Google Workspace API や Google のデベロッパー プロダクトやサービスを使用するデベロッパー様は、デリケートなユーザーデータを収集、管理することがよくあります。その際は、次の主要原則に留意してください。
- プライバシーを保護する: 禁止されている用途で Google Workspace ユーザーデータを使用しないでください。第三者がユーザーデータを販売したり、広告目的でユーザーデータを使用したりすることを禁止しています。
- 透明性を確保する: 収集するデータ、収集する理由、収集したデータの使用方法について、ユーザーに正確に説明してください。
- ユーザーの希望を尊重する: ユーザーからデータ削除リクエストがあった場合は、尊重してください。
- 安全性を確保する: すべてのユーザーデータを安全に処理し、特定のセキュリティ対策を実施していることを明示する必要があります。
- 具体的にする: アプリまたはサービスの主要機能を提供するうえで必要のないデータへのアクセス権はリクエストしないでください。すべてのデータアクセスは、アプリまたはサービスのユーザー向け機能を提供するためのみに行われる必要があります。
Google ユーザーデータとデベロッパーに関するポリシー
Google API サービスのユーザーデータに関するポリシーは、デベロッパーがユーザーデータへのアクセスをリクエストする際のすべての Google API サービスの使用に適用されます。この Google Workspace ユーザーデータとデベロッパー ポリシーには、ユーザーデータをリクエストする Google Workspace デベロッパー プロダクトとサービス(Gmail、Google Chat、Google ドライブ、Google スプレッドシート、その他の Google Workspace API、MCP、ユーザーデータへのアクセスをリクエストするその他のデベロッパー ツールなど)の使用とアクセスを規定する追加情報が含まれています。
以下のポリシーに加えて、Google API 利用規約、Google Chat の利用規定、Google Chat デベロッパー ガイド、Google Drive API 利用規約、Google ドライブ プログラム ポリシー、Google ドライブ デベロッパー ガイド、Gmail プログラム ポリシー、Gmail デベロッパー ガイド、Google Meet の利用規定、Google Apps Script 利用規約、OAuth 2.0 ポリシーも、Google Workspace デベロッパー プロダクトとサービス、および関連するユーザーデータの使用とアクセスに適用されます。また、Google Workspace Marketplace デベロッパー契約も適用される場合があります。デベロッパー様は、適用されるすべての法律および規制を遵守する必要があります。
これらのポリシーは更新されることがあるため、随時ご確認ください。上記のポリシーに準拠していることを定期的に監視し、確認する責任はデベロッパー様にあります。ポリシーの要件を満たせなくなった場合(または満たせなくなる可能性が高い場合)は、サービスの利用を停止し、Google までご連絡ください。デベロッパー様がこのポリシーに準拠していない場合、Google は Google ユーザーデータへのアクセスを削除または制限する権限を有します。
Gmail スコープの適切なアクセス方法と使用方法
ユーザーデータにアクセスするためのリクエストは、明確にわかりやすく記述してください。Google Workspace デベロッパー プロダクトとサービスは、該当するポリシーと利用規約を遵守したうえで、本ポリシーとデベロッパー ドキュメントによって規定されている承認された用途に限り使用できます。これは、アプリまたはサービスの用途が承認された用途のいずれかに該当する場合に限り、権限へのアクセスをリクエストできることを意味します。アプリまたはサービスの用途が承認された用途のいずれかに該当する場合に限り、Google Workspace デベロッパー プロダクトとサービスへのアクセスをリクエストしてください。
Gmail スコープの権限へのアクセスが承認されるユースケースは次のとおりです。
- ユーザーがユーザー インターフェースを通じてメールの作成、送信、読み取り、処理を行うことができる、組み込みメール クライアントおよびウェブ メール クライアント。
- メールを自動的にバックアップするアプリケーション
- メール利用時の生産性を向上させるアプリケーション(顧客管理、メールの遅延送信、メールの統合、生成 AI による要約の提供などのアプリケーション)
- メールの情報を使用して、メール エクスペリエンスを向上させるレポート サービスやモニタリング サービスをユーザーに提供するアプリケーション(旅行日程の自動化アプリケーション、フライトや荷物の配達ステータスを追跡するアプリケーションなど)
Gmail スコープは、特定のユースケースでは許可されていません。これには、次のようなものがあります。
- モバイル キーボード。
- メールを 1 回限りまたは手動でエクスポートするアプリケーション。
- Gmail のメール メッセージ以外のデータを保存またはバックアップするアプリケーション。
- Google ポリシーを乱用する、Gmail アカウントの制限を迂回する、フィルタやスパムを回避する、またはその他の形で乱用や安全に関する制約を逃れるために複数のアカウントを使用するアプリ。
- 迷惑メールや営利目的のメールを送りつけるアプリ。たとえば、顧客管理などの一括商用メールを送信するアプリケーションは、ユーザーがメールの受信に同意している限り承認されます。
Google ドライブ スコープの適切なアクセス方法と使用方法
アプリまたはサービスの用途が承認された用途のいずれかに該当する場合に限り、ドライブ スコープへのアクセスをリクエストしてください。
ドライブ スコープへのアクセスが承認されるユースケースは次のとおりです。
- ユーザーのドライブ ファイルのローカル同期や自動バックアップが可能な組み込みアプリやウェブアプリ。
- 制限付きスコープのみを使用して、アプリケーションのユーザー インターフェース経由でドライブ ファイル(またはそのメタデータや権限)を処理する生産性向上アプリや教育用アプリ(タスク管理、メモ作成、ワークグループ コミュニケーション、教室でのコラボレーション アプリなど)。
- ファイルがどのように共有またはアクセスされているかについて、ユーザーまたは顧客に分析情報を提供するレポート アプリケーションとセキュリティ アプリケーション。
特定のユースケースでは、ドライブ スコープは許可されていません。これには、次のようなものがあります。
- デベロッパーのアプリまたはプロジェクトからドライブへのユーザーまたはアプリのコンテンツのバックアップ。
- 暗号通貨のマイニング。
- 著作権で保護されたコンテンツの広範な動画配信または拡散を許可なく行うこと。
- 大規模なコンテンツ配信ネットワーク(CDN)の代替手段として Google ドライブを使用する。
- ユーザー ストレージのシャーディングや、ドライブ ストレージの上限の回避を可能にするファイル複製ツール。
- Google ポリシーを乱用する、ドライブ アカウントの制限を迂回する、またはその他の形で乱用や安全に関する制限を逃れるために複数のアカウントを使用するアプリ。
- スパムや未承諾の営利目的のメッセージを配信するアプリ。たとえば、顧客関係管理など、商業目的のメッセージを一括送信するアプリは、ユーザーがメッセージの受信に同意している限り承認されます。
Google Chat スコープの適切なアクセス方法と使用方法
アプリまたはサービスの用途が承認された用途のいずれかに該当する場合に限り、Chat スコープへのアクセスをリクエストしてください。
Chat スコープへのアクセスが承認されるユースケースは次のとおりです。
- ユーザーがユーザー インターフェースを通じて Chat メッセージまたは同様のコミュニケーションの作成、送信、読み取り、処理を行うことができる、組み込みアプリおよびウェブアプリ。
- 生産性向上を目的として Chat のエクスペリエンスを強化するアプリケーション(たとえば、スペース内の他のメンバーにタスクを割り当てることができるタスク管理 Chat 用アプリ)。
- Chat メッセージの情報を使用して、ユーザーのためにレポート サービスやモニタリング サービスを提供するアプリケーション(同僚が不在であることをユーザーに通知するアプリなど)。
- メッセージ、メンバーシップ、グループ、またはその他の同様の Chat 機能をインポートするアプリ。
- Chat API を介して取得したデータを交換し、他のメッセージング プロダクト、サービス、機能と相互運用するために使用するアプリケーション。
特定のユースケースでは、Chat スコープは許可されていません。これには、次のようなものがあります。
- 大規模なコンテンツ配信ネットワーク(CDN)の代替として Chat を使用する。
- Google ポリシーを乱用する、Chat アカウントの制限を迂回する、またはその他の形で乱用や安全に関する制限を逃れるために複数のアカウントを使用するアプリ。
- スパムや未承諾の営利目的のメッセージを配信するアプリ。たとえば、顧客関係管理など、商業目的のメッセージを一括送信するアプリは、ユーザーがメッセージの受信に同意している限り承認されます。
Google Meet スコープの適切なアクセス方法と使用方法
アプリまたはサービスの用途が承認された用途のいずれかに該当する場合に限り、Meet スコープへのアクセスをリクエストしてください。
Meet スコープの権限へのアクセスが承認される用途は次のとおりです。
- ユーザーの利便性を高めるため、ユーザー インターフェースを介して会議の参加者の音声と動画をリアルタイムで処理、ストリーミング、保存できる組み込みのウェブアプリ。
- 生産性向上のために Meet のエクスペリエンスを向上させるアプリケーション(たとえば、スペースで画像を共有できる画面録画アプリ)。
- Meet の情報を使用して、ユーザーのためにレポート サービスやモニタリング サービスを提供するアプリケーション(会議や発言に関する分析情報を提供するアプリなど)。
- Meet REST API を介して取得したデータを交換し、他の動画プロダクト、サービス、機能と相互運用するために使用するアプリケーション。
特定のユースケースでは、Meet スコープは許可されていません。これには、次のようなものがあります。
- 法的な承認または同意なしに Meet のユーザーデータ、コンテンツ、メタデータをモニタリングまたは配布するアプリ。
- 違法な素材や著作権で保護されたコンテンツを無許可で広範囲に動画配信または拡散する。
- 複数のアカウントを使用して Google ポリシーを乱用する、Meet アカウントの制限を迂回する、フィルタやスパムを回避する、またはその他の形で乱用や安全に関する制限を逃れる(悪意のある目的で人物のデジタル改変を保存または配布する、API を使用してユーザーに誤った情報や誤解を招く情報を伝えるなど)アプリ。
最小限の関連する権限をリクエストする
アクセス権限をリクエストできるのは、アプリまたはサービスの機能を実装するために不可欠な場合に限ります。これは次のことを意味します。
必要のない情報へのアクセス権限はリクエストしないでください。リクエストできるのは、アプリの機能またはサービスの実装に必要なアクセス権限のみです。アプリケーションで特定のアクセス権限を必要としない場合、そのアクセス権限はリクエストしないでください。「将来に備えるため」に、現時点ではまだ実装されていないサービスや機能に役立つ可能性のある情報へのアクセス権限をリクエストすることは避けてください。
アクセス権限のリクエストは、可能な限り文脈に沿って行ってください。ユーザーデータへのアクセス権限のリクエストは、データが必要とされる理由をユーザーが理解しやすいように、可能な限り文脈に沿って適切なタイミングで(段階的認証の形で)行うようにしてください。
通知と管理の透明性と正確性
アプリケーションがユーザーデータをどのように扱うかを完全に文書化したプライバシー ポリシーを公開する必要があります。これには、アプリケーションまたはウェブ サービスがユーザーデータを収集、使用、共有する方法を開示する方法も含まれます。また、アプリケーションを一般に公開する際は、OAuth クライアント設定にプライバシー ポリシーの URL を記載する必要があります。
アプリとサービスは、提供されるデータ、そのデータが必要な理由、そのデータの使用方法をユーザーがより的確に理解できるように、ユーザーデータへのアクセス権は、常に状況に合わせて(段階的認証の形で)リクエストする必要があります。たとえば、MCP、ツール、スキル、その他のエージェント動作の呼び出しをユーザーに確認させるよう、きめ細かく要求します。適用される法律に基づく要件に加えて、OAuth 2.0 と Google API サービスのユーザーデータに関するポリシーを反映した以下の要件も遵守する必要があります。
データのアクセス、収集、使用、共有について開示する必要があります。開示については次のことが求められます。
- ユーザーデータへのアクセスを求めるアプリまたはサービスの識別情報を正確に示す。
- アプリベースの場合はアプリ内で、ウェブベースの場合は別のダイアログ ウィンドウ内で開示する。
- アプリベースの場合はアプリの通常使用時に、ウェブベースの場合はウェブサイトに表示する。メニューや設定に移動しないと表示されない開示方法では不十分です。
- アクセス、リクエスト、収集するデータの種類に関して、明確かつ正確な情報を提供する。
- データを使用、共有する方法を示す。1 つの目的でデータをリクエストしながら、別の目的でもデータを使用する場合には、ユーザーに両方の用途を通知する必要があります。
- 開示場所を、プライバシー ポリシーまたは利用規約のみにしない。
- 個人データやセンシティブ データの収集に関係のない他の開示に含めない。
開示は、ユーザーの同意をリクエストするダイアログを表示する直前に行う必要があります。明示的な同意を得る前に収集を開始してはなりません。同意を求める際の要件は以下のとおりです。
- 同意を求めるダイアログをわかりやすい形で、はっきりと表示する。
- ユーザーが同意する手続きとして、肯定的な操作を求める(例: タップで同意する、チェックボックスをオンにする、言葉で指示する)。
- 開示画面から他へ移動する操作(例: タップで移動する、戻るボタンやホームボタンを押す)を同意と見なさない。
- 自動で非表示になるメッセージや閲覧期限付きメッセージを使用しない。
ユーザーがアプリやサービス上で個人データを管理または削除する方法を示すヘルプ ドキュメントを提供する。
ユーザーデータの使用に対する制限
適切な用途で Google Workspace スコープにアクセスする際には、取得したデータを使用する際も、以下の要件を遵守する必要があります。これらの要件は、機密スコープと制限付きスコープの両方から導出されたデータに適用されます。
- データ使用の用途は、リクエスト元アプリのユーザー インターフェースに明確に表示される、適切な用途または機能を提供もしくは改善する場合に限定されます。
データの転送は許可されていません。ただし、次の場合は除きます。
- ユーザーの同意に基づき、リクエスト元アプリのユーザー インターフェースに明確に表示される、適切な用途またはユーザー向け機能を提供もしくは改善する場合。
- セキュリティ上の目的(不正使用の調査など)。
- 適用される法律や規制を遵守するために必要な場合。
- ユーザーから事前に明示的な同意を得た後で、デベロッパーの合併、買収、または資産売買の一環として行う場合。
以下の場合を除き、人にユーザーデータが読まれないようにする必要があります。
- 特定のメッセージ、ファイル、その他のデータを見ることについて、事前にユーザーの明確な同意または肯定的な合意を得て、それを文書化している場合(パスワードを忘れたユーザーがプロダクトやサービスに再度アクセスできるようにする場合など)。
- データ(派生データを含む)を集計、匿名化し、適用されるプライバシー要件および地域のその他の法的要件を遵守した、内部オペレーションのために使用する場合。
- セキュリティ上の目的(バグや不正使用の調査など)で必要な場合。
- 適用される法律や規制を遵守するため。
上記以外のユーザーデータの譲渡、使用、または販売は、以下の行為を含め、すべて禁止されています。
- 広告プラットフォーム、データ ブローカー、情報リセラーなどの第三者にユーザーデータを譲渡または販売すること。
- リターゲティング広告やパーソナライズド広告、インタレスト ベース広告など、広告の配信を目的としてユーザーデータを譲渡、販売、または使用すること。
- 信用力を判断するため、または貸与目的でユーザーデータを譲渡、販売、または使用すること。
- 適切なユースケースまたはユーザー向け機能の特定のユーザーのパーソナライズド モデルを超えて、機械学習モデルまたは人工知能モデルを作成、トレーニング、または改善するためにユーザーデータを譲渡、販売、または使用すること。
デベロッパーは、従業員、エージェント、コントラクター、譲受者に、この Google ユーザーデータとデベロッパーに関するポリシーを確実に遵守させる必要があります。
データの使用が限定使用の制限に準拠していることを示す肯定的な文言または同様の文言を、アプリケーションまたはウェブサービスやアプリケーションに属するウェブサイトで開示する必要があります。たとえば、ホームページから専用ページまたはプライバシー ポリシーへのリンクを設け、「Google Workspace スコープから受け取った情報の使用は、限定使用の要件を含む Google ユーザーデータ ポリシーに準拠します」と記載します。
安全性の高い運用環境の維持
転送中と保存中のすべてのユーザーデータを安全に扱う。デベロッパーは、合理的かつ適切な手順に沿って、Google Workspace API とそこから派生したすべてのデータを使用するすべてのアプリケーションまたはシステムを、不正または違法なアクセス、使用、破壊、紛失、改変、開示から保護する必要があります。また、Google デベロッパー プロダクトとサービスを他のプラットフォーム、サービス、プロトコルと統合する場合は、関連する仕様のドキュメントで推奨されている(該当する場合)セキュリティのベスト プラクティスと必須のセキュリティのベスト プラクティス(モデル コンテキスト プロトコルのセキュリティのベスト プラクティスなど)に準拠してください。
制限付きスコープにアクセスするアプリケーションは、特定のセキュリティ対策を実施していることを示す必要があります。
推奨されるセキュリティ対策としては、たとえば ISO/IEC 27001 などで規定されている情報セキュリティ管理システムを実装して維持することで、アプリまたはウェブサービスを堅牢にし、OWASP トップ 10 に示されているセキュリティ上の一般的な問題がない状態を確保することが挙げられます。
必要なセキュリティ対策の例は以下のとおりです。
業界で認められている暗号化標準を使用して、次のユーザーデータを暗号化する。
- ポータブル デバイスまたはポータブル電子メディアに保存されているデータ。
- Google またはデベロッパー様のシステム外で管理されているデータ。
- デベロッパー様が単独で管理していない外部ネットワークを介して転送されるデータ。
- デベロッパー様のシステムに保存されているデータ。
安全な最新のプロトコルを使用して(HTTPS 経由などで)データを送信する。
ユーザーデータと認証情報(OAuth アクセス トークンや更新トークンなどのトークン)を保存時に暗号化する。
鍵と鍵マテリアルの適切な管理を徹底する(ハードウェア セキュリティ モジュールまたは同等の強度の鍵管理システムに保存するなど)。
Google Cloud Platform の Model Armor またはその他のプロンプト インジェクション保護を使用して、プロンプト インジェクション手法から保護する。
制限付きスコープに必要なセキュリティ対策には、Cloud Application Security Assessment(CASA)に準拠することも含まれます。また、使用している API やユーザー数に応じて、アプリまたはサービスについて定期的なセキュリティ評価を受け、Google が指定した第三者による評価文書を取得する必要がある場合もあります。
お客様は、Google データの保存場所であるシステム、ネットワーク、アカウント、その他の場所への不正アクセス(「セキュリティ インシデント」)が判明した場合、またはその疑いがある場合は、直ちに security@google.com に通知することに同意します。お客様は、既知または疑わしいセキュリティ インシデントを修正するために Google に全面的に協力することに同意します。また、既知または疑わしいセキュリティ インシデントに関する公式発表を行う前に、security@google.com に Google に通知することに同意します。
制限付きスコープ
Google Workspace の制限付きスコープには、次のものがあります。
アプリケーションに以下のことを許可する Gmail API スコープ:
- メール本文(添付ファイルを含む)、メタデータ、ヘッダーの読み取り、作成、変更
- メールボックスへのアクセス、メール転送、管理者設定のコントロール
アプリケーションに次の操作を許可する Drive API スコープ:
- ユーザーがファイルごとのアクセス権を個別に付与することなく、ユーザーのドライブ ファイルのコンテンツまたはメタデータの読み取り、変更、管理を行う。
アプリケーションが次の操作を行うことを許可する Chat API スコープ:
- ユーザーの Chat メッセージのコンテンツまたはメタデータを読み取り、変更、管理します。
アプリケーションに次の操作を許可する Meet REST API スコープ:
- 会議の参加者からの音声と動画のリアルタイム処理を読み取り、変更、管理します。
詳細については、制限付きスコープのリストをご覧ください。