皆さん、プライバシーポリシーってご存知ですか?何となく知っている人もおられるかと思いますが、あんまりにもケアをしていないとある日突然私のように Google 先生からお手紙を頂くことがあるかもしれません。そんな時に役立つかもしれないと思い記事をまとめました。
目次
ある日、Google 先生から一通のメールが……。
メールを受信すると、[要対応] Google Play デベロッパー ポリシー違反に関わる警告というタイトルのヤバそうなメールが……。恐る恐る内容を確認するとこんな感じ。
Google Play デベロッパー様
お客様のアプリ XXXXXXCC(パッケージ名 xxx.xxxxx.xxxxxx)が、Google Play の個人情報や機密情報に関するユーザー データ ポリシーに違反していることが確認されました。
警告の詳細: Google Play では、ユーザーや端末に関する機密情報を要求する、または取り扱うアプリの場合、デベロッパーは有効なプライバシー ポリシーを提供する必要があります。当該のアプリは、個人情報または機密情報に関わる権限 (カメラ、マイク、アカウント、連絡先、スマートフォンなど) またはユーザー データを要求していますが、有効なプライバシー ポリシーが確認できませんでした。
必要な対応: [ストアの掲載情報] ページとアプリ内に有効なプライバシー ポリシーへのリンクを記載してください。詳しくは、こちらのヘルプセンター記事をご参照ください。
なお、機密情報に関わる権限やユーザー データに対するリクエストをアプリからすべて取り除かれた場合には、上記のご対応は必須ではございません。
また他にも公開している同様のアプリがある場合、すべてのアプリについて目立つ方法での開示の要件を満たしているかどうかご確認ください。
2017 年 3 月 15 日までにこの問題を解決いただくようお願いいたします。ご対応いただけない場合、Play ストアからの削除も含め、お客様のアプリの公開を制限する措置を取らせていただきます。恐れ入りますが、あらかじめご了承ください。Google Play のユーザー皆様にわかりやすく透明性の高いサービスを提供するため、ご協力いただけますと幸いです。
どうぞよろしくお願いいたします。
Google Play チーム
要約すると、「あなたのアプリは個人情報(自分の場合はカメラ)を使ってるんだから、プライバシーポリシーを明記しないとお仕置きよ」という感じですね。アプリ公開時に規約を読み飛ばしてしまっていたか、規約の改変についていけなかったかは定かではありませんが、こちらに落ち度があるのは間違いないので何らかの対応を取らねばなりません。
対応策を考える
メールの内容から、取るべき選択肢は3つありそうです。
アプリの公開を停止・削除する
もともと利用者も多くないアプリなので、これを機に公開を停止するのもありかな、とは思いました。しかし、一応少数ながらも使って下さっている方もおられるようですし、そもそも公開停止したら問題ないとも書いてないんですよね。(期限が切れたらアプリ削除するとは書いてますが)そのため、もしもこの対応を取ろうと思った場合は、Google のサポートにその旨を伝えて相談しておいたほうがよさそうです。メールの最後に描かれている「アプリの公開を制限する」というのがどの程度のものなのかも分からないので、事前に相談しておくのがやはりベターでしょう。
アプリから機能を削除する
こちらはプライバシーポリシー表示の対象外とするために、一部の機能(今回の自分の場合はカメラ機能)を削除してしまう、ということですね。とは言っても、カメラアプリからカメラ機能を取ったら何が残るんだ、という本末転倒な結末しか待っていない話なので今回は選択肢から除外するしかなさそうです。
プライバシーポリシーの対応をキチンと行う
今回はこちらです。一番平和的かつ誰も困らない(強いて言うならアプリ開発者の作業が発生する部分だけがネックですが)選択肢ですね。一応第4の選択肢として、何も対策せずにいたらどんな処罰が待っているかを体験する、というのもありますが、何も生み出さないので当然のように無視します。
幸いなことにこのメールを受け取ったのは2月の上旬であり、期限までは1か月ちょいあるのでアプリの更新なども行う余裕はありそうです。
プライバシーポリシーって何さ?
さて、実際に対策を行うとしても、プライバシーポリシーとは何ぞや?という話になります。ざっくりと自分の理解で書くと、アプリケーションやサービスで取得した個人情報をどのように扱っているかをサービス提供者が明記することです。ユーザはこのプライバシーポリシーを参照したうえで、そのアプリケーションやサービスを利用するかどうかを判断できる利点があります。この文言の中には、個人情報をサーバに保存したり、第三者に提供したりといったことが書かれていることもあるので、その場合はどの様なデータが該当するのかを調べておけばサービス利用を安心して行えるはずです。「個人情報を保存するとか、第三者に提供するとか、そんなことしてないよ!」という方も、「私はそんなことしてません!」と宣言する意味でプライバシーポリシーを用意する必要があるわけです。
何をすべきか?プライバシーポリシーってどう書くの?
ガチなプライバシーポリシーを見てみる
ガッチリと個人情報を扱っているようなプライバシーポリシーはそこかしこで見かけることができます。例えば Google 自体もプライバシーポリシー を持っています。Yahoo Japan も当然持ってますね。さて、これらの内容を見た人はこう思うでしょう。「こんなの個人で書けるわけねぇじゃん!」 ごもっともです。甲とか乙とか個人が書くもんじゃないですね。長いし。単純にアプリを開発していて個人情報を保持していない場合などはもっと簡単に書けるのでご安心を。次はそういった軽いプライバシーポリシーを見てみます。
ライトなプライバシーポリシーを見てみる
『プライバシーポリシー』で検索をすると上で挙げたようなガッツリ系のものしか引っかからず、どうしたものかと頭を抱えていたのですが、Google Play でアプリを公開している先人たちのものを参考にすればいいのだと気づきました。ガッツリ個人情報を利用するサービスを作っていなければこっちになるはずです。では、例を見てみましょう。
Peace Appさんの投稿 2017年2月3日金曜日
上のページは Google Play のカメラアプリの上位ランキングで見つけたアプリです。英語で書かれていますが、非常に簡単かつ明確にどの機能を何に利用しているかをまとめてあります。そう、これで良いんです!そして、Facebook のページ等に書いても OK というわけです。わざわざサーバを借りてきて静的なページを作成する必要もなさそうです。
とりあえず書いてみた
当時、メインで使っていたブログサービスにエントリを作成し、そこに以下のような感じで権限とその利用用途をざっくりと書いてみました。権限は利用しているものすべてについて書いていますが、必要じゃないものもありますので、その辺りは Google Play のプライバシーポリシーについての方針を確認して最低限のものだけ記述するのでも問題ないと思われます。また、広告などを利用している場合、ライブラリのプライバシーポリシーがあったりするので、そちらへの案内をしておくのが簡単で良さそうです。特にターゲティング広告のために位置情報を取得するような場合もあるかと思うので、そのあたりの情報がどう使われているかは広告ライブラリ側の説明へ案内するのが筋だと思われます。とりあえず作成したものは以下のような感じです。(2018/10/04 追記:Nend の URL がログインが必要な物だったので修正し、広告用 ID の使用として送信内容をまとめました)
『アプリ名』のプライバシーポリシー
- 画像/メディア/ファイル(USB ストレージのコンテンツの読み取り、USB ストレージのコンテンツの変更または削除)
- 撮影した画像をストレージに保存するために利用しています
- ストレージ(USB ストレージのコンテンツの読み取り、USB ストレージのコンテンツの変更または削除)
- 撮影した画像をストレージに保存するために利用しています
- カメラ(画像と動画の撮影)
- 写真の撮影・プレビューに利用しています
- 撮影された画像は内蔵ストレージや SD カードに保存されます
- 広告用IDの使用
- アプリ内広告(Nend)で必要とされています
- 送信情報
- 匿名ID(androidではUIID/iOSではUIIDまたはIDFA)
- 端末情報(ユーザーエージェントから取得できる情報/OSver情報や機種情報)
- 上記以外の個人情報は利用していません
- Nend のプライバシーポリシーはこちらです 個人情報保護方針|株式会社ファンコミュニケーションズ
- その他(ネットワーク接続の表示、ネットワークへのフルアクセス)
- アプリ内広告(Nend)で必要とされています
これを書いた上で、Google Play Console(アプリの掲載情報などを編集できるところ)内の『ストア掲載情報』の最下部にあるプライバシーポリシーの欄に、内容を書いている URL を設定しておきます。これで Google Play でプライバシーポリシーが公開されるようになります。これで一安心かと思い、Google Play サポートに「こんな感じでどうですかね?」と問い合わせると、「文言自体は問題なさそうだが、アプリ内からもリンク貼ってね」と言われました。なん……だと……。
アプリ内からのリンクはさっぱり風味で実装
アプリ内からリンクを貼れということだったのですが、それほど大きな手間をかけたくなかったのでかなりさっぱりと実装しました。運がいいことに、アプリには設定画面が存在したので、この片隅に2つの TextView を追加することにしました。
1つは 『Application Privacy Policy』と記述しただけの TextView で、その隣にもう一つ TextViewo を追加し、android:text にはプライバシーポリシー の URL を設定し、android:autoLink=”web” を設定することで、URL をクリックするとブラウザを開くという簡単な対応を入れておきました。
まとめ
これまでに書いた対策を入れた後は、特に何かする必要はありません。期限が来たら Google の中の人が本当にプライバシーポリシーの対応ができているかをチェックしてくれるはずです。自分はそれまでに文言などが不安だったのでその部分についてはサポートに問い合わせました。
対応期限から2か月たった今でも特に警告は来ていませんし、実際に Google Play で新規ユーザがダウンロードをしてくれているようなので、今回の対策で特に問題はなかったようです。もしも同じようなメールが来てどうしていいかわからない方の助けになれば幸いです。
まぁ、一番の結論としては、「ちゃんと利用規約を読んでおこうね」ということになるのかなと……。