ユーザーの安全性と SDK について

アプリ デベロッパーは、ユーザーの安全を確保し、使用するソフトウェア開発キット（SDK）によって導入される可能性のある脆弱性など、あらゆる脆弱性からアプリを保護する必要があります。

SDK プロバイダは、SDK が原因でアプリやゲームのデベロッパーが Google Play デベロッパー ポリシーに違反し、ビジネスが中断されたり、Google Play による違反措置の対象になったりすることを避けたいと考えています。

SDK を使用するアプリ デベロッパーや SDK デベロッパーは、ユーザーの安全性に関するおすすめの方法についてご確認ください。

アプリ デベロッパー向けの情報

• SDK をアプリに統合する前に、SDK が使用する権限、収集するデータ、その理由を把握しておく必要があります。この情報をデータ セーフティ フォームに含めてください。なお、アプリ デベロッパーは、SDK の特定の機能を使用していなくても、SDK のデータ収集動作について責任を負います。
• 収集したユーザーデータの使用を延長できる場合とできない場合について、Google Play デベロッパー ポリシーをすべて確認します。たとえば、デバイスの位置情報を使用する場合は、認識しやすい開示と同意の要件に基づいて、サードパーティ/SDK とのこのデータの共有をエンドユーザーに知らせることが義務付けられています。
• Google Play ポリシーの更新を常に確認し、アプリに組み込んだ SDK が原因でアプリが Google Play ポリシーに違反していないことを確認してください。たとえば、デバイスやネットワークでの不正行為に関するポリシー、広告に関するポリシー、永続識別子に関するユーザーデータ ポリシーの更新などです。
• ユーザーの個人情報や機密情報を販売しないこと。
• アプリ内の SDK に起因する違反について違反措置の通知を受け取り、対処する必要がある場合は、ポリシー違反を解決してアプリを再送信する手順をご覧ください。
• Google Play SDK Index で、Google Play Console に登録されている SDK、それらの SDK が使用する Android 権限などをご確認ください。

SDK プロバイダ向け

• Google Play デベロッパー ポリシーを理解します。

• Google Play ポリシーの最新情報を常に把握し、SDK が原因でアプリが Google Play ポリシーに違反しないようにしてください。たとえば、デバイスやネットワークでの不正行為に関するポリシー、広告に関するポリシー、永続識別子に関するユーザーデータに関するポリシーの更新などです。お客様の SDK を使用しているアプリは、これらのポリシーに違反している可能性があるため、Google Play による違反措置を受ける可能性があります。次に例を示します。

  • SDK がユーザーの個人情報や機密情報を使用している場合は、SDK を使用するアプリ向けの公開ドキュメントで、その旨を明記する必要があります。
  • インタプリタ言語（JavaScript、Python、Lua など）が実行時に読み込まれる（アプリにパッケージされていない）SDK は、Google Play ポリシーに違反する可能性（適切な目的、開示、同意のないインストール済みパッケージの収集など）を排除しなければなりません。
  • ユーザーの個人情報や機密情報を販売しないこと。

• SDK で最新の API セキュリティ機能とデータ最小化機能をサポートします。詳しくは、2022 年 4 月の投稿をご覧ください。

• SDK が収集するユーザーデータとその使用理由をユーザーに理解してもらうようサポートします。これにより、アプリ デベロッパーは、エンドユーザーに対する認識しやすい開示と同意と、プライバシー ポリシー（該当する場合）にこれを含めることができます。

• アプリ デベロッパーが収集したユーザー設定を読み取り、その設定に準拠するロジックを実装するか、アプリ デベロッパーがこのユーザー向けの同意イベントに従って、SDK を正確に初期化できるメカニズムが存在することを確認する必要があります。

• データの使用に関する情報を、一般公開してアクセスしやすく利用しやすい形式で提供します。多くのデベロッパーが慣れ親しんでいる形式であるため、情報を公開する際に使用できるオプションの形式をご紹介します。例については、Google Firebase SDK のデータ開示と Google AdMob SDK のデータ開示をご覧ください。