アプリ デベロッパーは、使用するソフトウェア開発キット(SDK)の脆弱性など、あらゆる脆弱性からユーザーを保護し、アプリの安全性と安定性を確保したいと考えています。
SDK プロバイダにとって、SDK が原因でアプリやゲームのデベロッパーが Google Play デベロッパー ポリシーに違反すると、ビジネスを混乱させたり、Google Play による違反措置の対象にされたりすることがないようにする必要があります。
アプリのデベロッパーが SDK を使用する場合でも、SDK を使用する場合でも、ユーザーの安全のためのベスト プラクティスの詳細を確認できます。
アプリ デベロッパー向けの情報
- SDK をアプリに統合する前に、SDK が使用する権限、収集するデータ、その理由を確認してください。この情報をデータ セーフティ フォームに含めます。SDK の特定の関数を使用しない場合でも、SDK によるデータ収集の動作についてはアプリ デベロッパーの責任となります。
- 収集したユーザーデータの用途を拡張できる場合と拡張できない場合に関するすべての Google Play デベロッパー ポリシーを確認してください。たとえば、デバイスの位置情報を使用する場合は、認識しやすい開示と同意の要件を通じて、このデータをエンドユーザーに知られているサードパーティや SDK と共有する必要があります。
- Google Play ポリシーの更新を常に確認し、アプリに含めた SDK によってアプリが Play ポリシーに違反しないようにする(デバイスやネットワークでの不正行為に関するポリシー、広告ポリシー、永続識別子に関するユーザーデータ ポリシーの更新など)。
- ユーザーの個人情報や機密情報を販売しないこと。
- アプリ内の SDK に起因する違反について違反措置の通知を受け取り、対処する必要がある場合は、解決方法の詳細についてこちらのリファレンスをご覧ください。
- Google Play SDK Index で、Google Play Console に登録されている SDK や、それらの SDK が使用する Android の権限などを確認できます。
SDK プロバイダの場合
- Google Play デベロッパー ポリシーについて理解する。
- Google Play ポリシーの更新を常に確認し、SDK が原因でアプリが Play ポリシー(デバイスやネットワークでの不正行為に関するポリシー、広告ポリシー、永続識別子に関するユーザーデータに関するポリシーなど)に違反しないようにする。お客様の SDK を使用するアプリは、こうしたポリシーに違反している可能性があり、Google Play による違反措置の対象となる可能性があります。次に例を示します。
- SDK がユーザーの個人情報や機密情報を使用する場合は、そのことを、SDK を使用するアプリ向けの公開ドキュメントで明確に示す必要があります。
- SDK でインタプリタ言語(JavaScript、Python、Lua など)が実行時に読み込まれる場合(たとえば、アプリにパッケージされていない場合)、Google Play ポリシーへの違反の可能性(適切な目的、開示、同意のないインストール済みパッケージの収集など)があってはなりません。
- ユーザーの個人情報や機密情報を販売しないこと。
- SDK で最新の API セキュリティとデータ最小化機能をサポートしている(2022 年 4 月のアップデートについてはこちらをご覧ください)。
- SDK が収集するユーザーデータとその使用理由をお客様が理解できるようにします。これにより、アプリ デベロッパーは、エンドユーザーに対する認識しやすい開示と同意と、該当する場合はプライバシー ポリシーに、その情報を含められます。
- アプリ デベロッパーが収集したユーザー設定を読み取り、その設定に準拠するロジックを実装するか、このユーザー向けの同意イベントに従ってアプリ デベロッパーが SDK を正確に初期化できるメカニズムが存在することを確認する必要があります。
- データの使用に関する情報を、アクセスしやすく公開的に使用できる形式で提供します。多くのデベロッパーが使い慣れているため、こちらのオプションの形式を使用して情報を公開できます。例については、Google Firebase SDK のデータ開示と Google AdMob SDK のデータ開示をご覧ください。