Privacy changes in Android 10

Android 10（API レベル 29）では、ユーザーのプライバシー保護を強化するためにさまざまな機能と動作変更が加えられており、 ユーザーがデータを管理する際の透明性や制御や、ユーザーによってアプリに付与される機能が拡張されています。 これらの機能により、アプリが依存している特定の動作やデータが、以前のバージョンのプラットフォームとは異なる動作をする可能性があります。 ユーザーデータの扱いに関する最新のおすすめの方法に沿ってアプリを構築すると、アプリに対する影響を最小限に抑えられます。

このページでは各変更の概要を説明します。

主な変更点

このセクションでは、Android 10 で導入されたプライバシーに関する主な変更について説明します。

アプリのファイルとメディアを対象とする外部ストレージ アクセス

デフォルトでは、Android 10 以降をターゲットとするアプリには外部ストレージに対する スコープ アクセス、つまり 対象範囲別ストレージが付与されます。このようなアプリの場合、次のファイルの種類については、ストレージ関連のユーザー権限をリクエストしなくても外部ストレージ デバイスに表示されます。

• アプリ固有のディレクトリ内にあり、 getExternalFilesDir() を使用してアクセスするファイル。
• アプリによってメディア ストアから作成された写真、動画、音声クリップ。

対象範囲別ストレージについて、および外部ストレージ デバイスに保存されたファイルを共有、アクセス、変更する方法について詳しくは、外部ストレージでファイルを管理する方法、およびメディア ファイルにアクセスして変更する方法をご覧ください。

デバイスの位置情報へのバックグラウンドでのアクセスに必要な権限

位置情報に対するアプリのアクセス権限をユーザーが詳細に制御できるようにするため、Android 10 では 権限が導入されています。ACCESS_BACKGROUND_LOCATION

ACCESS_FINE_LOCATION 権限や ACCESS_COARSE_LOCATION 権限とは異なり、ACCESS_BACKGROUND_LOCATION権限が位置情報へのアプリの アクセスを制御するのは、そのアプリがバックグラウンドで実行しているときのみです。以下の条件のいずれかに該当する場合を除き、アプリはバックグラウンドで位置情報にアクセスしていると見なされます。

• 対象アプリに属するアクティビティが表示されている。

• アプリが、フォアグラウンド サービス タイプ locationを宣言したフォアグラウンド サービスを実行している。

  フォアグラウンド サービスのタイプを宣言するには、アプリの targetSdkVersion または compileSdkVersion を 29 以降に設定します。フォアグラウンド サービスで、位置情報へのアクセスを必要とするユーザー開始アクションを実行し続ける方法についての説明をご覧ください。

アプリがジオフェンスを作成してモニタリングし、 Android 10（API レベル 29）以降をターゲットとしている場合は、 ACCESS_BACKGROUND_LOCATION権限を宣言する必要があります。

Android 9 以前をターゲットとするときに自動的に許可されるアクセス

Android 9（API レベル 28）以前をターゲットとしているアプリが Android 10 以降で実行されている場合、プラットフォームでは次の動作が適用されます。

• アプリが <uses-permission>要素を 、 ACCESS_FINE_LOCATION または ACCESS_COARSE_LOCATIONのいずれかについて宣言している場合、 インストール時に ACCESS_BACKGROUND_LOCATION の<uses-permission>要素が自動的に追加されます。
• アプリが ACCESS_FINE_LOCATION または ACCESS_COARSE_LOCATION のいずれかをリクエストした場合、そのリクエストに対して ACCESS_BACKGROUND_LOCATION が自動的に追加されます。

デバイスが Android 10 にアップグレードされたときのアクセス

ユーザーがアプリに対してデバイスの位置情報（ ACCESS_COARSE_LOCATION または ACCESS_FINE_LOCATION ）へのアクセスを許可し、その後デバイスを Android 9 から Android 10 にアップグレードすると、 アプリに許可された位置情報ベースの一連の権限が自動的に更新されます。アップグレード後にアプリに許可される一連の権限は、 次の表に示すように、ターゲット SDK のバージョンとその定義済み権限によって異なります。

表 1.デバイスが Android 10 にアップグレードされた後に変更される位置情報の利用許可の状態

ターゲット プラットフォームのバージョン	おおよその位置情報または正確な位置情報の 権限が付与されている	マニフェストで定義されているバックグラウンド権限	更新されたデフォルトのアクセス権限の状態
Android 10	○	○	フォアグラウンドとバックグラウンドでのアクセス権限
Android 10	○	×	フォアグラウンドでのアクセス権限のみ
Android 10	×	（システムによって無視される）	アクセス権限なし
Android 9 以前	○	デバイスのアップグレード時に自動的に追加される	フォアグラウンドとバックグラウンドでのアクセス権限
Android 9 以前	×	（システムによって無視される）	アクセス権限なし

システムがデバイスの位置情報に対するアプリのアクセス権限を自動的に更新した後でも、ユーザーはこのアクセスレベルを変更できます。たとえば、アプリのアクセス権限をフォアグラウンドのみに制限することも、アクセス権限を完全に取り消すことも可能です。デバイスの位置情報へのアクセスを試みる前に、特にフォアグラウンド サービス内では、アプリによる位置情報の受信が引き続き許可されているかどうかをアプリで確認する必要があります。

Android 10 デバイスで対象 API レベルを更新するとアクセス権が取り消される

Android 10 が実行されているデバイスにアプリがすでにインストールされている場合を考えてみましょう。この状況でアプリを更新して Android 10 をターゲットにすると、デバイスによって ACCESS_BACKGROUND_LOCATION 権限が取り消されます。

アプリがバックグラウンドにあるときにデバイスの位置情報を取得する方法について詳しくは、最新の位置情報の定期受信に関するガイド をご覧ください。

バックグラウンドからのアクティビティの起動に関する制限

Android 10 以降、システムはバックグラウンドからのアクティビティの起動に関する制限 を設けています。この動作変更により、ユーザーに対する割り込みを最小限に抑え、ユーザーは画面内の表示内容により集中できるようになります。ユーザー操作の直接の結果としてアプリがアクティビティを起動する場合、アプリがこの変更の影響を受けることはまずありません。

バックグラウンドからのアクティビティ起動に代わるおすすめの手段について詳しくは、タイミングが重要なイベントをユーザーに通知する方法をご覧ください。

ID とデータ

このセクションでは、デバイス ID とデータの操作に固有の変更について説明します。

連絡先アフィニティの削除

Android 10 以降、プラットフォームでは連絡先アフィニティ情報を管理しません。そのため、アプリによってユーザーの連絡先に対して検索が行われても、その検索結果はインタラクションの頻度では並べ替えられません。

ContactsProvider に関するガイドには、Android 10 以降すべてのデバイスでサポートが終了したフィールドとメソッドに関する注意事項が記載されています。

MAC アドレスのランダム化

Android 10 以降が実行されているデバイスでは、デフォルトでランダム MAC アドレスが送信されます。

エンタープライズ ユースケースを扱うアプリ向けに、プラットフォームには MAC アドレスに関連する操作を行うための API が用意されています。

• ランダムな MAC アドレスを取得する: デバイス所有者アプリとプロフィール所有者アプリは 、 を呼び出すことで、特定のネットワークに割り当てられたランダムな MAC アドレスを取得できます getRandomizedMacAddress()。
• 実際の出荷時 MAC アドレスを取得する: デバイス所有者アプリでは、 デバイスの実際のハードウェア MAC アドレスを getWifiMacAddress()を呼び出すことで取得できます。このメソッドは、大量のデバイスをトラッキングする際に便利です。

/proc/net ファイル システムへのアクセスに関する制限

Android 10 以降が実行されているデバイスでは、デバイスのネットワーク状態に関する情報が格納されている /proc/net にアプリがアクセスすることはできません。VPN など、この情報にアクセスする必要のあるアプリは、 NetworkStatsManager クラスや ConnectivityManager クラスを使用する必要があります。

再設定不可能なデバイス ID に関する制限

Android 10 以降で IMEI とシリアル番号の両方を含む再設定不可能なデバイス ID にアクセスするには、アプリに READ_PRIVILEGED_PHONE_STATE 特権が必要です。

影響を受けるメソッドは次のとおりです。

• Build
  • getSerial()
• TelephonyManager
  • getImei()
  • getDeviceId()
  • getMeid()
  • getSimSerialNumber()
  • getSubscriberId()

権限を持たないアプリが再設定不可能な ID に関する情報を求めようとした場合、プラットフォームの応答はターゲット SDK のバージョンによって異なります。

• アプリが Android 10 以降をターゲットとしている場合、a SecurityException が発生します。
• アプリが Android 9（API レベル 28）以下を対象にしている場合、アプリに READ_PHONE_STATE 権限があれば、このメソッドは nullまたはプレースホルダ データを返します。それ以外の場合は、SecurityException が発生します。

多くのユースケースでは、再設定不可能なデバイス ID は不要です。たとえば、アプリが広告トラッキングやユーザー分析の目的で再設定不可能なデバイス ID を使用している場合は、代わりに、そういったな特定のユースケースに対応するAndroid 広告ID を使用します。詳しくは、一意の ID に関する おすすめの方法をご覧ください。

クリップボード データへの制限付きアクセス

デフォルト インプット メソッド エディタ （IME）のアプリであるか、現在 フォーカスのあるアプリでない限り、Android 10 以降ではクリップボード データにアクセスできません。

USB デバイスのシリアル番号の保護

Android 10 以降をターゲットとしているアプリの場合、ユーザーがアプリに対して USB デバイスや USB アクセサリへのアクセス権限を付与するまで、シリアル番号を読み取ることができません。

USB デバイスの操作の詳細については、USB ホストを設定する 方法をご覧ください。

カメラと接続

このセクションでは、カメラのメタデータと接続 API に固有の変更について説明します。

カメラの詳細とメタデータへのアクセスに関する制限

Android 10 では、 getCameraCharacteristics() メソッドがデフォルトで返す情報の範囲が変更されています。特に、このメソッドの戻り値に含まれる可能性のあるデバイス固有のメタデータにアクセスするには、アプリに CAMERA権限が必要です。

これらの変更について詳しくは、権限を必要とするカメラ フィールドに関するセクションをご覧ください 。

Wi-Fi の有効化 / 無効化に関する制限

Android 10 以降をターゲットとするアプリでは、Wi-Fi の有効化または無効化を行うことはできません。 WifiManager.setWifiEnabled() メソッドは常に false を返します。

Wi-Fi の有効 / 無効を切り替えるようにユーザーに促す必要がある場合は、設定 パネルを使用します。

設定済み Wi-Fi ネットワークへの直接アクセスに関する制限

ユーザーのプライバシーを保護するために、Wi-Fi ネットワーク リストの手動設定は システムアプリと Device Policy Controller（DPC）のみに制限されています。特定の DPC をデバイス オーナーまたはプロファイル オーナーのいずれかに指定できます。

アプリが Android 10 以降をターゲットとしており、システムアプリまたは DPC でない場合、次のメソッドは有用なデータを返しません。

• getConfiguredNetworks() メソッドは常に空のリストを返します。

• 整数値を返す各ネットワーク オペレーション メソッド（addNetwork()とupdateNetwork()）は常に -1 を返します。

• ブール 値を返す各ネットワーク オペレーション（removeNetwork()、 reassociate()、 enableNetwork()、 disableNetwork()、 reconnect()、 および disconnect()）は常に falseを返します。

アプリが Wi-Fi ネットワークに接続する必要がある場合は、次の代替メソッドを使用します。

• Wi-Fi ネットワークへのローカル接続を即座にトリガーするには、 WifiNetworkSpecifier標準の NetworkRequestオブジェクトで使用します。
• ユーザーにインターネット アクセスを提供するための候補として Wi-Fi ネットワークを追加するには、 WifiNetworkSuggestion オブジェクトを使用します。自動接続ネットワーク 選択ダイアログに表示されるネットワークは、 addNetworkSuggestions() と removeNetworkSuggestions()を呼び出すことで、 それぞれ追加または削除できます。この 2 つのメソッドは、位置情報の利用許可を必要としません。

一部の電話、Bluetooth、Wi-Fi API に FINE 位置情報の利用許可が必要

Android 10 以降をターゲットとしているアプリの場合、 ACCESS_FINE_LOCATION 権限が必要です。次のセクションでは、影響を受けるクラスとメソッドについて説明します。

電話

• TelephonyManager
  • getCellLocation()
  • getAllCellInfo()
  • requestNetworkScan()
  • requestCellInfoUpdate()
  • getAvailableNetworks()
  • getServiceState()
• TelephonyScanManager
  • requestNetworkScan()
• TelephonyScanManager.NetworkScanCallback
  • onResults()
• PhoneStateListener
  • onCellLocationChanged()
  • onCellInfoChanged()
  • onServiceStateChanged()

Wi-Fi

• WifiManager
  • startScan()
  • getScanResults()
  • getConnectionInfo()
  • getConfiguredNetworks()
• WifiAwareManager
• WifiP2pManager
• WifiRttManager

Bluetooth

• BluetoothAdapter
  • startDiscovery()
  • startLeScan()
• BluetoothAdapter.LeScanCallback
• BluetoothLeScanner
  • startScan()

権限

このセクションでは、Android 権限モデルのアップデートについて説明します。

画面コンテンツに対するアクセスの制限

ユーザーの画面コンテンツを保護するため、Android 10 では READ_FRAME_BUFFER、CAPTURE_VIDEO_OUTPUT、CAPTURE_SECURE_VIDEO_OUTPUT の各権限の範囲を変更することで、デバイスの画面コンテンツへのサイレント アクセスを防止します。Android 10 以降、これらの権限は 「signature」アクセス 専用です。

デバイスの画面コンテンツにアクセスする必要があるアプリでは、 MediaProjection API を使用する必要があります。この API により、ユーザーに同意を求めるプロンプトが表示されます。

旧式アプリに関するユーザー向けアクセス権限チェック

Android 5.1（API レベル 22）以前をターゲットとしている場合、Android 10 以降を実行するデバイスで初めてそのアプリを使用するとき、ユーザーにはアクセス権限を求める画面が表示されます（図 1 を参照）。この画面では、以前のインストール時にアプリに付与されたアクセス権限を取り消すことができます。

身体活動認識

Android 10 では、ユーザーの歩数を検出したり、徒歩、サイクリング、車の運転など、ユーザーの身体活動を分類したりする必要があるアプリ向けに android.permission.ACTIVITY_RECOGNITION 実行時の権限が導入されています。このアクセス権限は、デバイスのセンサーデータが [設定] 内でどのように使用されているのかをユーザーに表示するように設計されています。

Activity Recognition API、Google Fit API など、Google Play 開発者サービス内のライブラリの中には、ユーザーがアプリに対してこの権限を付与していない限り結果を提供しないものがあります。

デバイス上の 組み込みセンサーのうち、この権限の宣言を求めるのは、歩数計と歩行検出 センサーのみです。

Android 9（API レベル 28）以前をターゲットとしているアプリの場合、アプリが次の条件をすべて満たしていれば、必要に応じてシステムが android.permission.ACTIVITY_RECOGNITION 権限をアプリに自動的に付与します。

• マニフェスト ファイルには com.google.android.gms.permission.ACTIVITY_RECOGNITION 権限が含まれます。
• マニフェスト ファイルには 権限は含まれません。 android.permission.ACTIVITY_RECOGNITION

システムが android.permission.ACTIVITY_RECOGNITION 権限を自動的に付与した場合、アプリを更新して Android 10 をターゲットにしても、アプリはこの権限を保持します。ただし、ユーザーはいつでもシステム設定でこの権限を取り消すことができます。

UI から削除された権限グループ

Android 10 の時点で、UI 内で権限がどのようにグループ化されているかをアプリでは検索できません。