユーザーが作成したり、こうしたアカウントに情報を追加したりできるものがあります。デベロッパーは、このアプリから収集したアカウント データを、アプリに固有でない他の目的（不正行為の防止や広告など）のためにサービス全体で使用する場合があります。アプリのサービス全体でこのようにアカウント データを収集および使用する場合、デベロッパーは「アカウント管理」として開示できます。ただし、アプリ自体がアカウント データを使用する目的は、どのような場合でもすべて申告する必要があります。デベロッパーのサービスでアカウント データがどのように使用されるのかを把握するには、プライバシー ポリシーなどのアプリの情報を確認してください。

システム サービス

システム サービスは一部のデバイスにプリインストールされているソフトウェアであり、アンインストールすることはできません。これらのサービスは、デバイス固有の機能をサポートします。条件を満たすシステム サービスのデベロッパーは、データ セーフティ セクションでの開示は必要はありません。こうしたデベロッパーのデータ セーフティの方針については、それぞれのサイトやプライバシー ポリシーで確認できます。

アプリの権限リストには、アプリがアクセスできるデータまたは機能や、アプリがアクセスをリクエストする可能性のあるデータまたは機能が記載されています。このリストには次のものが含まれます。

• アプリが動作するために必要なデータまたは機能（モバイル ネットワークへのアクセスなど）
• 使用中にアプリがリクエストするデータ（カメラへのアクセスなど）

このリストは、デベロッパーのアプリの仕組みを説明する技術情報に基づいています。これはデータ セーフティ セクションとは異なります。データ セーフティ セクションは、データを収集、共有、処理する仕組みについて、アプリ デベロッパーが宣言する情報に基づいています。

アプリの権限リストに記載されている情報は、データ セーフティ セクションに記載されている情報と異なる場合があります。これには、次のような理由が考えられます。

• アプリは、デバイス上で処理するためにデータにアクセスするが、データの収集や共有は行わない。
• アプリは、権限で管理されていない方法でデータを収集する。
• 権限リストに記載されているサービスまたはデータの種類が、データ セーフティ セクションの対象外である。