アプリのメタデータ バンドルを使用すると、デベロッパーは、自身(デベロッパー)とアプリに関する情報、およびユーザーデータを収集、共有、保護するかどうかと、その方法に関する情報を透過的に含めることができます。Google Play ストアでは、配信するアプリについて、デベロッパーがこの情報を提供する必要があります。Google Play 開発者サービスを搭載した Android デバイスのメーカーは、システム サービスについては例外を除き、メーカーがプリロードするアプリのデベロッパーにも同じ情報の提供を求めます。
他のアプリストアやインストーラでは、配布するアプリにアプリ メタデータ バンドルを要求することもできます。アプリの配信方法によって、アプリ メタデータ バンドルを作成して統合する方法が決まります。Android では、アプリ メタデータ バンドルのデータ セーフティ情報がユーザーに表示されます。たとえば、アプリがサードパーティと位置情報を共有することを宣言すると、その情報は Android 14 以降を搭載したデバイスの位置情報の利用許可プロンプトに表示されます。
概要
アプリ メタデータ バンドルを使用すると、デベロッパー(デベロッパー)とアプリに関する情報(アプリが収集または共有するユーザーデータなど)を共有し、アプリの主なプライバシーとセキュリティの方針を紹介できます。この情報は、権限の付与など、ユーザーがより適切な情報に基づいた選択を行うのに役立ちます。
App Metadata バンドルは、デベロッパーが事業を展開している国においてデベロッパーが負う法的透明性と開示の義務とは別個のものであり、法的透明性と開示の義務を負うものです。
すべてのデベロッパーは、アプリのユーザーデータを収集および処理する方法を申告し、アプリの目的、デベロッパー情報、アプリが暗号化などのセキュリティ対策によってユーザーデータを保護する方法に関する詳細を提供することが推奨されます。これには、アプリで使用されるサードパーティのライブラリや SDK を通じて収集、処理されるデータも含まれます。詳細については、SDK プロバイダが公開しているデータ セーフティ情報をご覧ください。デベロッパーは Google Play SDK Index で、ガイダンスへのリンクがプロバイダから提供されているかどうかを確認できます。
App メタデータ バンドルがデバイスに到達する方法は、アプリの配信方法によって異なります。
- システム イメージにプリロードされるアプリ: デバイス メーカーは、システム イメージのデータ セーフティ XML ファイルにアプリ メタデータ バンドルを含める責任があります。
- インストーラによって配布されるアプリ: インストーラは、アプリ メタデータ バンドルをデバイスに送信します。Google Play で配信するアプリを開発する場合は、Google Play Console ヘルプに記載されている手順をご覧ください。インストーラは、App Metadata Bundle のスキーマをご覧ください。
プリロードされたアプリのデベロッパーは、次のいずれかの方法でデータ セーフティ XML ファイルを作成できます。
- Google Play ストアで公開するアプリを開発する場合は、Google Play Console のデータ セーフティ フォームを使用します。[アプリのコンテンツ] ページで [ポリシー] > [アプリのコンテンツ] に移動します。すでにこのフォームにご記入いただいている場合は、追加のご対応は必要ありません。
- こちらのページから入手可能なテンプレート XML ファイルをダウンロードして編集し、メーカーまたはインストーラに提供します。
情報を準備する
デベロッパーが App Metadata Bundle の作成を開始する前に、次の操作を行います。
プライバシー ポリシーが追加されていることを確認します。
アプリがユーザーデータを収集、共有する仕組みと、アプリのセキュリティ対策を確認する。特に、アプリで宣言されている権限と、アプリが使用する API を確認します。
デベロッパーは、アプリがユーザーデータを収集、共有する仕組みを確認するだけでなく、アプリ内のサードパーティのコード(サードパーティのライブラリや SDK など)がそのようなデータを収集、共有する仕組みも確認する必要があります。アプリ メタデータ バンドルには、そのようなサードパーティのコードによって行われるデータの収集または共有を反映する必要があります。
アプリとデベロッパー情報のセクションにデベロッパーが開示する必要がある情報
このセクションでは、デベロッパーがアプリ メタデータ バンドルのアプリセクションとデベロッパー情報セクションで開示する必要がある情報について説明します。アプリが Google Play ストアで配信されている場合は、Google Play Console を使用してこの情報を入力してください。
アプリについてデベロッパーが共有する必要がある情報
App Metadata Bundle を作成する場合、デベロッパーは、以下のセクションで説明するアプリ情報を開示する必要があります。
アプリの目的
人間が読める形式の英語のテキストの blob(最大 4,000 文字)でアプリの目的を説明します。
アプリのカテゴリ
次のリストから、アプリの目的に最も適したカテゴリを選択します。
以下のカテゴリは、プリロードされたアプリを対象としています。
- OTA - 無線(OTA)アップデートの受信とインストールを行うパッケージ
- AOSP - Android オープンソース プロジェクトで利用可能なパッケージ
- セキュリティ
- 店舗
次の表に示すカテゴリは、Google Play でも使用されます。
| カテゴリ | 例 |
|---|---|
アート、デザイン |
スケッチブック、お絵描きツール、アートやデザインのツール、ぬりえ |
自動車、乗り物 |
自動車購入、自動車保険、自動車価格比較、道路安全、自動車のレビューやニュース |
美容 |
メイクレッスン、イメージチェンジ ツール、ヘアスタイリング、美容用品ショッピング、メイクのシミュレータ |
書籍、参考書 |
電子書籍リーダー、事典、テキストブック、辞書、類語辞典、Wiki |
お店やサービス |
ドキュメント エディタ / リーダー、荷物追跡、リモート デスクトップ、メール管理、求人検索 |
コミック |
コミックの登場人物、コミック タイトル |
通信 |
メッセージ、チャットまたは IM、電話アプリ、アドレス帳、ブラウザ、通話管理 |
出会い |
出会いの仲介、交際、人間関係の構築、知らない人との出会い、恋人探し |
説明 |
試験対策、学習支援、単語帳、教育ゲーム、言語習得 |
エンターテイメント |
ストリーミング動画、映画、テレビ、インタラクティブ エンターテイメント |
イベント |
コンサートのチケット、スポーツ イベントのチケット、チケットの転売、映画のチケット |
金融 |
銀行、支払い、ATM 検索、金融ニュース、保険、税金、ポートフォリオ管理、取引、チップ計算機 |
食べ物と飲み物 |
レシピ、レストラン、食のガイド、ワインの飲み方と選び方、飲み物レシピ |
健康&フィットネス |
フィットネス、運動記録、ダイエットや栄養に関するアドバイス、安全衛生 |
住まい、インテリア |
一戸建てまたは集合住宅検索、家の修繕、室内装飾、抵当、不動産 |
ライブラリ、デモ |
ソフトウェア ライブラリ、テクニカルデモ |
ライフスタイル |
スタイルガイド、ウェディング&パーティーの計画、ハウツーガイド |
地図、ナビ |
ナビツール、GPS、地図、交通ツール、公共交通機関 |
医療 |
医薬品や臨床治療の情報、計算機、ヘルスケア業者向けハンドブック、医学の専門誌やニュース |
音楽、オーディオ |
音楽サービス、ラジオ、音楽プレーヤー |
ニュース、雑誌 |
新聞、ニュースサイト、雑誌、ブログ |
育児 |
妊娠、乳児のケアと見守り、育児 |
パーソナライズ |
壁紙、ライブ壁紙、待ち受け画面、ロック画面、着信音 |
写真 |
カメラ、写真編集ツール、写真の管理と共有 |
仕事効率化 |
メモ帳、ToDo リスト、キーボード、印刷、カレンダー、バックアップ、電卓、換算計算機 |
ショッピング |
オンライン ショッピング、オークション、クーポン、価格比較、買い物リスト、商品レビュー |
ソーシャル |
ソーシャル ネットワーキング、チェックイン |
スポーツ |
スポーツ ニュースと解説、スコア記録、チーム運営シミュレーション、試合情報 |
ツール |
Android デバイス向けツール |
旅行、地域 |
旅行予約ツール、自動車相乗り、タクシー、地域ガイド、地域のビジネス情報、旅程管理ツール、ツアー予約 |
動画プレーヤー、エディタ |
動画プレーヤー、動画エディタ、メディア ストレージ |
天気 |
天気予報 |
アプリの広告とマーケティング
アプリに広告やマーケティング(アプリ内プロモーションを含む)が含まれているかどうかを示します。
プライバシー ポリシー
デベロッパーがユーザーデータをどのように取り扱うかを詳しく説明するプライバシー ポリシーへのリンクを含めます。アプリにこのリンクが含まれていない場合、アプリはユーザーデータを処理していないとみなされます。
デベロッパーが公開する必要がある情報
デベロッパーは、アプリのメタデータ バンドルを作成する場合、以下のセクションで説明するデベロッパー情報を開示する必要があります。
デベロッパー名
アプリを作成したデベロッパー、個人、または会社の名前。複数のデベロッパー名が存在する場合があります。
アプリ レジストリ
アプリがストアやその他のインストーラを含むアプリ レジストリに含まれている場合は、このフィールドに示してください。複数の店舗に対して複数のエントリが可能です。
- Android インストーラであるアプリ レジストリの場合: 値はストアの Android パッケージ名にする必要があります。たとえば、Google Play ストアの場合は
com.android.vendingを使用します。 - 他のアプリ レジストリの場合: 値はレジストリの URL です。
次のいずれかの理由により、このフィールドは省略します。
- デベロッパーが Google Play SDK Index に登録されている SDK である。
- デベロッパーはどのアプリストアやレジストリにも登録されていません。
アプリ レジストリ ID
インストーラやストアなど、アプリ レジストリに登録されているアプリの場合、この値はデベロッパーのストア、インストーラ、レジストリの ID にする必要があります。複数のストアに対して複数のエントリを指定できます。
- Google Play に登録されているデベロッパーの場合: この値は、デベロッパー ページの URL にする必要があります(たとえば、
https://play.google.com/store/apps/dev?id=5700313618786177705はデベロッパー Google LLC の URL です)。 - デベロッパーが Google Play SDK Index に掲載されている SDK デベロッパーの場合: SDK の URL を使用します(例:
https://play.google.com/sdks/details/com-google-android-gms-play-services-adsは Google Mobile Ads(GMA)SDK の URL)。 - デベロッパーが別のストアまたはレジストリに登録されている場合: アプリストアの URL またはその他の識別子を指定できます。
デベロッパーがどのアプリストアにも登録されていない場合は、この属性を省略できます。
デベロッパーの連絡先情報
次の情報を提供します。
- メール
- ウェブサイト
- 国または地域
- 住所
デベロッパーがデータ セーフティ セクションで開示する必要がある情報
このセクションでは、アプリ メタデータ バンドルのデータ セーフティ セクションで開示する必要がある情報について説明し、デベロッパーが選択できるユーザーデータの種類と目的の一覧を示します。アプリが Google Play ストアで配信されている場合は、Google Play Console を使用してこの情報を入力してください。
さまざまなデータ型でデベロッパーが宣言する必要があるもの
デベロッパーは App Metadata Bundle を作成する際、以下のセクションで説明するように、収集、共有するデータの種類に関する情報を開示する必要があります。
データの収集
この場合の「収集」とは、ユーザーのデバイス以外のアプリからデータを送信することを意味します。 次のガイドラインにご注意ください。
ライブラリと SDK: これには、アプリで使用されるライブラリまたは SDK がアプリからデバイス外に送信するユーザーデータが含まれます。データがアプリ デベロッパーとサードパーティのサーバーのどちらに転送されるかは問いません。
WebView: アプリから開いた WebView から収集されたユーザーデータが含まれます(アプリがその WebView を通じて配信されるコードと動作を制御している場合)。
デベロッパーは、ユーザーがオープンウェブを移動する WebView からのデータ収集を宣言する必要はありません。
一時的な処理: デバイスから送信されるユーザーデータのうち、一時的に処理されるものが次の基準を満たしている場合は、そのデータをアプリのメタデータ バンドルに含める必要はありません。
「一時的に処理される」とは、データがメモリにのみ保存され、特定のリクエストにリアルタイムで対応するために必要な間だけ保持される間、そのデータにアクセスして使用することを意味します。
たとえば、ユーザーの位置情報をデバイスから送信してユーザーの現在地の現在の天気を取得するが、位置情報はメモリ内にのみ使用し、リクエストが満たされた後はそのデータを保存しない場合、位置情報の一時的な使用を一時的なものとして扱うことができます。ただし、データを使用して広告プロファイルやその他のユーザー プロファイルを構築する場合は、一時的なものとして扱うことはできません。関連する目的のために収集または共有として宣言する必要があります。
仮名データ: 仮名で収集されたユーザーデータは開示する必要があります。たとえば、ユーザーに合理的に再度関連付けることができるデータは開示する必要があります。
データ収集の開示の対象外
以下のユースケースは、収集されたことを開示する必要はありません。
デバイス上のアクセスまたは処理: アプリがアクセスするユーザーデータが、ユーザーのデバイス上でローカルにのみ処理され、デバイス外に送信されない場合、開示する必要はありません。
エンドツーエンドの暗号化: デバイスから送信されるユーザーデータで、エンドツーエンドの暗号化の結果としてご自身または送信者と受信者以外の第三者が読み取り不能なユーザーデータは、開示する必要はありません。
暗号化されたデータを、デベロッパーを含む中間エンティティが読み取れないようにする必要があります。必要な鍵は送信者と受信者のみが取得できます。
データの共有
この場合の共有とは、アプリから収集したユーザーデータをサードパーティに転送することを意味します。これには、次の方法で転送されるユーザーデータが含まれます。
デバイス外(サーバー間転送など): たとえば、アプリで収集したユーザーデータをデベロッパーのサーバーからサードパーティのサーバーに転送する場合などです。
別のアプリへのデバイス上の転送: デバイス上で、アプリから別のアプリにユーザーデータを直接転送します。この場合、アプリがユーザーのデバイス外にデータを送信しない場合でも、デベロッパーはデータ セーフティ セクションでデータ共有を開示する必要があります。
アプリのライブラリと SDK から: アプリに含まれるライブラリまたは SDK を使用して、アプリで収集したデータをユーザーのデバイスから直接サードパーティに転送する。
アプリから開いた WebView から: アプリから開いた WebView を使用してサードパーティにユーザーデータを転送する(アプリがその WebView を通じて配信されるコードと動作を制御している場合)。
デベロッパーは、ユーザーがオープンウェブを移動する WebView からデータ共有を宣言する必要はありません。
次の種類のデータ転送は、共有として開示する必要はありません。
サービス プロバイダ: デベロッパーに代わってデータを処理するサービス プロバイダにユーザーデータを転送する。サービス プロバイダとは、デベロッパーの代わりに、デベロッパーの指示に基づいてユーザーデータを処理するエンティティを意味します。
法的な目的: 法的義務や政府のリクエストへの対応など、特定の法的な目的のためにユーザーデータを転送する場合。
ユーザーが開始したアクション、または認識しやすい開示とユーザーの同意: ユーザーが開始した特定のアクション(データの共有をユーザーが合理的に期待している場合)または認識しやすいアプリ内での開示と同意に基づいて、第三者へのユーザーデータの転送。
匿名データ。個々のユーザーへの関連付けができなくなるように、完全に匿名化されたユーザーデータを転送する。
ファースト パーティとサードパーティ: ファースト パーティとは、アプリによって収集されたデータを処理するメインの組織であるデベロッパーのことです。ストアを通じて配布されるアプリの場合、通常はストアでアプリを公開している組織です。
ファースト パーティには、アプリによって収集されたデータの処理を主にどの組織が担当しているかをユーザーに合理的に明確にする義務があります。
サードパーティとは、ファースト パーティまたはそのサービス プロバイダ以外の組織を意味します。
データの取り扱い
また、アプリが収集する各データの種類が「任意」か「必須」かを開示することもできます。省略可。データ収集を有効または無効にできます。たとえば、ユーザーがデータの種類を制御し、指定しなくてもアプリを使用できる場合、あるいは、ユーザーがそのデータ型を手動で提供するかどうかを選択する場合は、そのデータ型をオプションとして宣言できます。アプリの主要な機能がデータ型を必要とする場合、デベロッパーはそのデータを必要に応じて宣言する必要があります。
デベロッパーは、デバイスや地域に関係なく、すべてのユーザーが任意で情報を提供したり、データの収集を無効にしたりできる場合にのみ、アプリが特定のデータを任意で収集すると宣言できます。
オプションのデータ収集の例を以下に示します。
マーケティング コミュニケーションのためにユーザーの誕生日の入力を求めるソーシャル メディア アプリで、その情報は必須ではなく、ユーザーは情報を提供しなくても登録できる。
ユーザーがログインしなくてもアプリを利用できる環境で、ユーザーがログインしたときにのみ収集されるユーザーデータ。
その他のアプリによる開示とデータの開示
データ セーフティ セクションは、デベロッパーがアプリのプライバシーとセキュリティの方針を紹介する機会にもなります。たとえば、デベロッパーは次の情報を強調できます。
転送データの暗号化: アプリによって収集または共有されるデータが、エンドユーザーのデバイスからサーバーへのユーザーデータの流れを保護するために、転送中に暗号化を使用するかどうか。
アプリの中には、ユーザーが別のサイトやアプリにデータを転送できるように設計されています。たとえば、メッセージ アプリでは、モバイル サービス プロバイダを介して SMS メッセージを送信するオプションをユーザーに提供できます。モバイル サービス プロバイダはさまざまな暗号化方式を採用しています。これらのアプリは、ユーザーのデバイスとアプリのサーバー間で転送する際に最適な業界基準を使用してデータを安全に暗号化している限り、データは安全な接続を介して転送されることをデータ セーフティ セクションで宣言できます。
削除リクエスト メカニズム: ユーザーがデータの削除をリクエストする手段がアプリで提供されているかどうか。
独立したセキュリティ審査(すべてのアプリで利用可能)
デベロッパーは、アプリが国際的セキュリティ基準に基づく独立した審査を受けたことをデータ セーフティ セクションで宣言できます。これは、デベロッパーが自ら受けて費用を支払うオプションの審査です。たとえば、Mobile Application Security Assessment(MASA)を使用すると、デベロッパーはラボを直接操作して、Open Worldwide Application Security Project(OWASP)の Mobile Application Security Verification Standard(MASVS)に照らしてアプリを評価できます。第三者組織がデベロッパーに代わって審査を行います。
データタイプと用途
デベロッパーは、次の表に示すように、一連のユーザーデータの種類について、収集、共有、その他の取り扱い方法と、そのデータを使用する目的を提供することが求められます。
| カテゴリ | データの種類 | 説明 |
|---|---|---|
位置情報 |
おおよその位置情報 |
3 平方キロメートル以上のエリア内のユーザーまたはデバイスの物理的な位置情報(ユーザーがいる都市や、Android の |
正確な位置情報 |
3 平方キロメートル未満の地域内にあるユーザーまたはデバイスの物理的な位置情報(Android の |
|
個人情報 |
名前 |
ユーザーの姓名、ニックネームなど、ユーザーが自身を表記する方法。 |
メールアドレス |
ユーザーのメールアドレス。 |
|
ユーザー ID |
特定できる個人に関連する識別子(アカウント ID、アカウント番号、アカウント名など)。 |
|
住所 |
ユーザーの住所(送付先住所や自宅の住所など)。 |
|
電話番号 |
ユーザーの電話番号。 |
|
人種、民族 |
ユーザーの人種や民族に関する情報。 |
|
政治信条、宗教 |
ユーザーの政治信条または宗教に関する情報。 |
|
性的指向 |
ユーザーの性的指向に関する情報。 |
|
その他の情報 |
生年月日、性自認、従軍経験などのその他の個人情報 |
|
財務情報 |
ユーザーのお支払い情報 |
クレジット カード番号など、ユーザーの金融口座に関する情報。 |
購入履歴 |
ユーザーが行った購入や取引に関する情報。 |
|
クレジット スコア |
ユーザーのクレジット スコアに関する情報。 |
|
その他の財務情報 |
その他の財務情報(ユーザーの年収、負債など)。 |
|
健康、フィットネス |
健康情報 |
医療記録や症状など、ユーザーの健康に関する情報。 |
フィットネス情報 |
運動やその他の身体活動など、ユーザーのフィットネスに関する情報。 |
|
メッセージ |
メール |
ユーザーのメール(メールの件名、送信者、受信者、メールの内容など)。 |
SMS または MMS |
ユーザーのテキスト メッセージ(送信者、受信者、メッセージの内容など)。 |
|
その他のアプリ内メッセージ |
その他の種類のメッセージ(インスタント メッセージ、チャット コンテンツなど)。 |
|
写真と動画 |
写真 |
ユーザーの写真。 |
動画 |
ユーザーの動画。 |
|
音声ファイル |
音声などの録音 |
ボイスメールやサウンド レコーディングなどのユーザーの声。 |
音楽ファイル |
ユーザーの音楽ファイル。 |
|
その他の音声ファイル |
ユーザーが作成した、またはユーザー提供のその他の音声ファイル。 |
|
ファイル、ドキュメント |
ファイル、ドキュメント |
ユーザーのファイルやドキュメント、またはユーザーのファイルやドキュメントに関する情報(ファイル名など)。 |
カレンダー |
カレンダーの予定 |
ユーザーのカレンダーからの情報(予定、予定のメモ、参加者など)。 |
連絡先 |
連絡先 |
ユーザーの連絡先に関する情報(連絡先名、メッセージ履歴、ソーシャル グラフ情報(ユーザー名、連絡間隔、連絡頻度、インタラクション期間、通話履歴など)など)。 |
アプリのアクティビティ |
アプリ インタラクション |
ユーザーがアプリをどのように操作しているかに関する情報(例: ページへのアクセス数、タップした項目)。 |
アプリ内の検索履歴 |
ユーザーがアプリ内で検索した内容に関する情報。 |
|
インストール済みのアプリ |
ユーザーのデバイスにインストールされているアプリに関する情報。 |
|
その他のユーザー作成コンテンツ |
この一覧、または他のセクションに記載されていない、その他のユーザー作成コンテンツ(例: ユーザーに関する情報、自由形式の回答)。 |
|
その他の操作 |
この一覧に記載されていない、その他のユーザー アクティビティやアプリ内操作(ゲームプレイ、高評価、ダイアログでの選択など)。 |
|
ウェブ閲覧 |
ウェブ閲覧履歴 |
ユーザーがアクセスしたウェブサイトに関する情報。 |
アプリの情報、パフォーマンス |
クラッシュログ |
アプリのクラッシュ ログデータ(アプリがクラッシュした回数、スタック トレース、クラッシュに直接関連するその他の情報など)。 |
診断 |
アプリのパフォーマンスに関する情報(バッテリー駆動時間、読み込み時間、レイテンシ、フレームレート、技術的な診断など)。 |
|
その他のアプリのパフォーマンス データ |
ここに記載されていないその他のアプリのパフォーマンス データ。 |
|
デバイスまたはその他の ID |
デバイスまたはその他の ID |
個々のデバイス、ブラウザ、アプリに関連する識別子(IMEI 番号、MAC アドレス、Widevine デバイス ID、Firebase インストール ID、広告 ID など) |
目的
| データの用途 | 説明 | 例 |
|---|---|---|
アプリの機能 |
アプリで提供される機能に使用します。 |
例: アプリの機能を有効にする、ユーザーを認証する。 |
アナリティクス |
ユーザーのアプリの使用状況やアプリのパフォーマンスに関するデータの収集に使用します。 |
例: 特定の機能を使用しているユーザーの数を確認する、アプリの状態を管理する、バグやクラッシュを診断して修正する、将来的にパフォーマンスの改善を加える。 |
デベロッパーによる情報伝達 |
アプリやデベロッパーに関するニュースや通知の送信に使用します。 |
例: 重要なセキュリティ アップデートを知らせるためにプッシュ通知を送信する、アプリの新機能についてユーザーに知らせる。 |
広告、マーケティング |
広告、マーケティング コミュニケーションの表示やターゲットの設定、広告パフォーマンスの測定に使用します。 |
たとえば、アプリへの広告表示、プッシュ通知の送信による他の商品やサービスの宣伝、広告パートナーとのデータ共有などがこれに該当します。 |
不正行為防止、セキュリティ、コンプライアンス |
不正行為防止、セキュリティ、法律の遵守に使用します。 |
例: 不正なログインの試みを監視して不正行為の可能性を特定する。 |
パーソナライズ |
おすすめのコンテンツや候補の表示など、アプリのカスタマイズに使用されます。 |
たとえば、ユーザーの視聴習慣に基づいてプレイリストを提示したり、ユーザーの位置情報に基づいてローカル ニュースの配信を行ったりします。 |
アカウント管理 |
デベロッパーのユーザー アカウントの設定や管理に使用します。 |
たとえば、ユーザーがアカウントを作成したり、デベロッパーがサービス全体で使用するために提供したアカウントに情報を追加したりできるようにする、アプリにログインする、ユーザーの認証情報を確認できるようにする。 |
データ セーフティ XML ファイルを手動で作成する
次のデータ セーフティ XML ファイルのサンプルは、ユーザーの位置情報に関するデータを共有するプリロードされたアプリのファイル構造を示しています。この構造を編集するには、アプリについて開示する必要がある情報の種類に応じて、要素を追加、編集、削除します。
サンプル ファイルは必ずしも完全ではありません。アプリに含める必要がある可能性があるアプリ メタデータ バンドルのアプリ、デベロッパー、データ セーフティ セクションに必要な XML 構造について詳しくは、アプリ メタデータ バンドルのスキーマをご覧ください。
<?xml version='1.0' encoding='UTF-8' standalone='yes' ?>
<bundle>
<long name="version" value="2" />
<pbundle_as_map name="safety_labels">
<long name="version" value="1" />
<pbundle_as_map name="data_labels">
<pbundle_as_map name="data_shared">
<pbundle_as_map name="location">
<pbundle_as_map name="approx_location">
<int-array name="purposes" num="4">
<item value="1" />
<item value="2" />
<item value="5" />
<item value="6" />
</int-array>
</pbundle_as_map>
<pbundle_as_map name="precise_location">
<int-array name="purposes" num="2">
<item value="1" />
<item value="6" />
</int-array>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</bundle>
よくある質問
デベロッパーからよく寄せられる質問とその回答については、以降のセクションをご覧ください。
一般的な質問
以下のセクションでは、App Metadata バンドルに関する一般的な質問への回答について説明します。
iOS に関する同様の情報を送信しているデベロッパーがいます。デベロッパーは、その作業のどれくらいを Android アプリのメタデータ バンドルに再利用できますか?
デベロッパーがアプリのデータの取り扱いを適切に処理しているのは素晴らしいことです。アプリ メタデータ バンドルを正しく完了するには、以前に使用したことがない追加情報が必要になることがあるため、デベロッパーは追加の作業を行う必要があると想定する必要があります。Android アプリのメタデータ バンドルの分類とフレームワークは、他のアプリストアで使用されているものと実質的に異なる場合があります。
Google は、デベロッパーが正確な情報を共有していることをどのように確認していますか?この情報は業界で常に正確であるとは限らないことがわかっています。
プライバシー ポリシーと同様に、デベロッパーはアプリのメタデータ バンドルで開示される情報について責任を負います。
デベロッパーはどのくらいの頻度でアプリ メタデータ バンドルを更新する必要がありますか?
デベロッパーは、アプリのデータの取り扱いに関連する変更があった場合、アプリのメタデータ バンドルを更新する必要があります。
データ セーフティ セクションの入力に関する質問
以下のセクションでは、アプリのメタデータ バンドルのデータ セーフティ セクションの記入に関する質問の回答を示します。
サポートされている Android バージョンによってアプリの動作が異なる場合はどうすればよいですか?
アプリのメタデータ バンドルは、使用状況、アプリのバージョン、リージョン、ユーザーの年齢から独立するように、正確である必要があります。データ セーフティ セクションには、すべての地域とユーザータイプにおけるアプリのデータ収集とデータ共有が総合的に記載されます。
地域によって取り扱いが異なる場合があることを示すにはどうすればよいですか?たとえば、デベロッパーがヨーロッパでは特定のライブラリを使用しないが、他のライブラリではそのライブラリを使用する場合があります。
アプリ メタデータ バンドルは、アプリごとのデータの取り扱いのグローバルな表現を反映しています。データ セーフティ セクションには、すべての地域とユーザータイプにわたるアプリのデータ収集とデータ共有の合計が記載されます。
データ セーフティ セクションは、ユーザーによる同意メカニズムによって制限されていますか?デベロッパーは追加の手順を行って、アプリ内の認識しやすい開示を作成する必要がありますか?
いいえ。ユーザーのアプリのインストール プロセスには新しい開示はなく、この機能に関する新たなユーザーの同意はありません。ユーザーの個人情報や機密情報を収集する、Google Play 開発者サービスを搭載した Android デバイス上の Google Play アプリおよびモバイル バンドルアプリのデベロッパーは、ポリシーで義務付けられている場合、アプリ内での開示と同意を実装する必要があります。
アプリに権限が含まれているが、実際にはデータを収集または共有しない場合、デベロッパーはデータを申告する必要がありますか?
データが実際に収集または共有されない限り、デベロッパーは収集または共有を宣言する必要はありません。Google Play 開発者サービスを搭載した Android デバイス上の Google Play アプリとモバイル バンドルアプリは、該当するすべてのポリシーに準拠する必要があります。
あるデータタイプが別のデータタイプの一部として収集される場合、デベロッパーは両方を宣言する必要がありますか?たとえば、ユーザーのメールアドレスを含む連絡先を収集している場合、デベロッパーは「連絡先」と「メールアドレス」の両方のデータタイプを宣言していますか?
別のデータ型を収集する際に、意図的に特定のデータ型を収集する場合は、両方を開示する必要があります。たとえば、デベロッパーがユーザーの写真を収集し、それを使用してユーザーの特性(民族や人種など)を判断する場合は、民族や人種の収集も開示する必要があります。
デベロッパーは削除メカニズムを提供する必要がありますか?すべてのユーザーデータを対象にする必要がありますか?
データ セーフティ セクションは、ユーザーからデータ削除リクエストを受け取るメカニズムをデベロッパーが提供しているかどうかをデベロッパーが共有できるサーフェスです。デベロッパーは、データ セーフティ セクションの記入の一環として、そのようなメカニズムを提供しているかどうかを示す必要があります。
アプリがユーザーデータの削除リクエストに対応していることを示すために、デベロッパーが提供する必要がある特定の種類のメカニズムはありますか?
決まったメカニズムはありませんが、リクエスト メカニズムはユーザーが見つけやすく、アクセスできるようにすることをおすすめします。ユーザーがデータの削除をリクエストできる手段を明確に示すメカニズムの一般的な例としては、アプリの機能、お問い合わせフォーム、専用のメール エイリアスなどがありますが、これらに限定されません。
自動的に削除または匿名化されるデータについて、デベロッパーが削除メカニズムを提供していることをデータ セーフティ セクションで示すにはどうすればよいですか?
デベロッパーは、次の 1 つ以上のオプションを提供している場合に、ユーザーがデータの削除をリクエストできると宣言できます。
- データの削除をリクエストするメカニズム。
収集から 90 日以内に収集したデータの削除または匿名化を開始する自動プロセス。
デベロッパーは、法令遵守や不正使用の防止などの正当な理由で特定のデータを保持する必要がある場合でも、ユーザーがデータの削除をリクエストできると宣言できます。
デベロッパーが提供する削除メカニズムを世界中のすべてのユーザーが利用できるわけではない場合でも、デベロッパーが削除メカニズムを提供していることを示すことはできますか?
グローバル データ セーフティ セクションは、アプリのメタデータ バンドルごとに 1 つだけ使用できます。これには、使用状況、地域、ユーザーの年齢に基づくデータの取り扱いを記載する必要があります。つまり、世界のどこかのバージョンのアプリのいずれかのバージョンでデータの取り扱いが存在する場合、デベロッパーはその取り扱いを示す必要があります。そのため、データ セーフティ セクションでは、すべてのユーザーと地域におけるアプリのデータ収集とデータ共有が総合的に記載されます。
データを匿名にするために使用できる手法にはどのようなものがありますか?
個々のユーザーに関連付けることができないデータを匿名化する方法はいくつか考えられます。デベロッパーはプライバシーとセキュリティの専門家に相談して、ユースケースに適用できる方法を特定する必要があります。このページでは、例として、差分プライバシーなど、Google で使用されているデータの匿名化方法について説明します。
デベロッパーは IP アドレスの収集と使用をどのように扱うべきですか?
他のデータタイプと同様に、デベロッパーは特定の使用状況やプラクティスに基づいて、IP アドレスの収集、使用、共有を開示する必要があります。たとえば、デベロッパーが場所を特定する手段として IP アドレスを使用する場合は、そのデータタイプ(場所)を宣言する必要があります。
他の種類の識別子の収集と共有について、デベロッパーはどのようにして開示する必要がありますか?
他のデータタイプと同様に、デベロッパーは特定の使用方法やプラクティスに基づいて、さまざまな種類の識別子の収集、使用、共有を開示する必要があります。たとえば、特定可能な個人に関連付けられているアカウント名の収集は「個人識別子」として宣言し、ユーザーの Android 広告 ID の収集は「デバイスまたはその他の識別子」として宣言する必要があります。別の例として、特定のアプリ内イベントに関連するものの、個々のデバイス、ブラウザ、アプリに合理的に関連していない識別子は、「デバイスまたはその他の識別子」として開示する必要はありません。
前述のように、仮名でデータを収集する場合は、アプリ メタデータ バンドルのデータ セーフティ セクションで、関連するデータ型で開示する必要があります。たとえば、デバイス ID を含む診断情報を収集する場合でも、デベロッパーはデータ セーフティ セクションで「診断」の収集を開示する必要があります。
「サービス プロバイダ」はどのようなアクティビティを実行できますか?
サービス プロバイダは、デベロッパーの代理としてのみユーザーデータを処理できます。たとえば、デベロッパーの代理としてのみアプリのユーザーデータを処理する分析プロバイダや、デベロッパーが使用するためにアプリからユーザーデータをホストするクラウド プロバイダは、通常「サービス プロバイダ」に該当します。一方、SDK プロバイダがアプリデータに基づいて複数の顧客にわたる広告プロファイルを作成している場合、データ セーフティ セクションで「サービス プロバイダ」アクティビティとはみなされないため、アプリ メタデータ バンドルのデータ セーフティ セクションで「共有」として開示する必要があります。
アプリは、外部の決済サービスを使用して金融取引を有効にしています。アプリは、アプリのメタデータ バンドルでクレジット カード情報などの財務情報を開示する必要がありますか?
決済サービスとの統合の性質によって異なります。アプリが PayPal、Google Pay、Google Play の課金システムなどの支払いサービス、または同様のサービスを使用して支払い取引を完了する場合、次の条件がすべて満たされていれば、支払いサービスが金融取引の処理に関連して収集するデータ(クレジット カード番号など)の収集を申告する必要はありません。
アプリがこの情報にアクセスすることはありません。
決済サービスは、この情報をユーザーから直接収集します。収集はそのサービスの利用規約に従います。
デベロッパーは支払いサービスとの統合を注意深く見直し、これらの条件を満たさない関連するデータの収集と共有がアプリのメタデータ バンドルのデータ セーフティ セクションで宣言されるようにする必要があります。また、アプリが他の財務情報(購入履歴など)を収集するかどうか、アプリがリスクや不正防止などの目的でお支払いサービスから関連データを受信しているかどうかも考慮する必要があります。
アプリからユーザーが Google ドライブや Dropbox に直接アップロードしてバックアップや保存を行えるようにする。アプリはこのデータにはアクセスしません。この場合も「収集」として開示する必要がありますか?
実際の実装によって異なります。ユーザーが外部ドライブまたはクラウド ストレージ アカウント(Google ドライブ、Dropbox などのサービス)にデータを直接アップロードすることを選択し、このアップロードが外部ドライブまたはクラウド ストレージ プロバイダの利用規約とプライバシー ポリシーに則り、アプリが対象のデータを収集またはアクセスしない場合、アプリでこのデータの収集を宣言する必要はありません。
デベロッパーは転送中のデータをどのように暗号化する必要がありますか?
デベロッパーは、最適な業界標準に従って、転送中のアプリデータを安全に暗号化する必要があります。一般的な暗号化プロトコルには、Transport Layer Security(TLS)や Hypertext Transfer Protocol Secure(HTTPS)などがあります。
アプリでは、ユーザーがアカウントを作成したり、生年月日や性別などの情報をアカウントに追加したりできます。ユーザーがアカウントに追加するデータをデベロッパーは、どのように申告する必要がありますか?
デベロッパーはアカウント管理を目的としてこのデータを収集することを申告する必要があります。この申告では、ユーザーがデータ収集を任意で行う場合、そのことを明記します。
さらに、アプリによって収集されるデータの種類と同様に、デベロッパーはこのデータと、アプリがデータを使用する目的を開示する必要があります。たとえば、ユーザーがアカウントに誕生日を追加できるようにし、そのデータを使用してタイムリーなプッシュ通知を送信する場合は、アカウント管理に加えてこの目的も宣言する必要があります。
アカウント管理は、特定のアプリに固有ではないアカウント データの一般的な使用に使用できます。たとえば、デベロッパーが不正行為の防止、広告、マーケティング、またはサービス間でのデベロッパーとのコミュニケーションのためにアカウント情報を使用し、その使用がアプリやアプリ内のアクティビティに固有のものではない場合は、データバンドルの安全セクションの一般的な用途を網羅するために、このアカウント データを収集する目的で「アカウント管理」を宣言するだけで十分です。ただし、アプリ自体がデータを使用するすべての目的を常に宣言する必要があります。アカウント レベルのドキュメントとアカウント登録プロセスの一環として、アプリでアカウント サービスのユーザーデータをどのように取り扱うかを開示することをおすすめします。
システム サービスとは
システム サービスは、コアシステム機能をサポートするプリインストール ソフトウェアです。システム サービスには、transparency_info バンドルと system_app_safety_label バンドルを含める必要があります(後者は、safety_labels バンドルの代わりに提供されます)。Google Play を通じて配信されるシステム サービスは、Google Play のデータ セーフティ フォームの記入の免除を申請できます。
ページを読み込み、他のクライアント側リクエストをリアルタイムで処理するために一時的な方法で使用されるデータの収集を、デベロッパーがそのデータがデベロッパーのサーバーに記録して他の目的で使用する前に、どのように宣言しますか?
この使用が一時的な場合、デベロッパーはアプリのメタデータ バンドルのデータ セーフティ セクションに含める必要はありません。ただし、一時的な処理の範囲を超えてユーザーデータを使用する場合は、ログに記録されたユーザーデータを使用する目的を含め、宣言する必要があります。