Google Workspace API を使用するデベロッパーの多くは、機密性の高いユーザーデータを収集して管理します。以下の基本原則に留意してください。
- プライバシーの保護: Workspace のユーザーデータを禁止されている用途に使用しないでください。Google は、第三者がユーザーデータを販売することや、広告目的でユーザーデータを使用することを禁止しています。
- 透明性を保つ: 収集するデータ、収集する理由、使用方法を正確にユーザーに示し、説明してください。
- 常に尊重する: ユーザーのデータ削除リクエストは尊重してください。
- 安全性の確保: すべてのユーザーデータを安全に処理し、特定のセキュリティ対策を遵守していることを実証します。
- 具体的に: 不要なデータへのアクセスはリクエストしないでください。すべてのデータアクセスは、アプリケーションまたはサービスのユーザーにとって有益な機能を提供する目的でのみ行われるべきです。
Workspace API サービスのユーザーデータに関するポリシー
デベロッパーであるお客様がユーザーデータへのアクセスをリクエストした場合の Google API サービスの使用には、Google API サービスのユーザーデータ ポリシーが適用されます。この Workspace API サービスのユーザーデータとデベロッパー ポリシーには、ユーザーデータへのアクセスをリクエストする場合に、Workspace API(Gmail、Chat、ドライブ、スプレッドシート、その他の Google Workspace プロダクトを含む)の使用とアクセスを管理する追加情報が記載されています。
以下のポリシーに加え、Google API 利用規約、 Google Chat 利用規定、 Google Chat デベロッパー ガイド、 Google Drive API 利用規約、 Google ドライブ プログラム ポリシー、 Google ドライブ デベロッパー ガイド、 Gmail プログラム ポリシー、 Google Apps 関連のユーザー サービス データ Google Apps API へのアクセス Google Apps API の OAuth2 データに適用される。利用には Google Workspace Marketplace デベロッパー契約も適用される場合があります。また、適用されるあらゆる法律および規制を遵守していただく必要があります。
これらのポリシーは更新されることがありますので、随時ご確認ください。 これらのポリシーへの準拠を定期的にモニタリングし、確認することはお客様の責任です。ポリシーの要件を満たせない場合(または満たすことができないリスクが高い場合)は、直ちにサービスの利用を中止し、Google までご連絡ください。お客様がこのポリシーに準拠していない場合、Google は Google ユーザーデータを削除または制限する権限を有します。
Google Gmail API への適切なアクセスと使用
ユーザーデータへのアクセス リクエストは、明確で理解しやすいものにする必要があります。Google Workspace API の使用には、適用されるポリシー、利用規約、および本ポリシーに定める承認済みのユースケースが適用されます。つまり、アプリケーションまたはサービスが承認されたユースケースのいずれかを満たしている場合にのみ、権限へのアクセスをリクエストできます。アプリケーションまたはサービスが Google の承認済みユースケースのいずれかを満たしている場合にのみ、Workspace API へのアクセスをリクエストしてください。
Gmail API スコープの権限へのアクセスが承認されているユースケースは次のとおりです。
- 組み込みのウェブメール クライアント。ユーザーがユーザー インターフェースからメールを作成、送信、閲覧、処理できます。
- メールを自動的にバックアップするアプリケーション
- 生産性のためにメール エクスペリエンスを強化するアプリケーション(顧客管理、メールまたはメールへの差し込みの遅延送信、生成 AI によるサマリーの提供など)
- メールの情報を使用して、ユーザーのためにレポート サービスやモニタリング サービスを提供するアプリケーション。メール エクスペリエンスを向上させるアプリケーション(旅行プランを自動化するアプリケーション、フライトや荷物の配達ステータスを追跡するアプリケーションなど)
次のアプリケーションの種類は、Gmail API スコープへのアクセスが承認されていないアプリの例です。たとえば、次のようなソリューションがあります(ただし、これらに限定されません)。
- モバイル キーボード。
- 1 回限りまたは手動でメールをエクスポートするアプリケーション。
- メール以外のデータを Gmail に保存またはバックアップするアプリケーション。
- 複数のアカウントを使用して、Google ポリシーを悪用する、Gmail アカウントの制限を回避する、フィルタや迷惑メールを回避する、またはその他の方法で制限を回避するアプリケーション。
- 迷惑メールや迷惑メールを配信するアプリケーション。たとえば、顧客関係管理などの商用メールを一括送信するアプリケーションは、ユーザーがメールの受信に同意している限り承認されます。
Google Drive API への適切なアクセスと使用
アプリケーションまたはサービスが Google の承認済みユースケースのいずれかを満たしている場合にのみ、Google Drive API へのアクセスをリクエストします。
Google Drive API のスコープ権限へのアクセスが承認されているユースケースは次のとおりです。
- ユーザーのドライブ ファイルのローカル同期または自動バックアップを行う、組み込みのウェブアプリとウェブアプリ。
- 生産性向上アプリケーションや教育アプリケーション(タスク管理、メモ作成、ワークグループ コミュニケーション、クラスルーム コラボレーション アプリケーションなど)。制限付きスコープのみを使用して、アプリケーションのユーザー インターフェースを介してドライブのファイル(またはそのメタデータまたは権限)を処理する。
- ファイルの共有方法やアクセス方法についてユーザーやお客様に分析情報を提供するレポートとセキュリティ アプリケーション。
Google Drive API は、次のような特定のユースケースでは使用できません。
- デベロッパーのアプリやプロジェクトからドライブに、ユーザーやアプリのコンテンツをバックアップする。
- 暗号通貨マイニング。
- 著作権で保護されたコンテンツを無断で幅広く配信または拡散している。
- 大規模なコンテンツ配信ネットワーク(CDN)の代替としてドライブを使用する。
- ユーザー ストレージのシャーディングやドライブ ストレージ上限の回避を可能にするファイル クローン作成ツール。
- 複数のアカウントを使用して Google ポリシーを不正使用したり、Google ドライブ アカウントの制限を回避したり、その他の方法で制限を無効にしたりするアプリケーション。
- スパムや未承諾の商業的メッセージを配信するアプリケーション。たとえば、顧客関係管理などの商用メッセージを一括送信するアプリケーションは、ユーザーがメッセージの受信に同意している限り承認されます。
Google Chat API の適切なアクセスと使用
アプリケーションまたはサービスが Google の承認済みユースケースのいずれかを満たしている場合にのみ、Google Chat API へのアクセスをリクエストしてください。
Google Chat API のスコープ権限へのアクセスが承認されているユースケースは次のとおりです。
- ユーザーがユーザー インターフェースを介して Chat メッセージや同様のコミュニケーションを作成、送信、読み取り、処理できる組み込みのウェブアプリ。
- 生産性を高めるために Chat のエクスペリエンスを強化するアプリケーション(たとえば、スペース内の他のメンバーにタスクを割り当てることができるタスク管理の Google Chat アプリ)。
- Chat メッセージの情報を使用して、ユーザーのためにレポート サービスやモニタリング サービスを提供するアプリケーション(同僚が不在であることをユーザーに通知する場合など)。
- メッセージ、メンバーシップ、グループ、その他の同様の Google Chat 機能をインポートするアプリケーション。
- Google Chat API を介して取得したデータを交換して利用し、他のメッセージング プロダクト、サービス、機能と相互運用するアプリケーション。
Google Chat API は、次のような特定のユースケースでは使用できません。
- Chat を大規模なコンテンツ配信ネットワーク(CDN)の代替として使用する。
- 複数のアカウントを使用して Google ポリシーを不正使用したり、Google Chat アカウントの制限を回避したり、その他の方法で制限を無効にしたりするアプリケーション。
- スパムや未承諾の商業的メッセージを配信するアプリケーション。たとえば、顧客関係管理などの商用メッセージを一括送信するアプリケーションは、ユーザーがメッセージの受信に同意している限り承認されます。
必要最小限の権限だけをリクエストする
アクセス権をリクエストできるのは、アプリまたはサービスの機能の実装に不可欠な権限のみです。これは次のことを意味します。
不要な情報へのアクセス権はリクエストしない。アクセスをリクエストするのは、アプリの機能やサービスの実装に必要な権限のみです。アプリケーションで特定の権限へのアクセスが必要ない場合は、その権限へのアクセスをリクエストしないでください。まだ実装していないサービスや機能にメリットをもたらす可能性のある情報へのアクセスをリクエストして、ユーザーデータへのアクセスを「将来に備える」ことは避けてください。
可能な場合は、状況に応じて権限をリクエストします。ユーザーがデータが必要な理由を理解できるように、可能な限り、コンテキスト内(増分認証を使用)でユーザーデータへのアクセスをリクエストしてください。
透明性が高く正確な通知と管理
アプリケーションまたはウェブサービスでユーザーデータを収集、使用、共有する方法を開示するプライバシー ポリシーを用意する必要があります。
アプリケーションとサービスは、データが必要なコンテキストと、そのデータの使用方法に応じて(増分認証を介して)ユーザーデータへのアクセスをリクエストする必要もあります。適用される法律で定められた要件に加えて、次の要件にも準拠する必要があります。これらの要件は、OAuth 2.0 および Google API サービスのユーザーデータに関するポリシーを反映しています。
お客様は、データのアクセス、収集、使用、共有に関する情報を開示する必要があります。情報開示の要件:
- ユーザーデータへのアクセスを必要とするアプリケーションまたはサービスの ID を正確に表す。
- アプリケーション ベースの場合はアプリケーション内に、ウェブベースの場合は別のダイアログ ウィンドウに配置する必要があります。
- アプリケーション ベースの場合はアプリの通常使用時に表示し、ウェブベースの場合はウェブサイトの通常の使用時に表示し、メニューや設定への移動をユーザーに求めないこと。
- アクセス、リクエスト、収集するデータの種類を、明確かつ正確に説明する必要があります。
- データがどのように使用、共有されるかを説明する必要があります。1 つの理由でデータをリクエストしても、そのデータが二次的な目的にも使用される場合は、両方のユースケースについてユーザーに通知する必要があります。
- プライバシー ポリシーや利用規約の中だけに掲載することはできません。
- 個人情報や機密情報の収集に関係のない他の開示の中に掲載しないこと。
開示は、ユーザーの同意を求めるリクエストに付随して直前に表示される必要があります。明確な同意を取得する前にデータ収集を開始することはできません。同意のリクエスト:
- 同意ダイアログは、あいまいでないことを明確に示す必要があります。
- 同意するために、肯定的なユーザー アクション(例: タップで同意する、チェックボックスをオンにする、音声による指示)を求めること。
- 開示画面から他へ移動する操作(例: タップで移動する、戻るボタンやホームボタンを押す)を同意と見なさないこと。
- 自動で非表示になるメッセージや閲覧期限付きメッセージを利用することはできません。
ユーザーがアプリやサービスからデータの管理や削除を行う方法を説明するユーザーヘルプ ドキュメントを提供する必要があります。
限定的なユーザーデータ使用
適切な使用のために Workspace API にアクセスする場合、取得したデータの使用は、以下の要件を満たす必要があります。これらの要件は、Sensitive スコープと Restricted スコープの両方から派生したデータに適用されます。
- データの使用は、リクエスト元のアプリのユーザー インターフェースに表示され、目立つよう、適切なユースケースまたは機能の提供または改善に限定してください。
以下の場合を除き、データの転送は許可されません。
- ユーザーの同意がある場合にのみ、リクエスト元のアプリのユーザー インターフェースに表示され、目立つように表示される適切なユースケースやユーザー向けの機能を提供または改善する。
- セキュリティ上の目的(不正行為の調査など)のため
- 適用される法律や規制を遵守するため。
- ユーザーから事前に明示的な同意を得るした後の、デベロッパーの合併、取得、または資産の売却。
以下の場合を除き、人によるユーザーデータの読み取りを許可しないでください。
- 特定のデータを読み取ることについて、ユーザーから明示的な同意を取得し、文書化している(たとえば、ユーザーがパスワードを紛失した後にプロダクトやサービスに再びアクセスできるようにするなど)。
- データ(派生データを含む)は、適用されるプライバシー要件およびその他の法的要件に従って、集計および匿名化され、内部業務に使用されます。
- セキュリティ上の目的(不正行為の調査など)で必要な場合。
- 適用される法律や規制を遵守するため。
以下を含む、その他のユーザーデータの転送、使用、販売はすべて完全に禁止されています。
- 広告プラットフォーム、データ ブローカー、情報再販業者などの第三者にユーザーデータを転送または販売すること。
- リターゲティング、パーソナライズド広告、インタレスト ベース広告など、広告を配信するためのユーザーデータの転送、販売、使用。
- 信用力の判断や融資を目的としたユーザーデータの転送、販売、使用。
- 適切なユースケースやユーザー向けの機能に合わせて、特定のユーザーのパーソナライズされたモデルを超えて、ML モデルや AI モデルを作成、トレーニング、改善するためにユーザーデータを転送する、販売、または使用すること。
データの使用が、お客様のウェブサービスまたはアプリケーションに属するウェブサイトで、データの使用が限定使用に関する制限を遵守していることを表明する文言またはその他の同様の記述。たとえば、「Workspace API から受け取る情報の使用は、データ共有の制限に関する同様の要件」のセクションを含め、Google ユーザーデータ ポリシー(使用に関する制限条項)に準拠します。
安全な運用環境を維持する
すべてのユーザーデータは転送中も保存時も安全に扱う。Workspace API を利用するすべてのアプリとシステム、およびそこから派生したデータを、不正または違法なアクセス、使用、破壊、紛失、改変、開示から保護するために、合理的かつ適切な措置を講じてください。
制限付きスコープにアクセスするアプリケーションは、特定のセキュリティ対策を遵守していることを実証する必要があります。
推奨されるセキュリティ対策には、ISO/IEC 27001 で概説されている情報セキュリティ管理システムの実装と保守が含まれます。また、アプリケーションまたはウェブサービスが堅牢で、OWASP トップ 10 で規定されている一般的なセキュリティ問題がないことを確認する必要があります。
必要なセキュリティ対策は次のとおりです。
業界標準の暗号化標準を使用して、次のようなユーザーデータの暗号化を行います。
- ポータブル デバイスまたはポータブル電子メディアに保存される。
- Google またはお客様のシステム外で管理される
- お客様が単独で管理していない外部ネットワーク経由の転送。
- システム上の保存時。
最新の安全なプロトコルを使用したデータの送信(HTTPS 経由など)。
ユーザーデータと認証情報、特に OAuth アクセス トークンや更新トークンなどのトークンを保存時に暗号化する。
鍵と鍵マテリアルを適切に管理する(ハードウェア セキュリティ モジュールや同等の強度の鍵管理システムに保存するなど)。
制限付きスコープに必要なセキュリティ対策には、クラウド アプリケーション セキュリティ評価(CASA)も含まれます。また、アクセスされる API と、ユーザーの許可またはユーザー数によっては、アプリケーションまたはサービスに定期的なセキュリティ評価を実施し、Google が指定する第三者から評価書を取得することが必要になる場合があります。
お客様は、Google データが保存されているシステム、ネットワーク、アカウント、またはその他の場所への不正アクセスまたは不正が疑われる場合は、速やかに Google(security@google.com)に通知することに同意します(以下「セキュリティ インシデント」)。お客様は、既知または疑わしいセキュリティ インシデントを是正するために Google と全面的に協力し、そのような場合には、既知または疑わしいセキュリティ インシデントについて公表する前に、Google(security@google.com)に通知することに同意します。
制限付きスコープ
Workspace の制限付きスコープは次のとおりです。
アプリケーションに以下を許可する Gmail API スコープ。
- メール本文(添付ファイルを含む)、メタデータ、ヘッダーの読み取り、作成、変更
- メールボックスへのアクセス、メール転送、管理者設定を制御します。
アプリケーションに以下を許可する Google Drive API スコープ:
- ユーザーがファイルごとのアクセス権を個別に付与することなく、ユーザーのドライブ ファイルのコンテンツまたはメタデータの読み取り、変更、管理。
アプリケーションに以下を許可する Google Chat API スコープ。
- ユーザーの Chat メッセージのコンテンツまたはメタデータの読み取り、変更、管理。
詳細については、制限付きスコープのリストをご覧ください。