Google Playのプライバシーポリシー対応祭り
ここ数日バタバタと対応していたGoogle Playのプライバシーポリシー対応が一段落したので経緯をまとめてみました。
発端
Googleから警告のメールを受け取りました。7日以内に対応しないとGoogle Playからアプリを消すよ、という警告です。警告理由と対応方針についてメールに記載されているポイントを引用すると
警告の理由: Android 広告 ID の使用ポリシー及び Google Play デベロッパー販売 / 配布契約 4.8 への違反
お客様のアプリは Android 広告 ID の収集及び転送を行うことが確認されましたので、プライバシーポリシーを掲載して頂く必要があります。
また、お客様のアプリから個人情報や機密情報に関するアクセス権限リクエストを削除していただくことで、今回の警告を回避することも可能です。
とのこと。
Twitterを覗いてみたら不意打ちに近い受け止め方をしている個人デベロッパー(自分含む)がたくさんいるようです。
パターンとしては
- a. 警告が来る
- b. 警告なしにいきなりアプリが消される
- c. 特に連絡なし
の3つがあるみたいですね。自分は a. と c. の組み合わせでした。いくつかのアプリは警告を受け、いくつかのアプリは連絡なし。いきなり消されなかっただけマシですが、どうして警告有無が分れたのかが把握できず。
とは言え、放っておくと消されてしまうので対策せねばなりません。アプローチは大きく2つあります。
アプローチ1:プライバシーポリシーを掲載する
正攻法です。ただし結構大変。
プライバシーポリシーの中身をどうするか、という問題も大変なのですが、そのほかにも
- Google Playの掲載情報にプライバシーポリシーのURLを追加する
- アプリ内からプライバシーポリシーを閲覧できるようにする
という2つの対応が必要。後者を満たすためにはアプリをアップデートしなければなりません。
また、
- プライバシーポリシーへの同意を明示的に得る必要があるのか。それとも閲覧できるようになっていればいいのか
- プライバシーポリシーはアプリに内包する必要があるのか。外部ページへのリンクでいいのか
- プライバシーポリシーへの導線はどこに置けばいいのか
といったあたりが不明瞭です。悩ましいですね...
情報収集している限りでは今回はGoogleは中身まで細かくチェックしていない様子。やり方なり中身なりが多少不完全でもいいので、プライバシーポリシーを用意すること自体が大事なようです。「URLの掲載だけでOKだった」という情報も見かけましたが、アプリからも閲覧できるようにしておくほうが無難かと思います。
アプローチ2:広告IDの収集をやめる
警告メールに
また、お客様のアプリから個人情報や機密情報に関するアクセス権限リクエストを削除していただくことで、今回の警告を回避することも可能です。
とある通り、原因を特定できる場合はこのアプローチもアリです。ググってみた限りだとFirebaseとCrashlyticsは犯人になりえそう。
- Firebase
- Firebaseはデフォルトで広告IDを収集する
- AndroidManifest.xmlにmeta-dataを追記することで広告IDの収集させないようにできる
- 参考URL:広告IDを使っている覚えがないのにGoogle Playからポリシー違反を通告されたけどFirebaseのせいだった
- Crashlytics
- Crashlytics SDKの2.9.3より古いものは広告IDを送信する
- 参考URL:Anybody know which SDK violates the google play advertising policy? : androiddev
ほかにも、自前で取得するコードを書いてないか、分析や広告系のライブラリが広告IDを取得していないかもチェックする必要がありそうです。
自分が取った対応
アプローチ2で進めようと思って調べたのですが、警告を受けたアプリと受けなかったアプリの違いがどうしてもはっきりしませんでした。FirebaseやCrashlyticsの利用状況を一覧化して比較してみても分からず。
時間的猶予もありませんし、安全策ということでアプローチ1で進めることにしました。
プライバシーポリシーの作成
まずはプライバシーポリシーの作成から。素人がイチから作るのは無理なので、いろんなアプリが載せているプライバシーポリシーを比較して最低限載せるべきことを検討していきました。確認した範囲だと
- ユーザー登録するタイプのアプリかどうか
- 個人情報に類する情報を明示的に収集・利用しているか
- 組み込んでいるライブラリが個人情報を利用していないか
あたりで載せるべきことが変わってくる印象です。
方針が決まったら日本語で素案を作成します。これは頑張って書くしかない...
自分の場合、日英の2言語でリリースしているアプリが大半なので、プライバシーポリシーも英語版を用意することにしました。英作文なんてできないのでGoogle翻訳に頼りまくりながら翻訳。英語で書かれているプライバシーポリシーを参照して細かな表現や用語を修正してそれっぽい英文になるようにしています。
文面が出来たらHTML化し、CSSで最低限のお化粧をしたら完成です。
ちなみに、英語でよければApp Privacy Policy Generatorというジェネレータがあります。これに頼るのも一案かと。
導線の作成
Webページとして公開するためにHTMLを配置する場所を手配します。 自分の場合はちょうどホスティング領域があったので手間がかからず。そこに置けばOKでした。
置く場所がない!というときはFirebase Hostingあたりが有力ですかねー。
アプリ内の導線はプライバシーポリシーのWebページへのリンクを貼る方向で進めました。設定メニューだったりAboutダイアログだったりにリンクを仕込んでいます。
結果
警告を受けたアプリは一通り対応できました。プライバシーポリシー対応版をGoogle Playにアップ済みです。
Googleさんからは連絡がないので、期限が来てもアプリが消えないかどうかドキドキしながら待つしかなさそう。この対応内容で大丈夫なはずですが...
参考URL
Androidアプリのプライバシーポリシー対応
- Android アプリのプライバシーポリシーに対応してみた – “油売り"と呼ばれた男
- Androidアプリのプライバシーポリシー違反の通知が来た時の対応まとめ | 大阪市天王寺区SOHOホームページ制作 | デザインサプライ-DesignSupply.-
- 【再】GooglePlayがプライバシーポリシーのURL明記を必須だってばさ【 : いまきたこうぎょう。
プライバシーポリシーの書き方
関連(するかもしれない)記事
おススメ