Project Strobe: データ保護、サードパーティー API の改善、個人向け Google+ 終了について

多数の第三者が開発するアプリやサービス、およびウェブサイトの多くは、Google のさまざまなサービスを利用して開発され、スマートフォンや、仕事やオンライン上での体験の改善に役立っています。私たちは、この強力なエコシステムを強くサポートしています。しかし、このエコシステムがうまく機能するためには、ユーザーがデータの安全性を信じられるか、また開発者のための明確なルールが確立されているか、この 2 点がますます重要になっています。

Google はこれまで、定期的な内部調査やユーザーからのフィードバックに加え、プライバシー保護とセキュリティへの要求に対応するため、コントロールの方法とポリシーを継続的に 強化してきました。

今年初めに、Google では「 Project Strobe 」を開始しました。これは、Google アカウントとAndroid デバイスのデータへの、サードパーティの開発者からのアクセスに関して徹底的なレビューを行うと共に、データアクセスに関する抜本的な考え方の見直しのために実施したものです。 同プロジェクトの調査対象は、プライバシー管理の運用方法、データ・プライバシー等を理由にユーザーが利用していない API、開発者に不要に過大なアクセスが許可されているような分野、そして、弊社のポリシーをより厳しくすべきその他の領域でした。
本日、Project Strobe で私たちが行った調査から、以下の通り 4 つの調査結果および対策について発表いたします。

調査結果 1: ユーザーの期待に応える Google+ サービスの開発と維持には、大きな壁が存在する。

対策 1: 一般ユーザー向け Google+ を終了します。

Google では、ユーザーの皆さんから、Google+ 上でアプリと共有するデータをコントロールする方法をより正確に理解したいというフィードバックを以前から頂いていました。そのため Project Strobe では Google+ に関連するすべての API をしっかりと見直すことを優先事項の 1 つとして考えました。

この調査から浮かび上がったのは、エンジニアリングチームが長期に渡り、多大な努力と情熱を持って Google+ の開発に取り組んでは来ましたが、幅広いユーザーや開発者に受入れられるには至らず、利用自体もかなり限られていたという事実でした。一般ユーザー向けの Google+ は現在も利用率が低く、エンゲージメントも Google+ ユーザーセッションの 90 ％ が 5 秒未満という状況です。
また、今回の調査では Google+ の各種 API と関連するユーザーによるコントロール機能の継続的な開発、維持が困難であることが明らかになりました。また、Project Strobe の一連の調査を通じ、 Google+ の People API に以下のバグを発見しました。

• ユーザーは、自分のプロフィールデータおよび友人の公開プロフィール情報へのアクセスを、API を通じて Google+ のアプリに許可できるようになっていました。
• 今回発見されたバグでは、プロフィール内で ”ユーザーと共有されている” が、公開ではない情報に対しても、アプリがアクセスできるようになっていました。
• 対象は、Google+ プロフィール内に登録した 名前、メールアドレス、職業、性別、年齢などで、変更頻度の低い項目でした。（すべての項目のリストは開発者向けサイトをご覧ください）。 なお、上記のデータには、Google+ の投稿、メッセージ、Google アカウントのデータ、電話番号、G Suite のコンテンツといった、Google+ や他のサービスに投稿ないしは接続した可能性のあるデータは一切含まれていません。
• 2018 年 3 月にこのバグを 発見し、その後ただちに修正しました。このバグは、公開後に API のやり取りに関する Google+ のコード変更の結果によるものと考えています。
• この API のログデータの保存期間は 2 週間と設定していました。これは、プライバシーへの配慮からこのような設計を選んだものですが、このために、同バグの影響を受けた全ユーザー数を完全には確認することはできません。しかし、バグを修正する直前の 2 週間分のデータに関して詳細な分析を行った結果、Google+ の最大 50 万アカウントのプロフィールが影響を受けた可能性がある事が分かりました。 また、同期間中に、最大 438 のアプリがこの API を使用した可能性があります。
• 開発者たちがこのバグを認識していたり、この API を悪用したりした事実は確認されておらず、プロフィールのデータの誤用を示す事実も確認されていません。

毎年、Google では、プライバシーやセキュリティに関するバグや問題について、何百万という通知をユーザーに送信しています。 ユーザーのデータが影響を受けた可能性があり、それについて通知を行うか否かを判断する際に、私たちは法が定める範疇を超えて、ユーザーに焦点を当てたいくつかの基準を適用しています。

Google の Privacy & Data Protection Office は、今回の件について、関連データの種類を念頭におきつつ、通知すべきユーザーを正確に判別できるか、データ悪用の証拠があるか、そして、本件に対処するために開発者またはユーザーがとれるアクションがあるか、といった基準で内部調査を行いました。しかし、本件においては、上記いずれの基準にも該当しませんでした。

先程も述べたように、本調査の結果、一般ユーザーの期待に応える Google+ サービスの開発と維持には、大きな壁が存在することが分かりました。加えて、利用者数も少ないことから、一般ユーザー向けの Google+ を終了することにしました。

移行期間として 10 か月間かけてサービスを段階的に縮小し、2019 年 8 月末に提供を終了します。今後、数か月にわたり、ユーザーの皆さんにデータのダウンロードや移行方法を含む追加情報をご案内します。

同時に、組織内での Google+ の使用に関しては、その価値を認めてくださる企業のお客様も多数おられます。Google+ は、安全性の高い企業用のソーシャルネットワーク上で、組織内のコミュニケーションを取る、法人向けの使用により適していることが、今回の調査でも明らかになりました。 法人向けサービスでは、組織全体に共通のアクセスルールを設定し、集中管理することが可能です。 私たちは法人向けのサービス開発に専念し、今後もビジネス用の新機能を導入していく意向です。

調査結果 2: ユーザーはアプリに共有するデータを、きめ細かく制御したいと考えている。

対策 2: Google アカウントに紐づく情報へのより細かなアクセス許可を、個々のダイアログボックスで表示します。

アプリが Google アカウントに紐づくデータへのアクセスを求める場合、ユーザーは、具体的にそのアプリが、どのデータへのアクセスを求めているかを毎回確認し、明確な形で許可を与える必要があります。

今後、一般ユーザーは各アプリに対し、アカウントに紐づくどのデータを共有するかを、より細かくコントロールできるようになります。要求されたすべてのアクセス許可を 1  つの画面で表示するのではなく、アプリが要求するアクセス許可一つ一つを、それぞれ、ダイアログボックスで一度に 1 つずつ表示するようになります。例えば、開発者が Google カレンダーの情報と Google ドライブのドキュメントへのアクセスを要求していたとしても、ユーザーは片方のアクセスのみを許可しし、片方をアクセス不可にすることができます。本件については、開発者向けに、詳細を Google デベロッパー ブログ に掲載しています。

下の画像は、一般ユーザーの Google アカウントのデータに、アプリがアクセス許可を求める際の現在の画面表示です（ユーザーはこれまでも、権限リクエストを許可するかどうかは選択することができました）。

こちらが今後公開する、アクセス許可の画面表示イメージです。

調査結果3: ユーザーがアプリに対して Gmail へのアクセスを許可する時は、予め想定している使い方がある。

対策3: アクセス許可を与える使用用途を制限します。

一般ユーザー向け Gmail API のユーザー データポリシーを更新し、個人向け Gmail データへのアクセスを許可するアプリを制限します。メールクライアント、メールバックアップサービス、（CRM や複数メールアカウントの管理サービスなどの）生産性向上サービスなど、メール機能を直接強化するアプリにのみ、アクセス許可をユーザーに求める権限が与えられます。さらに、これらのアプリは Gmail データの処理に関する新しい規則に同意する必要があり、セキュリティ評価の対象となります。 開発者の皆さん向けに詳細な情報を Gmail デベロッパー ブログ で公開しています。 （引き続き、G Suite 管理者はユーザーが利用するアプリを管理する事ができます）セキュリティ診断では、Gmail を含む Google アカウントデータにアクセスできるアプリをいつでも確認・管理できます。

調査結果 4：ユーザーが Android アプリに対して、SMS、連絡先、電話データへのアクセスを許可する場合、予め想定している使い方がある。

対策4：Android デバイス上で、アプリが通話履歴と SMS へのアクセス許可を取得する機能を制限し、Android Contacts API 経由でのコンタクト インタラクション データの提供を停止します。

一部の Android アプリは、電話（通話履歴含む）や SMS データへのアクセス許可を求めています。Google Play では今後、こうしたアクセスを要求できるアプリを制限します。ユーザーが通話やテキストメッセージのデフォルトアプリとして設定したアプリのみが、こうした情報へのアクセスをリクエストできるようになります。（ボイスメールやバックアップアプリなど、いくつかの例外は除きます）。開発者の皆さんにおいては、Google Play デベロッパー ポリシー センターとヘルプセンターで詳細をご確認下さい。

さらに、これまで  Android Contacts へのアクセス許可に含まれていた、基本的なやり取りのデータ、例えば、最近の連絡先をメッセージアプリが表示する ーー といったことができました。今後、数ヶ月以内に、Android Contacts API から コンタクト インタラクション データへのアクセスを停止します。

今後数か月間をかけて、弊社が提供する API にさらなる制御やポリシーに関するアップデートを実施していきます。その間も、開発者の皆さんに対し、アプリやサービスを適応させるに必要な時間とアップデートの提供を行います。

Google では、ユーザーの皆さんが自分のデータが安全であると感じることができる状態で、幅広く役立つアプリをサポートしたいと考えています。開発者向けには、一層はっきりとしたルールを設けるとともに、ユーザーの皆さんがより簡単にデータを管理できるようにする等、今後も努力を続けてまいります。