Google Workspace API を使用するデベロッパーは、機密性の高いユーザーデータを収集して管理することがよくあります。以下の重要な原則に留意してください。
- プライバシーを保護する: Workspace ユーザーデータを禁止されている用途に使用しないでください。Google は、第三者がユーザーデータを販売したり、広告目的でユーザーデータを使用したりすることを禁止しています。
- 透明性を確保する: 収集するデータ、収集する理由、収集したデータの使用方法を正確にユーザーに示し、説明します。
- 敬意を払う: ユーザーがデータの削除をリクエストした場合は、そのリクエストに応える。
- 安全性を確保する: すべてのユーザーデータを安全に処理し、特定のセキュリティ対策を遵守していることを示す。
- 具体的に指定する: 必要のないデータへのアクセス権はリクエストしないでください。データへのアクセスは、アプリやサービスのユーザーに有益な機能を提供する目的でのみ行う必要があります。
Workspace API サービスのユーザーデータに関するポリシー
デベロッパーがユーザーデータへのアクセスをリクエストする際のすべての Google API サービスの使用には、Google API サービスのユーザーデータ ポリシーが適用されます。この Workspace API サービス ユーザーデータとデベロッパー ポリシーには、ユーザーデータへのアクセスをリクエストする際に、Workspace API(Gmail、Chat、ドライブ、スプレッドシート、その他の Google Workspace サービスなど)の使用とアクセスを管理する追加情報が記載されています。
Workspace API と関連するユーザーデータの使用とアクセスには、以下のポリシーに加えて、Google APIs 利用規約、Google Chat 利用規約、Google Chat デベロッパー ガイド、Google Drive API 利用規約、Google Drive プログラム ポリシー、Google Drive デベロッパー ガイド、Gmail プログラム ポリシー、Gmail デベロッパー ガイド、Google Apps Script 利用規約、OAuth 2.0 ポリシーも適用されます。また、Google Workspace Marketplace デベロッパー契約が適用される場合もあります。また、適用されるすべての法律と規制を遵守する必要があります。
これらのポリシーは更新されることがあるため、随時ご確認ください。これらのポリシーに準拠していることを定期的に監視し、確認することはお客様の責任となります。ポリシーの要件を満たすことができない場合(または満たせなくなる重大なリスクがある場合)は、直ちにサービスの使用を停止し、Google にお問い合わせください。お客様がこのポリシーに準拠していない場合、Google は Google ユーザーデータへのアクセスを削除または制限する権限を有します。
Google Gmail API への適切なアクセスと使用
ユーザーデータにアクセスするためのリクエストは、明確にわかりやすく記述してください。Google Workspace API は、該当するポリシーと利用規約に準拠したうえで、このポリシーによって規定されている承認された用途に限り使用できます。これは、アプリまたはサービスの用途が承認された用途のいずれかに該当する場合に限り、権限へのアクセスをリクエストできることを意味します。Workspace API へのアクセスは、アプリまたはサービスが承認されたユースケースのいずれかに該当する場合にのみリクエストしてください。
Gmail API スコープの権限へのアクセスを承認される用途は次のとおりです。
- ユーザーがユーザー インターフェースを通じてメールの作成、送信、読み取り、処理を行うことができる、組み込みのメール クライアントとウェブ メール クライアント。
- メールを自動的にバックアップするアプリケーション
- メール利用時の生産性を向上させるアプリケーション(顧客管理、メールの遅延送信、メールの統合、生成 AI による要約の提供などのアプリケーション)
- メールの情報を使用して、メール エクスペリエンスを向上させるレポート サービスやモニタリング サービスを提供するアプリケーション(旅行日程の自動化アプリケーション、フライトや荷物の配達ステータスを追跡するアプリケーションなど)
次のアプリケーション タイプは、Gmail API スコープへのアクセスが承認されていないアプリの例です。たとえば、次のようなものがこれに該当します。
- モバイル キーボード。
- メールを 1 回限りまたは手動でエクスポートするアプリケーション。
- Gmail にメール以外のデータを保存またはバックアップするアプリ。
- 複数のアカウントを使用して Google ポリシーを乱用する、Gmail アカウントの制限を迂回する、フィルタやスパムを回避する、またはその他の形で制限を逃れようとするアプリ。
- スパムや、相手の同意を受けていない営利目的メールを送信するアプリ。たとえば、顧客管理など、商業目的の一括送信メールを送信するアプリケーションは、ユーザーがメールの受信に同意している限り承認されます。
Google Drive API への適切なアクセスと使用
Google Drive API へのアクセスは、アプリまたはサービスが承認されたユースケースのいずれかに該当する場合にのみリクエストしてください。
Google Drive API スコープの権限へのアクセスを承認される用途は次のとおりです。
- ユーザーのドライブ ファイルのローカル同期や自動バックアップが可能な組み込みアプリやウェブアプリ。
- 生産性向上アプリと教育アプリ(タスク管理、メモ作成、ワークグループのコミュニケーション、教室でのコラボレーション アプリなど)で、制限付きスコープのみを使用して、アプリのユーザー インターフェースを介してドライブ ファイル(またはそのメタデータや権限)を処理する。
- ファイルの共有やアクセス方法に関するユーザーや顧客の分析情報を提供するレポート アプリケーションとセキュリティ アプリケーション。
Google Drive API は、次のような特定のユースケースでは使用できません。
- デベロッパーのアプリまたはプロジェクトからドライブへのユーザー コンテンツまたはアプリ コンテンツのバックアップ。
- 暗号通貨マイニング。
- 著作権で保護されたコンテンツの無許可での広範な動画配信または拡散。
- 大規模なコンテンツ配信ネットワーク(CDN)の代わりにドライブを使用する。
- ユーザー ストレージのシャーディングやドライブのストレージ上限の回避を可能にするファイル クローニング ツール。
- 複数のアカウントを使用して Google ポリシーを乱用する、Google ドライブ アカウントの制限を迂回する、またはその他の形で制限を回避するアプリケーション。
- スパムや未承諾の商用メッセージを配信するアプリ。たとえば、顧客関係管理など、商業目的のメッセージを一括送信するアプリは、ユーザーがメッセージの受信に同意している限り承認されます。
Google Chat API の適切なアクセス方法と使用方法
アプリまたはサービスが承認されたユースケースのいずれかに該当する場合にのみ、Google Chat API へのアクセスをリクエストしてください。
Google Chat API スコープの権限へのアクセスを承認される用途は次のとおりです。
- ユーザーがユーザー インターフェースを通じてチャット メッセージなどの通信の作成、送信、読み取り、処理を行うことができる、組み込みアプリとウェブアプリ。
- 生産性を高めるために Chat の機能を拡張するアプリケーション(スペース内の他のメンバーにタスクを割り当てることができるタスク管理用の Google Chat アプリなど)。
- Chat メッセージの情報を使用して、ユーザーのためにレポート サービスやモニタリング サービスを提供するアプリケーション(同僚が不在であることをユーザーに通知するアプリなど)。
- メッセージ、メンバーシップ、グループ、またはその他の同様の Google Chat 機能をインポートするアプリケーション。
- Google Chat API を介して取得したデータを交換して使用し、他のメッセージ プロダクト、サービス、機能と相互運用するアプリケーション。
Google Chat API は、次のような特定のユースケースでは使用できません。
- 大規模なコンテンツ配信ネットワーク(CDN)の代わりに Chat を使用する。
- 複数のアカウントを使用して Google ポリシーを乱用する、Google Chat アカウントの制限を迂回する、またはその他の形で制限を回避するアプリケーション。
- スパムや未承諾の商用メッセージを配信するアプリ。たとえば、顧客関係管理など、商業目的のメッセージを一括送信するアプリは、ユーザーがメッセージの受信に同意している限り承認されます。
関連する最小限の権限をリクエストする
アクセス権限をリクエストできるのは、アプリまたはサービスの機能を実装するために不可欠な場合に限られます。具体的には、次のようになります。
必要のない情報へのアクセス権限はリクエストしないでください。アプリの機能またはサービスの実装に必要な権限へのアクセスのみをリクエストします。アプリで特定の権限へのアクセスが必要ない場合は、それらの権限へのアクセスをリクエストしないでください。「将来に備えるため」に、現時点ではまだ実装されていないサービスや機能に役立つ可能性のある情報へのアクセス権限をリクエストすることは避けてください。
可能な限り、コンテキストに応じて権限をリクエストしてください。ユーザーデータへのアクセス権限のリクエストは、データが必要とされる理由をユーザーが理解しやすいように、可能な限り文脈に沿って適切なタイミングで(段階的認証の形で)行うようにしてください。
通知と管理の透明性と正確性
アプリまたはウェブサービスがユーザーデータを収集、使用、共有する方法を明記したプライバシー ポリシーが必要です。
アプリとサービスは、データが必要とされる理由とデータの使用方法をユーザーが理解できるように、ユーザーデータへのアクセス権限を文脈に沿って適切なタイミングで(段階的認証の形で)リクエストする必要があります。適用される法律で規定されている要件に加えて、デベロッパーは以下の要件を遵守する必要があります。これらの要件は、OAuth 2.0 ポリシーと Google API サービスのユーザーデータ ポリシーを反映しています。
データのアクセス、収集、使用、共有について開示する必要があります。開示:
- ユーザーデータへのアクセスを求めるアプリまたはサービスの識別情報を正確に示す。
- アプリベースの場合はアプリ内、ウェブベースの場合は別のダイアログ ウィンドウ内に表示する必要があります。
- アプリベースの場合はアプリの通常使用時に、ウェブベースの場合はウェブサイトに表示すること。表示するのにメニューや設定に移動する必要のある開示方法では不十分です。
- アクセス、リクエスト、収集するデータの種類に関して、明確かつ正確な情報を提供する。
- データを使用、共有する方法を示す。1 つの目的でデータをリクエストしながら、別の目的でもデータを使用する場合には、ユーザーに両方の用途を通知する必要があります。
- 掲載場所を、プライバシー ポリシーや利用規約のみとしないこと。
- 個人情報や機密情報の収集に関係のない他の開示の中に掲載しないこと。
開示は、ユーザーの同意をリクエストするダイアログを表示する直前に行う必要があります。明示的な同意を得る前に収集を開始することはできません。同意を求めるリクエスト:
- 同意ダイアログは、あいまいにならないよう明確に表示する。
- 同意を示すための明確な操作をユーザーに求める(例: タップで同意する、チェックボックスをオンにする、言葉で指示する)。
- 開示画面から他へ移動する操作(例: タップで移動する、戻るボタンやホームボタンを押す)を同意と見なさない。
- 自動で非表示になるメッセージや閲覧期限付きメッセージを使用しない。
ユーザーがアプリまたはサービスからデータを管理および削除する方法を示すヘルプ ドキュメントを提供する。
ユーザーデータの限定的な使用
適切な用途で Workspace API にアクセスする際には、取得したデータの使用が以下の要件を遵守している必要があります。これらの要件は、機密性の高いスコープと制限付きスコープの両方から取得されたデータに適用されます。
- データ使用の用途は、リクエスト元アプリケーションのユーザー インターフェースに明確に表示される、適切な用途または機能の提供もしくは改善に限定されます。
以下の例を除き、データの転送は許可されません。
- ユーザーの同意に基づき、リクエスト元アプリのユーザー インターフェースに明確に表示される、適切な用途またはユーザー向け機能を提供もしくは改善する場合。
- セキュリティ上の目的(不正使用の調査など)で必要な場合。
- 適用される法律や規制を遵守するために必要な場合。
- ユーザーから事前に明示的な同意を得た後で、デベロッパーの合併、買収、または資産売買の一環として行う場合。
以下の場合を除き、人にユーザーデータが読まれないようにする必要があります。
- 特定のデータを読まれることに、ユーザーが明示的に同意し、その同意を記録している(例: パスワードを紛失したユーザーがプロダクトやサービスに再びアクセスできるようにサポートする場合)。
- データ(派生データを含む)を集計し、適用されるプライバシー要件および地域のその他の法的要件を遵守した、内部オペレーションのために匿名化して使用する場合。
- セキュリティ上の目的で必要な場合(不正使用の調査など)
- 適用される法律や規制を遵守するため。
それ以外のユーザーデータの転送、使用、販売は、以下の行為を含め、完全に禁止されています。
- 広告プラットフォーム、データ ブローカー、または情報リセラーなどの第三者にユーザーデータを譲渡または販売すること。
- リターゲティング、パーソナライズ広告、インタレスト ベース広告など、広告の配信を目的としてユーザーデータを譲渡、販売、または使用すること。
- 信用力を判断するため、または貸与目的でユーザーデータを譲渡、販売、または使用すること。
- ユーザーデータを譲渡、販売、または使用して、適切なユースケースまたはユーザー向け機能のために、特定のユーザーのパーソナライズされたモデルを超えて機械学習モデルまたは人工知能モデルを作成、トレーニング、改善すること。
データの使用が限定使用の制限に準拠していることを示す肯定的な記述またはその他の類似の記述を、アプリケーションまたはウェブサービスまたはアプリケーションに属するウェブサイトで開示する必要があります。たとえば、ホームページから専用のページまたはプライバシー ポリシーへのリンクを設置し、「Workspace API から受け取った情報の使用は、限定使用の要件を含む Google ユーザーデータ ポリシーに準拠します」と記載します。
安全性の高い運用環境の維持
すべてのユーザーデータを転送中も保存中も安全に扱う。Workspace API を使用するすべてのアプリケーションまたはシステムと、そこから派生するデータを、不正または違法なアクセス、使用、破壊、紛失、改変、開示から保護するために、合理的かつ適切な手順を講じてください。
制限付きスコープにアクセスするアプリケーションは、特定のセキュリティ対策を実施していることを示す必要があります。
推奨されるセキュリティ対策としては、たとえば ISO/IEC 27001 などで規定されている情報セキュリティ管理システムを実装して維持することで、アプリまたはウェブサービスを堅牢にし、OWASP トップ 10 に示されているセキュリティ上の一般的な問題がない状態を確保することが挙げられます。
必要なセキュリティ対策には次のようなものがあります。
業界で認められた暗号化標準を使用して、次のユーザーデータを暗号化します。
- ポータブル デバイスまたはポータブル電子メディアに保存されている。
- Google またはお客様のシステムの外部で維持されているもの。
- お客様が単独で管理していない外部ネットワークを介して転送される。
- システム上の保存中。
最新の安全なプロトコルを使用して(HTTPS 経由などで)データを送信する。
ユーザーデータと認証情報(特に OAuth アクセス トークンや更新トークンなどのトークン)を保存時に暗号化します。
鍵と鍵マテリアルが適切に管理されていることを確認します。たとえば、ハードウェア セキュリティ モジュールや同等の強度の鍵管理システムに保存します。
制限付きスコープに必要なセキュリティ対策には、Cloud Application Security Assessment(CASA)に準拠することも含まれます。また、アクセスする API やユーザーの許可またはユーザーの数に応じて、アプリまたはサービスについて定期的なセキュリティ評価を受け、Google 指定の第三者による評価文書を取得することが求められる場合があります。
お客様は、Google のデータが保存されているシステム、ネットワーク、アカウント、その他の場所への不正アクセスが確認された場合、または不正アクセスが疑われる場合は、直ちに security@google.com に通知することに同意します(「セキュリティ インシデント」)。お客様は、既知または疑われるセキュリティ インシデントを修正するために Google と全面的に協力し、そのような事態が発生した場合は、既知または疑われるセキュリティ インシデントについて公表する前に security@google.com に通知することに同意します。
制限付きのスコープ
Workspace の制限付きスコープには次のようなものがあります。
アプリケーションに以下のことを許可する Gmail API スコープ:
- メール本文(添付ファイルを含む)、メタデータ、ヘッダーの読み取り、作成、変更
- メールボックスへのアクセス、メール転送、管理者設定のコントロール
アプリケーションに次の権限を付与する Google Drive API スコープ:
- ユーザーがファイルごとのアクセス権を個別に付与することなく、ユーザーのドライブ ファイルのコンテンツまたはメタデータの読み取り、変更、管理を行う。
アプリケーションに次の権限を付与する Google Chat API スコープ:
- ユーザーの Chat メッセージのコンテンツまたはメタデータを読み取り、変更、管理します。
詳細については、制限付きスコープのリストをご覧ください。