免責条項: ポリシーの要約に記載してあるのは概要のみです。コンプライアンスを徹底するため、必ずポリシーの全文を確認してください。ポリシーの概要と全文に齟齬がある場合は、全文が優先されます
ユーザーの信頼を高めるため、Google Play では、機密性の高いユーザーデータにアクセスする権限と API に対するリクエストは、Google Play ストアの掲載情報で宣伝されているアプリのコア機能に必要であり、ユーザーが使用目的に同意している場合に限定しています。機密データは、決して不正使用したり、不必要にアクセスしたりしてはならず、また、十分な情報を開示しなければなりません。権限と機密性の高い API をリクエストする際は、各レベルを説明しながら段階的に行います。データは同意された目的にのみ使用し、目的が異なる場合は新たに同意を取得する必要があります。コンプライアンスを徹底するため、ポリシー全文を確認してください。
機密情報にアクセスする権限や API のリクエストは、ユーザーにとって理に適うものでなければなりません。そのため、機密情報にアクセスする権限や API をリクエストできるのは、アプリで現在提供している機能やサービスの実装に必要で、それらが Google Play ストアの掲載情報に掲載されている場合に限られます。ユーザーデータやデバイスデータへのアクセスを必要とする機能や目的が公開されていないもしくは実装されていない場合、または認可されていない場合には、機密情報にアクセスする権限や API は利用できません。機密情報にアクセスする権限または API を通じてアクセスした個人情報や機密情報を販売したり、販売を促進する目的で共有したりすることは禁止されています。
データにアクセスするために、機密情報にアクセスする権限または API をリクエストする場合は、アプリが権限をリクエストする理由をユーザーが理解しやすいように状況に合わせて(段階的にリクエストする形で)行うようにしてください。データの使用は、ユーザーが同意した目的に限られます。後になって他の目的でデータを使用する必要が出てきた場合は、その追加の用途に関して、あらためてユーザーにリクエストし、同意を得る必要があります。
SMS と通話履歴の権限
ユーザーのプライバシーを保護するために、Google Play では、さまざまな制限付き権限を定義し、追加の要件を課しています。そこでは、アプリがそれらの権限を責任を持って使用し、ユーザーを操作してアクセスを許可させることのないよう求めています。ユーザーが権限のリクエストを拒否した場合は、その選択を尊重して代替案を提示する必要があります。特定の制限付き権限には、さらに追加の要件がある場合があることに注意してください。コンプライアンスを徹底するため、ポリシー全体を確認してください。
上記に加えて、制限付きの権限とは、「Dangerous」、「Special」、「Signature」と指定される権限、または下記のような権限です。これらの権限には、以下に示す追加の要件と制限が適用されます。
- 制限付きの権限を通じてアクセスされたユーザーデータやデバイスデータは、ユーザーの個人情報および機密情報と見なされ、ユーザーデータに関するポリシーの要件が適用されます。
- ユーザーが制限付き権限のリクエストを承認しない場合はその決定を尊重してください。重要でない権限についてユーザーに同意するよう誘導または強制することも認められません。機密情報に関わる権限へのアクセスを許可しないユーザーにも対応する(たとえば、ユーザーが通話履歴へのアクセスを制限している場合であれば電話番号を手動で入力できるようにするなど)よう、合理的な努力を尽くす必要があります。
- Google Play のマルウェアに関するポリシー(昇格させた権限の悪用を含む)に違反する権限の使用は、明示的に禁止されています。
一部の制限付き権限には、下記の追加要件が適用されることがあります。これらの制限の目的は、ユーザーのプライバシーを守ることにあります。ただし、非常にまれなケースですが、アプリがきわめて必要性の高いまたは重要な機能を提供していて、その機能を実現する他の手段が現時点で他に存在しない場合には、下記の要件について例外が認められることがあります。例外が申請された場合は、ユーザーに対して想定されるプライバシーまたはセキュリティ上の影響を考慮して審査します。
SMS と通話履歴の権限
Google Play では、機密性の高い SMS および通話履歴データへのアクセスを厳しく制限しています。これらのデータへのアクセス権限をリクエストするには、アプリが、SMS、電話、またはアシスタントに指定されたデフォルト ハンドラーでなければなりません。権限の使用は、アプリの主な目的に絶対に不可欠な、文書化されたコアアプリ機能のみに限定されます。このデータは、広告やその他の承認されていない目的に決して使用してはなりません。コンプライアンスを徹底するため、ポリシーの全文を確認してください。
SMS と通話履歴に関する権限は、ユーザーの個人情報と機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の制限が適用されます。
| 制限付きの権限 | 要件 |
|---|---|
| 通話履歴に関する権限グループ(例: READ_CALL_LOG、WRITE_CALL_LOG、PROCESS_OUTGOING_CALLS) | ユーザーのデバイスで、アプリがデフォルトの電話ハンドラまたはアシスタント ハンドラとして能動的に登録されている必要があります。 |
| SMS に関する権限グループ(例: READ_SMS、SEND_SMS、WRITE_SMS、RECEIVE_SMS、RECEIVE_WAP_PUSH、RECEIVE_MMS) | ユーザーのデバイスで、アプリがデフォルトの SMS ハンドラまたはアシスタント ハンドラとして能動的に登録されている必要があります。 |
デフォルトの SMS ハンドラ、電話ハンドラまたはアシスタント ハンドラとしての機能をアプリが備えていない場合、マニフェストで上記の権限の使用を宣言することはできません(マニフェスト内のプレースホルダ テキストである場合を含みます)。また、ユーザーに上記の権限の許可をリクエストする前に、アプリがデフォルトの SMS ハンドラ、電話ハンドラまたはアシスタント ハンドラとして有効に登録されている必要があります。アプリがデフォルトのハンドラではなくなったときは、直ちに該当する権限の使用を停止しなければなりません。許可されている使用方法と例外については、ヘルプセンターのこちらのページをご覧ください。
アプリが使用できる権限は、承認済みの重要なアプリの機能を提供するために必要な権限(およびその権限で取得したデータ)のみです。重要な機能とは、アプリの主たる目的である機能をいいます。いくつかの機能のセットである場合もあり、そのすべてがアプリの説明文の中に認識しやすい形で明記されている必要があります。その機能がなければアプリが「壊れている」、使用できない、と見なされるような機能が「重要な機能」にあたります。このデータの転送、共有、またはライセンス下での使用は、アプリ内で重要な機能やサービスを提供することのみを目的として許可されるものであり、その他の目的(他のアプリやサービスの改善、広告、マーケティング目的など)でデータを使用することはできません。通話履歴や SMS に関連する権限に基づくデータを取得するために、他の権限、API、第三者の提供元など、代わりの方法を使用することはできません。
位置情報の利用許可
ユーザーのプライバシーを保護するために、バックグラウンドでの位置情報へのアクセスに関するポリシーでは、アプリがアクセスすることに対して明確な正当性を示し、ユーザーの明示的な同意を得ることを求めています。デバイスの位置情報へのアクセスは、ユーザーに直接メリットのある、アプリの主要目的に不可欠な機能に限定されており、広告や分析のためだけに許可されることはありません。可能な限り、おおよその位置情報やフォアグラウンドでのアクセスなどの機密性の低いオプションを選択し、リクエストするアクセスを必要最小限にしてください。デバイスの位置情報へのフォアグラウンド サービスでのアクセスは、ユーザーが開始する一時的なものでなければなりません。また、バックグラウンドでのアクセスは重要な機能に限られます。コンプライアンスを徹底するため、ポリシー全体を確認してください。
デバイスの位置情報は、ユーザーの個人情報および機密情報と見なされ、個人情報と機密情報に関するポリシー、バックグラウンドでの位置情報に関するポリシー、および以下の要件が適用されます。
- アプリで現在の機能やサービスを提供する必要がなくなった後は、位置情報の権限(ACCESS_FINE_LOCATION、ACCESS_COARSE_LOCATION、ACCESS_BACKGROUND_LOCATION など)で保護されているデータにアプリからアクセスすることはできません。
- 広告や分析のみを目的として、ユーザーに位置情報の利用許可をリクエストしてはなりません。このデータの許可された利用の範囲を広告配信にも適用するアプリは、広告ポリシーを遵守していなければなりません。
- アプリがリクエストするアクセスのレベルは、位置情報を必要とする現在の機能やサービスを提供するうえで必要最低限に留め(つまり、高精度よりも低精度、バックグラウンドよりもフォアグラウンド)、そのレベルの位置情報が機能やサービスに必要であることをユーザーが合理的に予期できる必要があります。たとえば、バックグラウンドで位置情報をリクエストまたは利用することに合理的な根拠がないアプリは承認されない可能性があります。
- バックグラウンドで位置情報が利用できるのは、ユーザーにとってメリットがあり、かつアプリの重要な機能に関連する機能を提供する場合のみです。
アプリからフォアグラウンド サービスの権限で(たとえば「使用中」のみ許可されるなど、フォアグラウンドでのアクセス権でのみ)位置情報にアクセスするのが認められるのは、以下の場合です。
- アプリ内でユーザーが開始したアクションの続きとして位置情報の利用が開始され、かつ
- ユーザーが開始したアクションの意図されたユースケースが完了した後、直ちにその利用が終了する場合
子供を主な対象とするアプリは、ファミリー向けポリシーを遵守する必要があります。
ポリシーの要件について詳しくは、こちらのヘルプ記事をご覧ください。
すべてのファイルへのアクセス権限
Google Play のポリシーでは、アプリからユーザーのファイルやディレクトリへのアクセスを、機密情報に関わるリスクの高いアクセスとして扱い、そのため Android 11 以降は MANAGE_EXTERNAL_STORAGE 権限の使用を制限しています。この権限は、アプリに必須のコア機能においてユーザー向けの目的で広範な使用を必要とする場合にのみ許容されますが、第三者向けの目的に使用することは認められていません。この制限により、不要なデータ収集を防ぎ、ユーザーのプライバシーを保護することができます。この権限をリクエストするアプリは、プライバシーに関してユーザーが十分な情報に基づいて判断できるよう明確なメッセージを表示し、Google Play のアプリ審査で承認を得る必要があります。コンプライアンスを徹底するため、ポリシー全体を確認してください。
ユーザーのデバイス上のファイルとディレクトリの属性は、ユーザーの個人情報および機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の要件が適用されます。
- アプリがリクエストするアクセスの対象は、アプリが機能するうえで不可欠なデバイス ストレージに限定する必要があります。ユーザー向けの不可欠なアプリ機能と関係のない目的で第三者のためにデバイス ストレージへのアクセスをリクエストしてはなりません。
- R 以降を搭載している Android デバイスでは、共有ストレージ内のアクセスを管理するには、MANAGE_EXTERNL_STORAGE 権限が必要です。R をターゲットとし、共有ストレージへの幅広いアクセス(「すべてのファイルへのアクセス」)をリクエストするアプリは必ず、公開前に適切なアクセスに関する審査に合格する必要があります。この権限の使用を許可されたアプリは、[特別なアプリアクセス] 設定で [すべてのファイルへのアクセス] を有効にするように求めるメッセージを、ユーザーにはっきり表示する必要があります。R のこの要件について詳しくは、こちらのヘルプ記事をご覧ください。
写真と動画に関する権限
ユーザーのプライバシーとセキュリティを保護するため、Google Play では、READ_MEDIA_IMAGES または READ_MEDIA_VIDEO 権限をリクエストするアプリに対して、写真や動画への永続的アクセスまたは頻繁なアクセスをすることが明確に必要なコア ユースケースを示すことを求めています。アプリがこのアクセス要件を満たしていない場合は、権限を削除する必要があります。1 回または限られた頻度でのアクセスでかまわない場合は、プライバシー保護が強化された Android Photo Picker など、システムの選択ツールを代わりに使用してください。コンプライアンスを徹底するため、ポリシー全文を確認してください。
ユーザーのデバイス上の写真と動画は、ユーザーの個人情報および機密情報と見なされ、Google Play のユーザーデータに関するポリシーが適用されます。アプリは、アプリの機能に直接関連する目的のためにのみ写真と動画にアクセスできます。ユーザー向けのアプリの機能とは無関係な目的で、第三者に代わってアクセス権限をリクエストすることはできません。より強力なプライバシー保護機能を提供できるように、写真選択ツールのようなシステムの選択ツールの使用をおすすめします。
デバイス上の共有ストレージにある写真や動画ファイルへの幅広いアクセスを必要とするアプリは、適切なアクセスに関する審査に合格し、共有ストレージにある写真や動画への頻繁または持続的なアクセスを必要とする中核的なユースケースを実証しなければなりません。こうしたファイルに一度だけアクセスする必要があるアプリや、頻繁にアクセスする必要がないアプリでは、Android の写真選択ツールなどのシステムの選択ツールをご使用いただく必要があります。
写真や動画への幅広いアクセスには、以下の要件も適用されます。
- Android 13(API レベル 33)以降をターゲットとするアプリでは、デバイスの共有ストレージにある写真または動画ファイルにアクセスするために、READ_MEDIA_IMAGES 権限または READ_MEDIA_VIDEO 権限が必要です。Android 13 以降をターゲットとし、READ_MEDIA_IMAGES 権限または READ_MEDIA_VIDEO 権限をリクエストするアプリは必ず、公開前に適切なアクセスに関する審査に合格しなければなりません。
- READ_MEDIA_VIDEO 権限または READ_MEDIA_IMAGES 権限へのアクセスをリクエストするアプリは、共有ストレージにある写真や動画への持続的なアクセスまたは頻繁なアクセスを必要とする中核的なユースケースを実証しなければなりません。
アプリが READ_MEDIA_VIDEO 権限または READ_MEDIA_IMAGES 権限による幅広いアクセス権を必要としない場合、またはその資格がない場合は、ポリシー審査要件を満たすために、この権限をアプリのマニフェストから削除してください。
制限付きの権限に関するポリシーに従い、デバイス上のメディア ファイルへの幅広いアクセスを許可しないユーザーにも適切に対応するために合理的な努力を尽くす必要があります。たとえば、ユーザーがアプリの機能やコア機能を利用できるように配慮されたアプリ エクスペリエンスを提供する必要があります。
写真や動画にアクセスする正当なユースケースはあるものの、READ_MEDIA_IMAGES 権限や READ_MEDIA_VIDEO 権限を利用できないアプリは、写真選択ツールなどのシステムの選択ツールを使用できます。詳しくは、こちらのヘルプセンター記事をご覧ください。
パッケージ(アプリ)の公開設定権限
ユーザーのインストール済みアプリ インベントリにアクセスすることは機密性の高い行為です。Google Play ポリシーでは、広範に可視化する権限(QUERY_ALL_PACKAGES)を厳しく制限しており、相互運用性を確保するために、インストールされたアプリに関する情報を広く必要とするコアアプリ機能にのみ許可しています。できるだけ、ターゲットを絞った限定的なクエリを使用して、特定のアプリにアクセスするようにします。これにより、プライバシーがより保護されます。いかなる状況においても、インストール済みアプリ インベントリのデータは、広告や分析で収益を得るために販売したり共有したりすることはできません。コンプライアンスを徹底するため、ポリシーの全文を確認してください。
デバイスにクエリして入手したインストール済みアプリの一覧は、ユーザーの個人情報かつ機密情報と見なされ、個人情報と機密情報に関するポリシーおよび以下の要件が適用されます。
デバイス上の他のアプリを起動、検索、相互運用することが主要な目的であるアプリは、以下で概説するように、デバイス上の他のインストール済みアプリに対して、スコープに応じた可視性を得ることができます。
- 広範なアプリの可視性: 広範な可視性とは、アプリがデバイス上のインストール済みアプリ(「パッケージ」)を幅広く(「広範に」)見渡せる(可視性が与えられている)ことを指します。
- API レベル 30 以降をターゲットとするアプリの場合、QUERY_ALL_PACKAGES 権限によってインストール済みアプリについて広範な可視性が得られるのは、特定のユースケース(当該アプリが機能するためにデバイス上のすべてのアプリを認識するか、それらのアプリと相互運用する必要がある場合)に制限されます。
- スコープを絞ったパッケージの可視性を宣言(広範な可視性をリクエストせず、特定のパッケージをクエリしてやり取りするなど)して動作させることが可能なアプリでは、QUERY_ALL_PACKAGES を使用しないでください。
- QUERY_ALL_PACKAGES 権限に関連付けられた広範な可視性レベルに近い別の方法の使用も同様に、ユーザー向けの主要なアプリ機能と、その別の方法によって検出されたアプリとの相互運用に制限されます。
- QUERY_ALL_PACKAGES 権限を使用できるユースケースについては、こちらのヘルプセンター記事をご覧ください。
- API レベル 30 以降をターゲットとするアプリの場合、QUERY_ALL_PACKAGES 権限によってインストール済みアプリについて広範な可視性が得られるのは、特定のユースケース(当該アプリが機能するためにデバイス上のすべてのアプリを認識するか、それらのアプリと相互運用する必要がある場合)に制限されます。
- 限定的なアプリの可視性: 限定的な可視性とは、アプリが、よりターゲットを絞った(「広範」ではない)方法を使って特定のアプリをクエリすることによりデータへのアクセスを最小限に抑える場合(アプリのマニフェスト宣言を満たす特定のアプリをクエリすることができます)を指します。アプリが相互運用性に関するポリシーを遵守している場合や他のアプリの管理を担っている場合は、この方法でそれらのアプリをクエリすることができます。
- デバイス上のインストール済みアプリのインベントリに対する可視性は、アプリの主要な目的やユーザーがアプリ内でアクセスする主要な機能に直接関連する必要があります。
Google Play で配信中のアプリにクエリして入手したアプリ インベントリのデータを、分析や広告収益化の目的で販売、共有することは禁止されています。
Accessibility API
Google Play では、さまざまなアプリに対して AccessibilityService API の使用を認めています。ただし、サービスがメタデータで isAccessibilityTool=true を設定してユーザー補助ツールであると宣言できるのは、障がいのあるユーザーがデバイスを利用したり、障がいに起因する課題を克服したりするのを支援するために設計されている場合に限られます。それらのアプリは、認識しやすい開示と同意の要件を満たすことを免除されます。上記以外の用途で設計されたアプリ、またはユーザー補助ツールとして申告していないアプリの場合は、Google Play Console でユーザー補助ツールの申告を行うとともに、データのアクセスと使用に関する明確なアプリ内開示を実装し、明示的なユーザーの同意を得る必要があります。コンプライアンスを徹底するため、ポリシーの全文を確認してください。
Accessibility API を次の目的で使用することはできません。
- ユーザーの許可なくユーザー設定を変更したり、ユーザーがアプリまたはサービスを無効化またはアンインストールできないようにしたりする。ただし、保護者による使用制限を使用するアプリを通じて親権者または保護者の許可を得るか、エンタープライズ マネジメント ソフトウェアを通じて認定済み管理者の許可を得た場合を除きます。
- Android の組み込みのプライバシー管理とプライバシー通知を回避する。
- 不正な方法または Google Play デベロッパー ポリシーに違反するその他の方法で、ユーザー インターフェースを変更または利用する。
Accessibility API は、リモート通話の音声録音用には設計されておらず、そのようなリクエストを受けることもできません。
Accessibility API を使用する場合は、Google Play のストアの掲載情報に記載する必要があります。
IsAccessibilityTool に関するガイドライン
障がいのあるユーザーを直接サポートする機能が主体になっているアプリは、IsAccessibilityTool を使用して、ユーザー補助アプリとして公式に表明できます。
IsAccessibilityTool の対象とならないアプリはこのフラグを使用できませんが、ユーザー補助に関連する機能をユーザーが認識しにくいため、ユーザーデータに関するポリシーに規定されている「認識しやすい開示と同意」の要件を遵守する必要があります。詳しくは、AccessibilityService API のヘルプセンター記事をご覧ください。
Accessibility API を使用しなくても必要な機能を提供できるのであれば、より限定された範囲の API と権限をアプリで使用してください。
パッケージ インストールのリクエスト(REQUEST_INSTALL_PACKAGES)権限
REQUEST_INSTALL_PACKAGES 権限により、アプリは他のアプリ パッケージのインストールをリクエストできます。この権限は、アプリのコア機能に制限されます。具体的には、主な目的がアプリ パッケージの送信、受信、またはユーザーによるインストールの有効化である場合です。この権限を使用してアプリを更新したり、アプリの機能を変更したりすることは、禁止されています。また、他の APK をバンドルして自動インストールすることや、不正なインストールをすることもできません(エンタープライズ管理を除く)。すべてのインストールは、ユーザーが自ら直接選択した場合に限ります。Android 8 以降を対象とするアプリが Intent.ACTION_INSTALL_PACKAGE を使用するには、この権限を保持している必要があります。コンプライアンスを徹底するため、ポリシー全文を確認してください。
Request Install Packages 権限を使用すると、アプリからアプリ パッケージのインストールをリクエストできます。この権限を使用するには、アプリのコア機能に以下の両方が含まれている必要があります。
- アプリ パッケージを送信または受信する機能
- ユーザーが自発的にアプリ パッケージのインストールを開始する機能
たとえば次のような機能が許可されています。
- ウェブのブラウジングまたは検索
- 添付ファイルをサポートするコミュニケーション サービス
- ファイルの共有、転送、管理
- 企業向けデバイスの管理
- バックアップと復元
- デバイスの移行または電話の転送
- スマートフォンをウェアラブル デバイスや IoT デバイス(スマートウォッチ、スマートテレビなど)に同期するためのコンパニオン アプリ
コア機能とは、アプリの主要な目的を果たすために必要不可欠な機能を指し、そのすべてがアプリの説明文に認識しやすい形で明記されている必要があります。
REQUEST_INSTALL_PACKAGES 権限は、デバイス管理を目的とする場合を除き、自動更新、修正、アセット ファイル内での他の APK のビルドには使用できません。パッケージの更新とインストールにおいては、常に Google Play のデバイスやネットワークでの不正行為に関するポリシーに準拠しなければならず、ユーザーが自発的に操作する必要があります。ボディセンサー データへのアクセス権限
ポリシー 概要
Google Play は、ユーザーのプライバシーを保護するため、機密性の高いボディセンサー データ(心拍数、血中酸素ウェルネス、皮膚温など)にアクセスするための要件として、ユーザーデータに関するポリシーおよび健康アプリに関するポリシーへの準拠を義務付けています。
Android 16 より、アプリでは、一般的な android.permission.BODY_SENSORS 権限から、新たに細分化された健康に関する権限に移行する必要があります。たとえば、心拍数データにアクセスする場合は android.permission.health.READ_HEART_RATE 権限を使用することになります。この変更の適用対象は、Wear OS を含めフォーム ファクタを問わず、Android 16 以降をターゲットとするすべてのアプリです。変更点の一覧については、動作の変更点: Android 16 以上をターゲットとするアプリのページをご覧ください。Google は、ボディセンサー権限(以前の権限と新しい権限の両方)を求めるすべてのリクエストを審査し、アプリのユースケースがユーザーに直接利益をもたらすこと、および Google のポリシーに準拠していることを確認します。
身体関連のパラメータ(心拍数、血中酸素ウェルネス、皮膚温など)を測定するセンサーのユーザーデータは、機密性の高い個人データに該当します。こうしたデータへのアクセス権をリクエストするアプリは、ユーザーデータに関するポリシーと健康アプリに関するポリシーで定められている要件を満たす必要があります。スマートフォン、タブレット、Wear OS デバイスなどフォーム ファクタを問わず、android.permission. 権限や BODY_SENSORS android.permission. _BACKGROUNDBODY_SENSORS
Android 16 以降、包括的な BODY_SENSORS 権限は、特定のデータタイプごとに細分化され、プライバシー保護に適した android.permissions.health.* 権限に移行されます(android.permission.health.READ_HEART_RATE 、android.permission.health.READ_OXYGEN_SATURATION 、android.permission.health.READ_SKIN_TEMPERATURE など)。
Android 16 以降をターゲットとするアプリでは、従来 BODY_SENSORS 権限を必要としていた API に対して、これらの個別の権限を使用する必要があります。詳しくは、動作の変更点: Android 16 以降をターゲットとするアプリのページをご覧ください。
ボディセンサー権限(以前の権限と、細分化された新しい権限の両方)を求めるすべてのリクエストは審査され、こうした機密性の高い個人データの使用目的が、ユーザーに直接利益をもたらす承認済みのユースケースに合致しているか確認されます。承認済みの主なユースケースには、フィットネスやウェルネスの状況の記録(ワークアウトのリアルタイム モニタリングなど)、病気やその他の状態のモニタリング、適切な承認を得たうえでの健康調査、ウェアラブル用コンパニオン アプリの強化などがあります。
禁止事項、承認済みのユースケース、要件の詳細など、ポリシーに関する包括的なガイダンスについては、健康関連の Android アプリの権限: ガイダンスとよくある質問をご覧ください。
Android の権限によるヘルスコネクト
ヘルスコネクト データへのアクセスは、主要なユースケースが承認されており、健康、フィットネス、医療、または健康調査に関するアプリに限定されています。データへのアクセスをこれらの承認された機能に必要な最小限の範囲に厳密に制限し、健康に関するデータを第三者と共有する場合は、事前にユーザーの明示的な同意を得る必要があります。透明性が重要であるため、データの収集、使用、管理、削除について明確に開示し、包括的なプライバシー ポリシーを提示してください。ユーザーデータを不正アクセスから保護し、適用されるすべての法律および規制(例: HIPAA、GDPR)を遵守する必要があります。コンプライアンスを徹底するため、ポリシー全文を確認してください。
ヘルスコネクトは、健康&フィットネスのアプリのための Android プラットフォームです。この統合されたエコシステムの中で、アプリは同じデバイス上のデータを保存し、共有できます。ユーザーは、医療記録を含め、健康とフィットネスに関するデータの読み取りと書き込みをどのアプリに許可するかを管理することもできます。医療記録には、医療従事者もしくは医療機関から、またはサポートされているサードパーティの健康管理プラットフォームを通じて取得した、病歴、診断、治療、投薬、検査結果、その他の臨床データが含まれます。
ヘルスコネクトは、歩数や体温、医療記録データなど、さまざまなデータタイプの読み取りと書き込みに対応しています。
ヘルスコネクト権限を通じてアクセスされるデータは、ユーザーの個人情報および機密情報と見なされ、ユーザーデータに関するポリシーが適用されます。アプリが健康アプリに該当する場合、または健康関連の機能を有し、健康に関するデータ(ヘルスコネクト データを含む)にアクセスする場合は、健康アプリに関するポリシーも遵守する必要があります。
ヘルスコネクトの使用を開始する方法については、こちらの Android デベロッパー ガイドをご覧ください。ヘルスコネクトのデータタイプへのアクセスをリクエストする方法および、その他のよくある質問については、健康関連の Android アプリの権限: ガイダンスとよくある質問をご覧ください。
Google Play で配信されるアプリがヘルスコネクトでデータの読み取り / 書き込みを行うには、次のポリシー要件を満たす必要があります。
ヘルスコネクトのアクセス方法と使用方法
ヘルスコネクトは、該当するポリシーと利用規約に準拠したうえで、このポリシーによって規定されている承認された用途に限り使用できます。これは、アプリまたはサービスの用途が承認された用途のいずれかに該当する場合に限り、権限へのアクセスをリクエストできることを意味します。
承認された用途には、フィットネスとウェルネス、特典、フィットネス コーチング、企業の健康管理プログラム、医療、健康調査、ゲームがあります。これらの用途へのアクセスが認められたアプリケーションは、その使用を、非公開の目的または許可されていない目的にまで拡張することはできません。
ヘルスコネクト権限へのアクセスをリクエストできるのは、ユーザーの健康とフィットネスの増進を目的として設計された機能を 1 つ以上備えたアプリまたはサービスのみです。これには次のものが含まれます。
- ユーザーが自分の身体活動、睡眠、心の健康、栄養、健康状態の測定値、身体的特徴、医療記録、または健康やフィットネスに関連するその他の記述や測定値を直接記録、レポート、モニタリング、分析できるアプリまたはサービス。
- ユーザーが自分の身体活動、睡眠、心の健康、栄養、健康状態の測定値、身体的特徴、医療記録、または健康やフィットネスに関連するその他の記述や測定値をユーザーのデバイスに保存して、承認された用途に適合するその他のオンデバイス アプリとデータを共有できるアプリまたはサービス。
- ユーザーが持病、治療、またはケアサポートを管理できるアプリまたはサービス。
このポリシー、またはヘルスコネクトに適用されるその他の利用規約またはポリシーに違反する形で、ヘルスコネクトにアクセスしてはなりません。これには以下を目的とする場合が含まれます。
- ヘルスコネクトの使用または障害によって、死亡、人身傷害、もしくは、個人や環境または財産上の損害に至ることが合理的に予想されるようなアプリ、環境、またはアクティビティ(核施設、航空管制システム、生命維持装置、兵器の作成または操作など)の開発、あるいはそれらに組み込む目的で、ヘルスコネクトを使用してはなりません。
- ヘルスコネクトを通じて取得したデータに、ヘッドレス アプリを使用してアクセスしてはなりません。アプリでは、アプリトレイ、デバイスのアプリ設定、通知アイコンなどに、明確に特定できるアイコンを表示する必要があります。
- 互換性のないデバイスまたはプラットフォーム間でデータを同期するアプリで、ヘルスコネクトを使用してはなりません。
- 子供のみを対象とするアプリ、サービス、または機能に接続するために、ヘルスコネクトを使用してはなりません。
- デベロッパーは、合理的かつ適切な手順に沿って、ヘルスコネクトを使用するすべてのアプリまたはシステムを、不正または違法なアクセス、使用、破壊、紛失、改変、開示から保護する必要があります。
また、デベロッパーには、ヘルスコネクトの用途、およびヘルスコネクトを通じて得られたデータの用途に基づいて適用される、規制または法律上の要件を遵守する責任があります。たとえば、医療保険の相互運用性と説明責任に関する法律(HIPAA)の適用を受ける対象機関または業務提携者である場合、ヘルスコネクトから得た情報へのアクセスとその利用について、該当する要件を遵守する必要があります。EU のユーザーについて、一般データ保護規則(GDPR)の対象となるデベロッパーの場合も同様に、GDPR に基づく義務を遵守する必要があります。これらの法律および規則により、データ処理作業に関与する関係機関とデータを共有する前に、追加の契約(業務提携契約、データ処理契約など)の締結が必要になる場合があります。アプリ デベロッパーには、自身の作業にそのような契約が必要となるかどうかを判断する責任もあります。デベロッパーは、Google の求めに応じて、そのような契約または遵守の証拠を提示する必要があります。
Google の特定の製品またはサービスについて Google が提供するラベルまたは情報に明示的に記載されていない限り、Google は、特に調査、健康、医療の用途に限らず、いかなる用途または目的でも、ヘルスコネクトに含まれるデータの使用を推奨することや、そのようなデータの正確性を保証することはありません。Google は、ヘルスコネクトを通じて取得されたデータの使用に関連する、いかなる責任も負いません。
限定的な使用
ヘルスコネクトを使用する場合、データアクセスとデータ使用は特定の制限に従う必要があります。
- データ使用は、アプリのユーザー インターフェースに表示される適切なユースケースまたは機能の提供または改善に限定する必要があります。
- ユーザーデータは、セキュリティ上の目的で必要なとき(不正行為の調査など)、適用される法律または規則の遵守のために必要なとき、または合併買収の一環として必要なとき、ユーザーの明示的な同意がある場合に限り、第三者に転送できます。
- セキュリティ上の目的のため、法令の遵守のため、または法的要件に基づいて内部運用のために集約する場合のユーザーデータへの人によるアクセスは、ユーザーの明示的な同意が得られない限り制限されます。
- 上記以外のヘルスコネクト データの譲渡、使用、または販売は、以下の行為を含めてすべて禁止されています。
- 広告プラットフォーム、データ ブローカー、または情報リセラーなどの第三者にユーザーデータを譲渡または販売すること。
- パーソナライズ広告やインタレスト ベース広告など、広告の配信を目的としてユーザーデータを譲渡、販売、または使用すること。
- 信用力を判断するため、または貸与目的でユーザーデータを譲渡、販売、または使用すること。
- 医療機器と見なされる可能性がある製品またはサービスで、ユーザーデータを譲渡、販売、または使用すること。ただし、医療機器アプリが、ヘルスコネクト データの用途に関して、関連する規制機関(米国 FDA など)から必要な許可または承認を取得することを含め、適用されるすべての規制を遵守しており、ユーザーがそのような使用に明示的に同意している場合を除く。
- ユーザーが開始し、HIPAA の規則に準拠している場合を除き、(HIPAA で定義された)保護医療情報に関連する目的または方法で、ユーザーデータを譲渡、販売、または使用すること。
最小範囲
アクセスをリクエストできる権限は、製品の機能またはサービスの実装に必要なものに限られます。このようなアクセス リクエストは、必要なデータごとに個別に、また必要なデータだけに対して行われるべきです。
通知と管理の透明性と正確性
ヘルスコネクトは健康とフィットネスに関するデータを扱いますが、それには個人情報と機密情報が含まれます。デベロッパーは、包括的なプライバシー ポリシーを通じ、データの取り扱いに関して明確でわかりやすい開示を行う必要があります。その場合、次のようにしなければなりません。
- ユーザーデータへのアクセスを求めるアプリまたはサービスの識別情報を正確に示す。
- アクセス、リクエスト、収集するデータの種類に関して、明確かつ正確な情報を提供する。データは、アプリで提供されるユーザー向けの機能またはおすすめに関連したものでなければなりません。
- データを使用、共有する方法を示す。ある目的でデータをリクエストしながら、別の目的でもデータを使用する場合は、すべての用途をユーザーに開示する必要があります。
- ユーザーがアプリ上で個人データを管理または削除する方法と、アカウントの無効化や削除が行われたときにデータがどうなるかを示すヘルプ ドキュメントを提供する。
- 最新の暗号手法を使用して(HTTPS 経由などで)転送するなど、ユーザーのすべての個人情報や機密情報を安全に扱う。
ヘルスコネクトに接続するアプリに関する要件について詳しくは、こちらのヘルプセンター記事をご覧ください。
VPN サービス
デベロッパーは、VpnService 基本クラスを使用することで、安全な VPN ソリューションを作成できます。Google Play では、コア VPN 機能を備えたアプリ、または重要な機能(保護者による使用制限、アプリの使用状況のトラッキング、デバイス セキュリティ、ネットワーク ツール、ウェブブラウザ、Carrier Servicesなど)でリモート サーバーへの接続が必要なアプリに対してのみ、VpnService の使用を認めています。重要なのは、認識しやすい開示と明示的な同意なしに、VpnService をユーザーの個人情報や機密情報の収集に使用してはならないということです。さらに、収益を得るために他のアプリからのユーザー トラフィックをリダイレクトまたは操作することも固く禁じられています。VpnService を使用するすべてのアプリは、このことを Google Play の掲載情報に明記するとともに、デバイスから VPN トンネル エンドポイントまでのすべてのデータを暗号化する必要があります。コンプライアンスを徹底するため、ポリシーの全文を確認してください。
VpnService は、アプリが独自の VPN ソリューションを拡張、構築できるようにするための基本クラスです。VPN がコア機能であり、VpnService を使用するアプリのみが、リモート サーバーへのデバイスレベルのセキュアなトンネルを作成できます。ただし、次のようなコア機能を実装するためリモート サーバーを必要とするアプリは例外となります。
- 保護者による使用制限や企業による管理を実装するアプリ。
- アプリの使用状況をトラッキングするアプリ。
- デバイス保護アプリ(ウイルス対策、モバイル デバイス管理、ファイアウォールなど)。
- ネットワーク関連ツール(リモート アクセスなど)。
- ウェブ ブラウジング用アプリ。
- テレフォニーサービスまたは接続サービスを提供するために VPN 機能の使用を必要とする携帯通信会社のアプリ。
VpnService を次の目的で使用することはできません。
- 認識しやすい開示および同意機能を実装せずに、ユーザーの個人情報や機密情報を収集する。
- 収益化を目的として、デバイスでの他のアプリからのユーザー トラフィックをリダイレクトまたは操作する(ユーザーの国とは異なる国から広告トラフィックをリダイレクトするなど)。
VpnService を使用するアプリは、次のすべての要件を満たす必要があります。
- VpnService を使用することを Google Play の掲載情報に記載する。
- デバイスから VPN トンネル エンドポイントに送信されるデータを暗号化する。
- 広告の不正行為、権限、マルウェアに関するポリシーを含む、すべてのデベロッパー プログラム ポリシーに準拠する。
正確なアラームの権限
Android 13 以降の USE_EXACT_ALARM 権限の使用は厳しく制限されており、イベント通知機能付きの専用アラーム、タイマー、カレンダー アプリケーションなど、ユーザー向けのコア機能で正確に時間を計ることが本当に必要なアプリに限定されています。アプリのコア機能にこの特定のニーズがない場合は、代わりに SCHEDULE_EXACT_ALARM 権限の使用を検討してください。この権限も機能は同じですが、アクセスするにはユーザーの許可を得る必要があります。このポリシーは、システム リソースに影響を与える不正使用を防止するためのものです。コンプライアンスを徹底するため、ポリシー全文を確認してください。
新しく導入される権限「USE_EXACT_ALARM」により、Android 13(対象 API レベル 33)以降のアプリで正確なアラーム機能へのアクセスが許可されるようになります。
USE_EXACT_ALARM は制限付きの権限です。アプリがこの権限を宣言できるのは、アプリのコア機能で正確なアラームが必要な場合に限られます。この制限付きの権限をリクエストするアプリは審査の対象となり、妥当な用途の条件を満たさない場合は、Google Play で公開できなくなります。
正確なアラームの権限の妥当な用途
アプリが USE_EXACT_ALARM 機能を使用できるのは、ユーザー向けのコア機能で正確な時刻にアクションを実行する必要がある場合のみです。たとえば次のようなアプリが該当します。
- アラームアプリまたはタイマーアプリ。
- 予定の通知を表示するカレンダー アプリ。
上記以外の用途で正確なアラーム機能を必要とする場合は、SCHEDULE_EXACT_ALARM を代替オプションとして使用することをご検討ください。
正確なアラーム機能について詳しくは、こちらのデベロッパー ガイドをご覧ください。全画面インテントの権限
Android 14 以降では、アラームの設定や通話の処理がコア機能であるアプリに対してのみ、USE_FULL_SCREEN_INTENT 権限が自動的に付与されます。その他のユースケースでは、全画面インテントの必要性を明確に説明して、明示的なユーザーの同意を得る必要があります。このポリシーでは、重要でない目的で全画面インテントが不正使用されることを防ぐとともに、全画面インテントの使用に際してはユーザーのデバイス、他のアプリ、または全体的なユーザビリティを妨げたり、干渉したりしないことを求めています。コンプライアンスを徹底するため、ポリシー全体を確認してください。
Android 14(API 対象レベル 34)以降を対象とするアプリでは、USE_FULL_SCREEN_INTENT は特別なアプリアクセス権限です。アプリのコア機能が、優先度の高い通知を必要とする以下のカテゴリのいずれかに該当する場合にのみ、自動的にアプリに USE_FULL_SCREEN_INTENT 権限が付与されます。
- アラームの設定
- 通話またはビデオ通話の着信
この権限をリクエストするアプリは審査の対象となり、上記の基準を満たさない場合、この権限は自動的には付与されません。その場合、アプリで USE_FULL_SCREEN_INTENT を使用するにはユーザーに権限をリクエストする必要があります。
なお、USE_FULL_SCREEN_INTENT 権限の使用においては常にモバイルの望ましくないソフトウェアに関するポリシー、デバイスやネットワークでの不正行為に関するポリシー、広告ポリシーを含むすべての Google Play デベロッパー ポリシーに準拠する必要があります。全画面表示インテント通知では、ユーザーのデバイスに対する不正な妨害、阻害、破損、またはアクセスは許可されません。また、アプリはデバイスのユーザビリティや他のアプリを妨げないようにする必要があります。
USE_FULL_SCREEN_INTENT 権限の詳細については、ヘルプセンターをご覧ください。
Help us improve this policy article by taking a 2-minute survey.