📝

Google Playのデータセーフティを正確に申告したい

2022/07/15に公開

背景

2021年5月に初めて公式ブログにて紹介された Google Play のデータ セーフティ セクションですが、2022年4月以降にストアへ掲載されるようになり、ユーザーはアプリをダウンロードする前に取り扱われる情報を知ることができるようになりました。

ちなみに、この申告期限は2022年7月20日と明記されており、以降申告をしていない場合はアプリのアップデートや新しいアプリを公開ができなくなります。

すべてのデベロッパーは、2022 年 7 月 20 日までに、Google Play で公開するアプリでユーザーデータをどのように収集、処理するかを申告し、そのデータを暗号化などのセキュリティ保護対策によってどのように保護するか、詳細を示す必要があります。

https://support.google.com/googleplay/android-developer/answer/10787469

この申告、実際の対応自体は Play Console でポチポチすれば済むのですが、肝心の内容、つまり自アプリが各項目のデータの収集・共有に該当するのか否かを判断するのが結構難しい です。というのも、自アプリの実装はもちろん、利用している SDK やサードパーティツールの取り扱う情報、規約などを網羅的に調べる必要があり、結構な時間を要します。

また、人によって解釈が異なりそうな曖昧な点もいくつかあるのですが、「デベロッパーは完全かつ正確な申告する責任を単独で負うものとします」という何かトラブルがあった際の全責任をデベロッパが負うべきという記載もあり、正確な申告に努める必要があります。

デベロッパーは、Google Play のストアの掲載情報で完全かつ正確な申告を行う責任を単独で負うものとします。アプリの動作とデベロッパーの申告に相違があることが判明した場合、Google は違反措置など、適切な措置を講じることがあります。

対象となる読者

本記事では、正確な申告を要求されるもののその判断が難しい点について、項目の私的解釈を中心に記載します。

  • Google Play データセーフティの申告内容の判断ができる困っている方
  • Google Play にて Android アプリをリリースする方
  • Firebase を始めとしたサードパーティツールを使って開発している方

※本記事を参考として申告した内容に相違があり、万が一トラブルが生じた際には一切の責任を追いませんことをご了承ください(あくまでご参考までに)🙏

申告する内容

申告する工程は至ってシンプルです。
大きくは、以下のリンクに記載されているデータの種類(ex. メールアドレス、支払情報)などの15弱のカテゴリについて、それぞれデータの収集・共有があるかを YES/NO で判断するだけです(他にも転送時の暗号化などの記載がありますが今回は割愛します)。

https://support.google.com/googleplay/android-developer/answer/10787469?hl=ja#types&zippy=%2Cデータの種類

収集・共有の定義と解釈

データの収集・定義についても公式サイトに明記されています。それぞれの定義は1文でこのように記載されています。

  • 「収集」とは、ユーザーのデバイス外にアプリからデータを送信することを意味します。
  • 「共有」とは、アプリから収集したユーザーデータをサードパーティに転送することを意味します。

それぞれで個人的にとくに気になった箇所をピックアップして記載します。

収集の注意点

ライブラリとSDK

アプリで使用されているライブラリやSDKによって、アプリからデバイス外に送信されるユーザーデータも対象となります。これは、データがデベロッパーとサードパーティのサーバーのどちらに送信されるかにかかわらず該当します。

アプリ実装でデータの収集はしていないくとも、ユーザーの行動分析などでよく使われる Google アナリティクスを利用しても対象です。Google アナリティクスの自動収集イベントの対象となる「おおよそな位置情報」(市区町村レベルまで取得する)や広告 ID などを利用している場合は「デバイスまたはその他の ID」が収集対象となります。

WebView

アプリで開いた WebView から収集されるユーザーデータも対象となります。ただし、アプリがその WebView を通じて配信されるコードや動作を制御している場合です。
ユーザーが WebView でオープンウェブ上を移動する場合、その WebView でのデータ収集を申告する必要はありません。

申告項目「ウェブ閲覧履歴」があり、WebView を使っているアプリは Google アナリティクスでその閲覧履歴が収集されるので該当するものと最初勘違いしていましたが、WebView のコードや動作を別途制御している以外、つまり普通に WebView としてユーザーが画面を回遊する分には申告する必要がないそうです。

他にも、データ収集の範囲に含まれないものとして、「デバイス上でのアクセス/処理」など特定のユースケースにおいては対象外となる旨が記載されていますので、自アプリがそれに該当するか一読すると良いでしょう。

共有の注意点

サービスプロバイダ
デベロッパーの代わりにデータを処理する「サービス プロバイダ」にユーザーデータを転送する場合です。
サービス プロバイダとは、デベロッパーの代わりに、デベロッパーの指示に基づいて、ユーザーデータを処理するエンティティを指します。

個人的にもっとも重要だと思う箇所です。私は普段 Firebase のプロダクトを使っていますが、それらにクラッシュ情報や ID 情報を保存しているので、Firebase(Google)にデータを共有している扱いになるのか、関連する Google アナリティクスも Google サーバにデータを提供するという点で共有対象となるのかの判断ができませんでした。
結論、記載されている「サービスプロバイダ」はデベロッパが明示的にサービス提供の過程でユーザーデータを処理する実体であり、つまりたとえば認証に使う Firebase Authentication やデータベースとして利用する Firestore などは、収集の対象にはなるものの、共有の対象とはならないという解釈です。

逆に、AppsFlyer や Adjust などのアプリマーケティングツールに広告 ID を送信するなど、明らかに自サービスの範囲外として別の用途でデータが利用される場合については、共有になるという解釈をしました。

Firebase Auth のユーザーID をサードパーティツールに送信して分析するなども結構あるユースケースだと思いますが、「サービスプロバイダ」として利用しているものであれば共有対象ではないと判断できそうです。一方で利用しているサードパーティが外部にデータ提供をするような規約となっている場合は、共有対象になりそうです。いずれにしても、サードパーティへの確認や規約の見直しは必要ですね。

SDK・サードパーティにおけるデータ開示や記載方法

申告する際に、自サービスで利用している SDK やサードパーティがどんな情報を取り扱っているかを正確に調べることは難しいと思うかもしれませんが、各サービスごとに収集・共有データや目的について丁寧に記載されておりますので、この参照先を見ながら申告するのが間違いないです。
例として、Firebase, Google アナリティクス、 RevenueCat, AppsFlyer, Adjust あたりのリンクを貼っておきます。
ある程度有名所のサービスであれば公開されているので、迷ったら調べてみるとヒットするかもしれません。

https://firebase.google.com/docs/android/play-data-disclosure?hl=ja
https://support.google.com/analytics/answer/11582702?hl=ja

https://docs.revenuecat.com/docs/google-plays-data-safety

https://support.appsflyer.com/hc/ja/articles/4417197430289-Googleのデータセーフティセクションフォーム

https://help.adjust.com/en/article/google-play-data-safety

参考

Discussion