App Metadata Bundle は、デベロッパーに対し、自身に関する情報(デベロッパー)とアプリに関する情報のほか、ユーザーデータを収集、共有、保護するかどうかとその方法についての情報を、透明性の高い方法で提供します。Google Play ストアは、配信するアプリについて、この情報をデベロッパーが提供する必要があります。Google Play 開発者サービスを搭載した Android デバイスのメーカーは、システム サービスは一部の例外を除き、メーカーがプリロードするアプリのデベロッパーにも同じ情報の提供を求めます。
他のアプリストアやインストーラは、配信するアプリにアプリ メタデータ バンドルを要求することを選択できます。アプリの配信方法によって、デベロッパーがアプリのメタデータ バンドルを作成して統合する方法が決まります。Android は、アプリのメタデータ バンドルのデータ セーフティ情報をユーザーに表示します。たとえば、アプリがサードパーティと位置情報を共有することを宣言した場合、その情報は Android 14 以降を搭載したデバイスの位置情報の利用許可プロンプトに表示されます。
概要
アプリのメタデータ バンドルを使用すると、デベロッパー(デベロッパー)とアプリに関する情報(アプリが収集または共有するユーザーデータなど)を共有し、アプリの主なプライバシーとセキュリティの方針を紹介できます。この情報は、権限の付与など、ユーザーが十分な情報に基づいて選択するのに役立ちます。
App Metadata Bundle は、デベロッパーがサービスを提供する国においてデベロッパーに課される法的透明性と開示の義務とは別に、また追加の義務があります。
すべてのデベロッパーは、アプリのユーザーデータを収集、処理する方法を申告し、アプリの目的、デベロッパー情報、アプリが暗号化などのセキュリティ対策を通じてユーザーデータを保護する仕組みの詳細を示すことが推奨されます。これには、アプリで使用されるサードパーティのライブラリまたは SDK を通じて収集および処理されるデータも含まれます。詳しくは、SDK プロバイダが公開しているデータ セーフティ情報をご参照ください。デベロッパーは Google Play SDK Index で、プロバイダがガイダンスへのリンクを提供しているかどうかを確認できます。
App メタデータ バンドルがデバイスに到達する方法は、アプリの配信方法によって異なります。
- システム イメージにプリロードされるアプリ: デバイス メーカーは、アプリ メタデータ バンドルをシステム イメージのデータ セーフティ XML ファイルに含める必要があります。
- インストーラによって配布されるアプリ: インストーラは、アプリのメタデータ バンドルをデバイスに送信します。Google Play で配信されるアプリを開発する場合は、Google Play Console ヘルプの手順をご覧ください。インストーラはアプリのメタデータ バンドルのスキーマを参照できます。
プリロードされたアプリのデベロッパーは、次のいずれかの方法でデータ セーフティ XML ファイルを作成できます。
- Google Play ストアで公開するアプリを開発する場合は、Google Play Console の [アプリのコンテンツ] ページで [ポリシー] > [アプリのコンテンツ] に移動してデータ セーフティ フォームを使用します。このフォームをすでに完了されている場合は、追加のご対応は必要ありません。
- このページから入手できるテンプレート XML ファイルをダウンロードして編集し、メーカーまたはインストーラに提供します。
情報の準備をしています
デベロッパーが App Metadata Bundle の作成を開始する前に、次の手順を完了します。
プライバシー ポリシーが追加されていることを確認します。
アプリがユーザーデータを収集、共有する仕組みとアプリのセキュリティ プラクティスを確認する。特に、アプリで宣言されている権限と、アプリで使用している API を確認してください。
デベロッパーは、アプリがユーザーデータを収集、共有する仕組みを確認するだけでなく、アプリ内のサードパーティのコード(サードパーティのライブラリや SDK など)がそのようなデータを収集、共有する仕組みも確認する必要があります。アプリのメタデータ バンドルには、そのようなサードパーティのコードによって行われるデータの収集または共有を反映する必要があります。
アプリ セクションとデベロッパー情報セクションでデベロッパーが開示する必要があるもの
このセクションでは、デベロッパーがアプリのメタデータ バンドルのアプリセクションとデベロッパー情報セクションで開示する必要がある情報について説明します。アプリが Google Play ストアで配信されている場合は、Google Play Console を使用してこの情報を入力します。
アプリについてデベロッパーが共有する必要があるもの
App Metadata Bundle を作成する場合、デベロッパーは、次のセクションで説明するアプリ情報を開示する必要があります。
アプリの目的
人が読める形式の英語テキスト(4,000 文字以内)でアプリの目的を説明します。
アプリのカテゴリ
以下のリストから、アプリの目的に最も適したカテゴリを選択します。
以下のカテゴリはプリロードされたアプリを対象としています。
- OTA - 無線(OTA)アップデートの受信とインストールを行うパッケージ
- AOSP - Android オープンソース プロジェクトから入手できるパッケージ
- セキュリティ
- 店舗
次の表に示すカテゴリは、Google Play でも使用されます。
| カテゴリ | 例 |
|---|---|
アート、デザイン |
スケッチブック、お絵描きツール、アートやデザインのツール、ぬりえ |
自動車、乗り物 |
自動車購入、自動車保険、自動車価格比較、道路安全、自動車のレビューやニュース |
美容 |
メイクレッスン、イメージチェンジ ツール、ヘアスタイリング、美容用品ショッピング、メイクのシミュレータ |
書籍、参考書 |
電子書籍リーダー、事典、テキストブック、辞書、類語辞典、Wiki |
ビジネス |
ドキュメント エディタまたはドキュメント リーダー、荷物追跡、リモート デスクトップ、メール管理、求人検索 |
コミック |
コミックの登場人物、コミック タイトル |
通信 |
メッセージ、チャットまたは IM、電話アプリ、アドレス帳、ブラウザ、通話管理 |
出会い |
出会いの仲介、交際、人間関係の構築、知らない人との出会い、恋人探し |
説明 |
試験対策、学習支援、単語帳、教育ゲーム、言語習得 |
エンターテイメント |
ストリーミング動画、映画、テレビ、インタラクティブ エンターテイメント |
イベント |
コンサートのチケット、スポーツ イベントのチケット、チケットの転売、映画のチケット |
金融 |
バンキング、決済、ATM 検索、金融ニュース、保険、税金、ポートフォリオ管理、取引、チップ計算ツール |
食べ物と飲み物 |
レシピ、レストラン、食のガイド、ワインの飲み方と選び方、飲み物レシピ |
健康&フィットネス |
フィットネス、運動記録、ダイエットや栄養に関するアドバイス、安全衛生 |
住まい、インテリア |
一戸建てまたは集合住宅検索、家の修繕、室内装飾、抵当、不動産 |
ライブラリ、デモ |
ソフトウェア ライブラリ、テクニカルデモ |
ライフスタイル |
スタイルガイド、ウェディング&パーティーの計画、ハウツーガイド |
地図、ナビ |
ナビツール、GPS、地図、交通ツール、公共交通機関 |
医療 |
医薬品や臨床治療の情報、計算機、ヘルスケア業者向けハンドブック、医学の専門誌やニュース |
音楽、オーディオ |
音楽サービス、ラジオ、音楽プレーヤー |
ニュース、雑誌 |
新聞、ニュースサイト、雑誌、ブログ |
育児 |
妊娠、乳児のケアと見守り、育児 |
パーソナライズ |
壁紙、ライブ壁紙、待ち受け画面、ロック画面、着信音 |
写真 |
カメラ、写真編集ツール、写真の管理と共有 |
仕事効率化 |
メモ帳、ToDo リスト、キーボード、印刷、カレンダー、バックアップ、電卓、換算計算機 |
ショッピング |
オンライン ショッピング、オークション、クーポン、価格比較、買い物リスト、商品レビュー |
ソーシャル |
ソーシャル ネットワーキング、チェックイン |
スポーツ |
スポーツ ニュースと解説、スコア記録、チーム運営シミュレーション、試合情報 |
ツール |
Android デバイス向けツール |
旅行、地域 |
旅行予約ツール、自動車相乗り、タクシー、地域ガイド、地域のビジネス情報、旅程管理ツール、ツアー予約 |
動画プレーヤー、エディタ |
動画プレーヤー、動画エディタ、メディア ストレージ |
天気 |
天気予報 |
アプリの広告、マーケティング
アプリに広告やマーケティング(アプリ内プロモーションを含む)が含まれているかどうかを示します。
プライバシー ポリシー
デベロッパーによるユーザーデータの取り扱いについて詳しく説明したプライバシー ポリシーへのリンクを含める。アプリにこのリンクがない場合、アプリはユーザーデータを処理していないとみなされます。
デベロッパーが自身について共有する必要があること
App Metadata Bundle を作成する場合、デベロッパーは、次のセクションで説明するデベロッパー情報を開示する必要があります。
デベロッパー名
アプリを作成したデベロッパー、個人、または会社の名前。複数のデベロッパー名が存在する場合があります。
アプリ レジストリ
アプリがストアやその他のインストーラを含むアプリ レジストリに含まれている場合は、このフィールドに入力します。複数のショップに対して複数のエントリが可能です。
- Android インストーラであるアプリ レジストリの場合: 値はストアの Android パッケージ名にする必要があります。たとえば、Google Play ストアの場合は
com.android.vendingを使用します。 - その他のアプリ レジストリの場合: 値はレジストリの URL です。
次のいずれかの理由から、このフィールドを省略します。
- デベロッパーが Google Play SDK Index に記載されている SDK。
- デベロッパーがアプリストアまたはレジストリに登録されていない。
アプリ レジストリ ID
アプリ レジストリ(インストーラやストアを含む)に掲載されるアプリの場合、この値はデベロッパーのストア、インストーラ、レジストリ ID のいずれかになります。複数のストアに対して複数のエントリを指定できます。
- Google Play に登録されているデベロッパーの場合: この値には、デベロッパー ページの URL を指定する必要があります(たとえば、
https://play.google.com/store/apps/dev?id=5700313618786177705はデベロッパー Google LLC の URL です)。 - デベロッパーが Google Play SDK Index に掲載されている SDK デベロッパーの場合: SDK の URL を使用します(例:
https://play.google.com/sdks/details/com-google-android-gms-play-services-adsは Google Mobile Ads(GMA)SDK の URL です)。 - デベロッパーが別のストアまたはレジストリに登録されている場合: アプリストアの URL またはその他の識別子を指定できます。
デベロッパーがどのアプリストアにも登録されていない場合は、この属性を省略できます。
デベロッパーの連絡先情報
次の情報を提供します。
- メール
- ウェブサイト
- 国または地域
- 住所
データ セーフティ セクションでデベロッパーが開示する必要があるもの
このセクションでは、デベロッパーが App Metadata Bundle のデータ セーフティ セクションで開示する必要がある情報について説明し、デベロッパーが選択できるユーザーデータの種類と目的の一覧を示します。アプリが Google Play ストアで配信されている場合は、Google Play Console を使用してこの情報を入力します。
データの種類によらず申告する必要があるもの
App Metadata Bundle を作成する場合、デベロッパーは次のセクションで説明するように、収集、共有するデータの種類に関する情報を開示する必要があります。
データの収集
この場合の「収集」とは、ユーザーのデバイス外にアプリからデータを送信することを意味します。次のガイドラインにご注意ください。
ライブラリと SDK: アプリで使用されているライブラリや SDK によって、アプリからデバイス外に送信されるユーザーデータも対象となります。データがアプリのデベロッパーとサードパーティのサーバーのどちらに送信されるかは関係ありません。
Webview: アプリが開いた WebView から収集されるユーザーデータも対象となります。ただし、アプリがその WebView を通じて配信されるコードと動作を制御している場合です。
デベロッパーは、ユーザーが WebView でオープンウェブ上を移動する場合、その WebView からのデータ収集を宣言する必要はありません。
一時的な処理: デバイスから送信されて一時的に処理されるユーザーデータが次の基準を満たしている場合は、アプリのメタデータ バンドルに含める必要はありません。
「一時的に処理される」とは、データがメモリにのみ保存され、特定のリクエストにリアルタイムで対応するために必要な間だけ保持され、そのデータにアクセスして使用することを意味します。
たとえば、ユーザーの位置情報をデバイスから送信して現在地の天気情報を取得するが、位置情報をメモリ内でのみ使用し、リクエストの実行後にそのデータを保存しない場合、位置情報の一時的な使用を「一時的な使用」として扱うことができます。ただし、データを使用して広告プロファイルやその他のユーザー プロファイルを構築する場合は「一時的な使用」とは見なされず、適切な目的のための収集または共有として宣言する必要があります。
仮名データ: 仮名で収集されたユーザーデータは開示する必要があります。たとえば、ユーザーに合理的に再度関連付けることができるデータは開示する必要があります。
データ収集の開示の対象外
以下のユースケースは、収集として開示する必要はありません。
デバイス上でのアクセスまたは処理: アプリがアクセスし、ユーザーのデバイス上でローカルにのみ処理され、デバイス外には送信されないユーザーデータは、開示する必要はありません。
エンドツーエンドの暗号化: デバイス外に送信されるが、エンドツーエンドの暗号化の結果としてご自身または送信者と受信者以外の第三者が読み取ることができないユーザーデータは、開示する必要はありません。
暗号化されたデータをデベロッパーも含め、いかなる中間エンティティからも読み取れないようにする必要があります。必要な鍵を持つことができるのは送信者と受信者のみです。
データの共有
この場合の共有とは、アプリから収集したユーザーデータをサードパーティに転送することを意味します。これには、次の方法で転送されるユーザーデータが含まれます。
デバイス外(サーバー間の転送など): たとえば、デベロッパーがアプリから収集したユーザーデータを、デベロッパーのサーバーからサードパーティのサーバーに転送する場合。
デバイス上での別のアプリへの転送: デバイス上で、アプリから別のアプリにユーザーデータを直接転送します。この場合、アプリがユーザーのデバイス外にデータを送信しない場合でも、デベロッパーはデータ セーフティ セクションでデータ共有を開示する必要があります。
アプリのライブラリと SDK から: アプリに含まれているライブラリまたは SDK を使用して、アプリから収集したデータをユーザーのデバイスの外で直接サードパーティに転送する。
アプリで開いた WebView から: アプリから開いた WebView を使用してサードパーティにユーザーデータを転送する場合(アプリがその WebView を通じて配信されるコードと動作を制御している場合)。
デベロッパーは、ユーザーが WebView でオープンウェブ上を移動する場合、その WebView からのデータ共有を宣言する必要はありません。
以下のようなデータ転送は、共有として開示する必要はありません。
サービス プロバイダ: デベロッパーに代わってデータを処理するサービス プロバイダにユーザーデータを転送する場合。サービス プロバイダとは、デベロッパーの代わりに、デベロッパーの指示に基づいて、ユーザーデータを処理するエンティティを指します。
法的な目的: 法的義務や政府のリクエストへの対応など、特定の法的な目的のためにユーザーデータを転送する場合。
ユーザーが開始したアクション、または認識しやすい開示とユーザーの同意: ユーザーが開始した特定のアクション(データの共有をユーザーが合理的に期待している場合)に基づいて、またはアプリ内の認識しやすい開示と同意に基づいて、ユーザーデータを第三者に転送する。
匿名データ。個々のユーザーへの関連付けができなくなるように、完全に匿名化されたユーザーデータを転送する。
ファースト パーティとサードパーティ: ファースト パーティとは、アプリによって収集されたデータの処理について責任を負う、メインの組織であるデベロッパーを指します。ストアを通じて配信されるアプリの場合、通常はストアでアプリを公開している組織を指します。
ファースト パーティには、アプリで収集されるデータの処理に主として責任を負っている組織をユーザーに明確に示す義務があります。
サードパーティとは、ファースト パーティまたはそのサービス プロバイダ以外の組織を意味します。
データの取り扱い
デベロッパーは、アプリが収集する各データタイプが「オプション」か「必須」かも開示できます。省略可。データ収集を有効または無効にできます。たとえば、ユーザーがそのデータの種類について制御でき、そのデータを提供しなくてもアプリを使用できる場合や、そのデータの種類を手動で提供するかどうかをユーザーが選択できる場合は、そのデータ型をオプションとして宣言できます。アプリの主要な機能でそのデータ型が必要な場合は、デベロッパーはそのデータを必須として宣言する必要があります。
デベロッパーは、デバイスや地域にかかわらず、すべてのユーザーが、任意で情報を提供したり、データ収集のオプトアウトやオプトインをしたりできる場合に限り、アプリが特定のデータを任意で(オプションとして)収集すると宣言できます。
オプションのデータ収集の例は次のとおりです。
ソーシャル メディア アプリで、マーケティング コミュニケーション用にユーザーの誕生日の入力を求めるが、その情報は必須ではなく、ユーザーはその情報を提供しなくても登録できる場合。
ユーザーがログインしなくてもアプリを利用できる環境で、ユーザーがアプリにログインしているときにのみ収集されるユーザーデータ。
その他のアプリによる開示とデータの開示
データ セーフティ セクションは、デベロッパーがアプリのプライバシーとセキュリティの方針を紹介する機会でもあります。たとえば、次のような情報を強調できます。
転送データの暗号化: アプリによって収集または共有されるデータで、エンドユーザーのデバイスからサーバーへのユーザーデータの流れを保護するために、転送時に暗号化を使用するかどうか。
アプリの中には、ユーザーが別のサイトまたはサービスにデータを転送することができるように設計されています。たとえば、メッセージ アプリでは、携帯通信会社を通じて SMS メッセージを送信するオプションをユーザーに提供できます。この場合、携帯通信会社はさまざまな暗号化方式を用意しています。このようなアプリは、ユーザーのデバイスとアプリのサーバー間を移動する際に最適な業界標準を使用してデータを安全に暗号化している限り、安全な接続を介してデータが転送されることをデータ セーフティ セクションで宣言できます。
削除リクエスト メカニズム: ユーザーがデータの削除をリクエストする方法をアプリが提供しているかどうか。
独立したセキュリティ審査(すべてのアプリで利用可能)
デベロッパーは、データ セーフティ セクションで、アプリがグローバルなセキュリティ基準に基づく独立した審査を受けたことを宣言できます。これは、デベロッパーが自ら受けて費用を支払うオプションの審査です。たとえば、Mobile Application Security Assessment(MASA)を使用すると、デベロッパーはラボと直接連携して、Open Worldwide Application Security Project(OWASP)の Mobile Application Security Verification Standard(MASVS)に基づくアプリの評価を受けることができます。第三者組織がデベロッパーに代わって審査を実施します。
データタイプと用途
デベロッパーは、次の表に示すように、一連のユーザーデータの種類について、収集、共有、その他の取り扱い方法と、デベロッパーがそのデータを使用する目的を提供することが求められます。
| カテゴリ | データの種類 | 説明 |
|---|---|---|
場所 |
おおよその位置情報 |
3 平方キロメートル以上の地域(ユーザーがいる都市や、Android の |
正確な位置情報 |
3 平方キロメートル未満の地域内にあるユーザーまたはデバイスの物理的な位置情報(Android の |
|
個人情報 |
名前 |
ユーザーの姓名、ニックネームなど、ユーザーが自身を表記する方法。 |
メールアドレス |
ユーザーのメールアドレス。 |
|
ユーザー ID |
特定できる個人に関連する識別子(アカウント ID、アカウント番号、アカウント名など)。 |
|
住所 |
ユーザーの住所(送付先住所や自宅の住所など)。 |
|
電話番号 |
ユーザーの電話番号。 |
|
人種、民族 |
ユーザーの人種や民族に関する情報。 |
|
政治信条、宗教 |
ユーザーの政治信条または宗教に関する情報。 |
|
性的指向 |
ユーザーの性的指向に関する情報。 |
|
その他の情報 |
生年月日、性同一性、従軍経験など、その他の個人情報 |
|
財務情報 |
ユーザーのお支払い情報 |
クレジット カード番号など、ユーザーの金融口座に関する情報。 |
購入履歴 |
ユーザーが行った購入や取引に関する情報。 |
|
クレジット スコア |
ユーザーのクレジット スコアに関する情報。 |
|
その他の財務情報 |
その他の財務情報(ユーザーの年収、負債など)。 |
|
健康、フィットネス |
健康情報 |
医療記録や症状など、ユーザーの健康に関する情報。 |
フィットネス情報 |
運動やその他の身体活動など、ユーザーのフィットネスに関する情報。 |
|
メッセージ |
メール |
ユーザーのメール(メールの件名、送信者、受信者、メールの内容など)。 |
SMS または MMS |
ユーザーのテキスト メッセージ(送信者、受信者、メッセージの内容など)。 |
|
その他のアプリ内メッセージ |
その他の種類のメッセージ(インスタント メッセージ、チャット コンテンツなど)。 |
|
写真と動画 |
写真 |
ユーザーの写真。 |
動画 |
ユーザーの動画。 |
|
音声ファイル |
音声などの録音 |
ボイスメールやサウンド レコーディングなどのユーザーの声。 |
音楽ファイル |
ユーザーの音楽ファイル。 |
|
その他の音声ファイル |
ユーザーが作成した、またはユーザー提供のその他の音声ファイル。 |
|
ファイル、ドキュメント |
ファイル、ドキュメント |
ユーザーのファイルやドキュメント、またはファイルやドキュメントに関する情報(ファイル名など)。 |
カレンダー |
カレンダーの予定 |
予定、予定のメモ、参加者など、ユーザーのカレンダーの情報。 |
連絡先 |
連絡先 |
ユーザーの連絡先に関する情報(連絡先名、メッセージ履歴、ソーシャル グラフ情報(ユーザー名、連絡間隔、連絡頻度、やり取り時間、通話履歴など)など)。 |
アプリのアクティビティ |
アプリ インタラクション |
ユーザーがアプリをどのように操作しているかに関する情報(例: ページへのアクセス数、タップした項目)。 |
アプリ内の検索履歴 |
ユーザーがアプリで検索した内容に関する情報。 |
|
インストール済みのアプリ |
ユーザーのデバイスにインストールされているアプリに関する情報。 |
|
その他のユーザー作成コンテンツ |
この一覧、または他のセクションに記載されていない、その他のユーザー作成コンテンツ(例: ユーザーに関する情報、自由形式の回答)。 |
|
その他の操作 |
この一覧に記載されていない、その他のユーザー アクティビティやアプリ内操作(ゲームプレイ、高評価、ダイアログでの選択など)。 |
|
ウェブ閲覧 |
ウェブ閲覧履歴 |
ユーザーがアクセスしたウェブサイトに関する情報。 |
アプリの情報、パフォーマンス |
クラッシュログ |
アプリのクラッシュログ データ。たとえば、アプリがクラッシュした回数、スタック トレース、またはクラッシュに直接関連するその他の情報です。 |
診断 |
アプリのパフォーマンスに関する情報(バッテリー駆動時間、読み込み時間、レイテンシ、フレームレート、技術的な診断など)。 |
|
その他のアプリのパフォーマンス データ |
ここに記載されていないその他のアプリのパフォーマンス データ。 |
|
デバイスまたはその他の ID |
デバイスまたはその他の ID |
個々のデバイス、ブラウザ、アプリに関連する識別子(IMEI 番号、MAC アドレス、Widevine デバイス ID、Firebase インストール ID、広告 ID など) |
目的
| データの用途 | 説明 | 例 |
|---|---|---|
アプリの機能 |
アプリで提供される機能に使用します。 |
例: アプリの機能を有効にする、ユーザーを認証する。 |
アナリティクス |
ユーザーのアプリの使用状況やアプリのパフォーマンスに関するデータの収集に使用します。 |
例: 特定の機能を使用しているユーザーの数を確認する、アプリの状態を管理する、バグやクラッシュを診断して修正する、将来的にパフォーマンスの改善を加える。 |
デベロッパーによる情報伝達 |
アプリやデベロッパーに関するニュースや通知の送信に使用します。 |
例: 重要なセキュリティ アップデートを知らせるためにプッシュ通知を送信する、アプリの新機能についてユーザーに知らせる。 |
広告、マーケティング |
広告、マーケティング コミュニケーションの表示やターゲットの設定、広告パフォーマンスの測定に使用します。 |
たとえば、アプリ内に広告を表示したり、プッシュ通知を送信して他のプロダクトやサービスを宣伝したり、広告パートナーとのデータを共有したりしています。 |
不正行為防止、セキュリティ、コンプライアンス |
不正行為防止、セキュリティ、法律の遵守に使用します。 |
例: 不正なログインの試みを監視して不正行為の可能性を特定する。 |
パーソナライズ |
おすすめのコンテンツや候補の表示など、アプリのカスタマイズに使用されます。 |
たとえば、ユーザーの視聴習慣に基づいておすすめのプレイリストを表示したり、ユーザーの位置情報に基づいてローカル ニュースの配信を行ったりします。 |
アカウント管理 |
デベロッパーのユーザー アカウントの設定や管理を行うために使用されます。 |
たとえば、ユーザーがアカウントを作成したり、デベロッパーがサービス全体で使用するために提供しているアカウントへの情報の追加や、アプリへのログイン、ユーザーの認証情報の確認を行えるようにするなどです。 |
データ セーフティ XML ファイルを手動で作成する
次のデータ セーフティ XML ファイルのサンプルは、ユーザーの位置情報に関するデータを共有するプリロードされたアプリのファイル構造を示しています。この構造を編集します。アプリで開示する必要がある情報の種類に応じて、要素を追加、編集、削除します。
サンプル ファイルは、必ずしも完全ではありません。アプリに含める必要があるアプリ メタデータ バンドルのアプリ、デベロッパー、データ セーフティ セクションで必要な XML 構造について詳しくは、App メタデータ バンドルのスキーマをご覧ください。
<?xml version='1.0' encoding='UTF-8' standalone='yes' ?>
<bundle>
<long name="version" value="2" />
<pbundle_as_map name="safety_labels">
<long name="version" value="1" />
<pbundle_as_map name="data_labels">
<pbundle_as_map name="data_shared">
<pbundle_as_map name="location">
<pbundle_as_map name="approx_location">
<int-array name="purposes" num="4">
<item value="1" />
<item value="2" />
<item value="5" />
<item value="6" />
</int-array>
</pbundle_as_map>
<pbundle_as_map name="precise_location">
<int-array name="purposes" num="2">
<item value="1" />
<item value="6" />
</int-array>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</pbundle_as_map>
</bundle>
よくある質問
デベロッパーからよく寄せられる質問の回答については、次のセクションをご覧ください。
一般的な質問
以下のセクションでは、アプリのメタデータ バンドルに関する一般的な質問への回答を紹介します。
iOS については、デベロッパーから同様の情報が送信されています。その作業のうち、デベロッパーは Android アプリのメタデータ バンドルにどれくらい再利用できますか?
デベロッパーがアプリのデータの取り扱いについてしっかりと理解しているのは喜ばしいことです。アプリのメタデータ バンドルを正しく完成させるには、デベロッパーが以前に使用していない可能性のある追加情報が必要になるため、追加の作業が必要になる可能性があります。Android アプリのメタデータ バンドルの分類とフレームワークは、他のアプリストアで使用されているものと大きく異なる場合があります。
Google は、デベロッパーが正確な情報を共有していることをどのように確認するのですか?こうした情報が必ずしも正確とは限らない、という例を業界で見てきました。
プライバシー ポリシーと同様に、デベロッパーはアプリのメタデータ バンドルで開示される情報について責任を負います。
デベロッパーはどのくらいの頻度で App Metadata Bundle を更新する必要がありますか?
アプリのデータの取り扱いに関連する変更が発生した場合、デベロッパーはアプリのメタデータ バンドルを更新する必要があります。
データ セーフティ セクションの入力に関する質問
以下のセクションでは、アプリのメタデータ バンドルのデータ セーフティ セクションの記入に関する質問への回答を紹介します。
サポートされている Android バージョンによってアプリの動作が異なる場合はどうすればよいですか?
アプリのアプリのメタデータ バンドルは、使用状況、アプリのバージョン、地域、ユーザーの年齢に依存しないように正確である必要があります。データ セーフティ セクションでは、すべての地域とユーザータイプにおけるアプリのデータ収集とデータ共有が総合的に記載されます。
地域によって取り扱いが異なる場合があることを示すにはどうすればよいですか?たとえば、デベロッパーがヨーロッパでは特定のライブラリを使用していないが、他のライブラリではそのライブラリを使用するような場合です。
アプリのメタデータ バンドルは、アプリごとのデータの取り扱いのグローバルな表現を反映しています。データ セーフティ セクションでは、すべての地域とユーザータイプにおけるアプリのデータ収集および共有が総合的に記載されます。
データ セーフティ セクションは、ユーザーによる同意に基づくメカニズムで管理されていますか?デベロッパーは追加の手順を行って、アプリ内で認識しやすい開示を提示する必要がありますか?
いいえ。ユーザーによるアプリのインストール プロセスには新しい開示はなく、この機能に関連する新たなユーザーの同意はありません。ユーザーの個人情報や機密情報を収集する Google Play 開発者サービスを搭載した Android デバイス上の Google Play アプリとモバイル バンドル アプリの場合、ポリシーで義務付けられている場合、アプリ内での開示と同意を実装する必要があります。
アプリに権限が含まれているが、実際にはデータを収集または共有していない場合、デベロッパーはデータを申告する必要はありますか?
データが実際に収集または共有されない限り、デベロッパーは収集や共有を宣言する必要はありません。Google Play 開発者サービスを搭載した Android デバイス上の Google Play アプリとモバイル バンドルアプリは、該当するすべてのポリシーに準拠する必要があります。
あるデータタイプが別のデータタイプの一部として収集される場合、デベロッパーは両方を申告するべきですか?たとえば、デベロッパーがユーザーのメールアドレスを含む連絡先を収集している場合、デベロッパーは「連絡先」と「メールアドレス」の両方のデータタイプを宣言していますか?
デベロッパーが別の種類のデータを収集する際に、意図的にその特定のデータの種類を収集する場合は、両方を開示する必要があります。たとえば、デベロッパーがユーザーの写真を収集し、それを使用してユーザーの特性(民族、人種など)を判断する場合、民族や人種の収集も開示する必要があります。
デベロッパーは削除メカニズムを提供する必要がありますか?そのメカニズムはすべてのユーザーデータを対象にする必要がありますか?
データ セーフティ セクションには、ユーザーからデータ削除リクエストを受け取るメカニズムをデベロッパーが提供しているかどうかをデベロッパーが共有するためのサーフェスがあります。データ セーフティ セクションへの入力の一環として、デベロッパーはそのようなメカニズムを提供しているかどうかを示す必要があります。
アプリがユーザーデータの削除リクエストに対応していることを示すために、デベロッパーが提供する必要がある特定の種類のメカニズムはありますか?
規定されているメカニズムはありませんが、ベスト プラクティスとして、ユーザーがリクエスト メカニズムを検出し、アクセス可能にすることをおすすめします。ユーザーがデータの削除をリクエストできる手段を明確に示すメカニズムの一般的な例としては、アプリの機能、お問い合わせフォーム、専用のメール エイリアスなどがありますが、これらに限定されません。
自動的に削除または匿名化されるデータに対して削除メカニズムを提供していることを、データ セーフティ セクションにどのように示すべきですか?
デベロッパーは、次の 1 つ以上のオプションを提供していれば、ユーザーがデータの削除をリクエストできることを宣言できます。
- データの削除をリクエストするためのメカニズム。
データの収集から 90 日以内に収集したデータの削除または匿名化を開始する自動プロセス。
デベロッパーは、法令遵守や不正使用の防止などの正当な理由で特定のデータを保持する必要がある場合でも、ユーザーがデータの削除をリクエストできると宣言できます。
デベロッパーが提供する削除メカニズムを世界中のすべてのユーザーが利用できるわけではない場合でも、デベロッパーが削除メカニズムを提供していると示すことはできますか?
使用できるグローバル データ セーフティ セクションは、アプリのメタデータ バンドルごとに 1 つのみです。使用状況、地域、ユーザーの年齢に基づくデータの取り扱いを網羅する必要があります。つまり、世界のどこかのバージョンのアプリのいずれかのバージョンで、なんらかのデータの取り扱い方法が存在する場合、デベロッパーはそうした取り扱い方法を示す必要があります。そのため、データ セーフティ セクションでは、すべてのユーザーと地域におけるアプリのデータ収集とデータ共有が総合的に記載されます。
データを匿名化するための手法にはどのようなものがありますか?
個々のユーザーに関連付けることができないデータを匿名化する方法はいくつか考えられます。デベロッパーはプライバシーとセキュリティの専門家に相談して、自分のユースケースに適した方法を見つける必要があります。例として、このページでは差分プライバシーなど、Google で使用される一部のデータ匿名化方法について説明します。
デベロッパーは IP アドレスの収集と使用をどのように扱うべきですか?
他のデータ型と同様に、デベロッパーは特定の使用状況や運用方法に基づいて、IP アドレスの収集、使用、共有を開示する必要があります。たとえば、現在地を判断する手段として IP アドレスを使用する場合は、そのデータの種類(場所)を宣言する必要があります。
デベロッパーは他の種類の識別子の収集と共有について、どのように開示すればよいですか?
他のデータ型と同様に、デベロッパーは特定の使用方法や運用方法に基づいて、さまざまな種類の識別子の収集、使用、共有を開示する必要があります。たとえば、特定可能な個人に関連付けられたアカウント名の収集は「個人識別子」として宣言し、ユーザーの Android 広告 ID の収集は「デバイスまたはその他の識別子」として宣言する必要があります。別の例として、特定のアプリ内イベントに関連しているものの、個別のデバイス、ブラウザ、アプリに合理的に関連しない識別子は、「デバイスまたはその他の識別子」として開示する必要はありません。
前述のとおり、仮名でデータを収集する場合は、アプリのメタデータ バンドルのデータ セーフティ セクションで、該当するデータタイプのデータを開示する必要があります。たとえば、デバイス ID 付きの診断情報を収集する場合でも、デベロッパーはデータ セーフティ セクションに「診断」を収集する旨を開示する必要があります。
「サービス プロバイダ」はどのようなアクティビティを実行できますか?
サービス プロバイダは、デベロッパーの代理としてのみユーザーデータを処理できます。たとえば、デベロッパーの代理としてのみアプリのユーザーデータを処理する分析プロバイダや、デベロッパーによる使用を目的としてアプリのユーザーデータをホストするクラウド プロバイダは通常、「サービス プロバイダ」に該当します。一方、SDK プロバイダがアプリデータに基づいて複数の顧客にまたがる広告プロファイルを作成している場合、データ セーフティ セクションで「サービス プロバイダ」のアクティビティとは見なされないため、アプリのメタデータ バンドルのデータ セーフティ セクションで「共有」として開示する必要があります。
アプリが外部の決済サービスを利用して金融取引を行っている。クレジット カード情報などの財務情報をアプリのメタデータ バンドルで開示する必要がありますか?
決済サービスとの統合の性質によって異なります。アプリが PayPal、Google Pay、Google Play の課金システムなどの決済サービス、または同様のサービスを使用して支払い取引を行う場合、以下の条件がすべて満たされていれば、決済サービスが金融取引の処理に関連して収集するデータ(クレジット カード番号など)について申告する必要はありません。
アプリがこの情報にアクセスすることはありません。
決済サービスはユーザーから直接この情報を収集します。また、収集はそのサービスの利用規約が適用されます。
デベロッパーは支払いサービスとの統合を入念に確認し、アプリのメタデータ バンドルのデータ セーフティ セクションで、これらの条件を満たしていないデータの収集と共有について、関連するすべての宣言がなされていることを確認する必要があります。また、アプリがその他の財務情報(購入履歴など)を収集しているかどうかや、リスクや不正防止などの目的で決済サービスから関連データを受け取っていないかどうかも検討する必要があります。
アプリを使用して、データを Google ドライブや Dropbox に直接アップロードして、バックアップや保存を行える。アプリはこのデータにアクセスすることはありません。この場合も「収集」として開示する必要はありますか?
実際の実装によって異なります。ユーザーがデータを自分の外部ドライブまたはクラウド ストレージ アカウント(Google ドライブ、Dropbox などのサービス)に直接アップロードすることを選択し、そのアップロードに外部ドライブまたはクラウド ストレージ プロバイダの利用規約とプライバシー ポリシーが適用され、アプリが対象のデータを収集またはアクセスすることがない場合、アプリでこのデータの収集を宣言する必要はありません。
デベロッパーは転送中のデータをどのように暗号化すればよいですか?
デベロッパーは、最適な業界基準に従って、転送中のアプリデータを安全に暗号化する必要があります。一般的な暗号化プロトコルには、Transport Layer Security(TLS)や Hypertext Transfer Protocol Secure(HTTPS)などがあります。
ユーザーがアプリを使ってアカウントを作成し、生年月日や性別などの情報を追加できるアプリ。ユーザーがアカウントに追加するデータをデベロッパーは、どのように申告すればよいですか?
デベロッパーは、アカウント管理を目的としてこのデータを収集することを申告する必要があります。このデータを収集するかどうかをユーザーが選択できる場合は、そのように明記します。
さらに、アプリが収集するデータの種類と同様に、デベロッパーはこのデータと、アプリがデータを使用する目的を開示する必要があります。たとえば、ユーザーがアカウントに誕生日を追加できるようにしており、そのデータを使用してプッシュ通知をタイムリーに送信する場合は、アカウント管理に加えてこの目的も宣言する必要があります。
アカウント管理は、特定のアプリに固有ではないアカウント データの一般的な使用に使用できます。たとえば、デベロッパーが不正行為防止、広告、マーケティング、またはサービス間でのデベロッパーとのコミュニケーションの目的でアカウント情報を使用し、その使用がアプリまたはアプリ内のアクティビティに固有ではない場合、アカウント データを収集する目的で「アカウント管理」を宣言すれば、アプリデータ バンドルのメタデータの一般的な使用をカバーできます。ただし、アプリ自体がデータを使用する目的をすべて宣言する必要があります。ベスト プラクティスとして、アカウント レベルのドキュメントとアカウントの登録プロセスの一環として、アプリがアカウント サービスのユーザーデータをどのように取り扱うかを開示することをおすすめします。
システム サービスとは
システム サービスは、コアシステム機能をサポートするプリインストール ソフトウェアです。システム サービスには、transparency_info バンドルと system_app_safety_label バンドルを含める必要があります(後者は safety_labels バンドルの代わりに提供されます)。Google Play で配信されるシステム サービスについては、Google Play データ セーフティ フォームの記入の免除を申請できます。
ページを読み込み、他のクライアント側リクエストをリアルタイムで処理するために一時的に使用するデータの収集を、開発者のサーバーに記録して他の目的に使用する前に、どのように宣言しますか?
この使用が一時的な場合、デベロッパーはアプリのメタデータ バンドルのデータ セーフティ セクションに含める必要はありません。ただし、一時的な処理の範囲を超えてユーザーデータを使用する場合は、ログに記録されたユーザーデータを使用する目的も含め、申告する必要があります。