Japan Blog
Google のサービスや技術に関する 最新情報が気になる方へ
Project Strobe: データ保護、サードパーティー API の改善、個人向け Google+ 終了について
2018年11月13日火曜日
多数の第三者が開発するアプリやサービス、およびウェブサイトの多くは、Google のさまざまなサービスを利用して開発され、スマートフォンや、仕事やオンライン上での体験の改善に役立っています。私たちは、この強力なエコシステムを強くサポートしています。しかし、このエコシステムがうまく機能するためには、ユーザーがデータの安全性を信じられるか、また開発者のための明確なルールが確立されているか、この 2 点がますます重要になっています。
Google はこれまで、定期的な内部調査やユーザーからのフィードバックに加え、プライバシー保護とセキュリティへの要求に対応するため、
コントロールの方法とポリシー
を
継続的に
強化して
きました。
今年初めに、Google では「 Project Strobe 」を開始しました。これは、Google アカウントとAndroid デバイスのデータへの、サードパーティの開発者からのアクセスに関して徹底的なレビューを行うと共に、データアクセスに関する抜本的な考え方の見直しのために実施したものです。 同プロジェクトの調査対象は、プライバシー管理の運用方法、データ・プライバシー等を理由にユーザーが利用していない API、開発者に不要に過大なアクセスが許可されているような分野、そして、弊社のポリシーをより厳しくすべきその他の領域でした。
本日、Project Strobe で私たちが行った調査から、以下の通り 4 つの調査結果および対策について発表いたします。
調査結果 1: ユーザーの期待に応える Google+ サービスの開発と維持には、大きな壁が存在する。
対策 1: 一般ユーザー向け Google+ を終了します。
Google では、ユーザーの皆さんから、Google+ 上でアプリと共有するデータをコントロールする方法をより正確に理解したいというフィードバックを以前から頂いていました。そのため Project Strobe では Google+ に関連するすべての API をしっかりと見直すことを優先事項の 1 つとして考えました。
この調査から浮かび上がったのは、エンジニアリングチームが長期に渡り、多大な努力と情熱を持って Google+ の開発に取り組んでは来ましたが、幅広いユーザーや開発者に受入れられるには至らず、利用自体もかなり限られていたという事実でした。一般ユーザー向けの Google+ は現在も利用率が低く、エンゲージメントも Google+ ユーザーセッションの 90 % が 5 秒未満という状況です。
また、今回の調査では Google+ の各種 API と関連するユーザーによるコントロール機能の継続的な開発、維持が困難であることが明らかになりました。また、Project Strobe の一連の調査を通じ、 Google+ の People API に以下のバグを発見しました。
ユーザーは、自分のプロフィールデータおよび友人の公開プロフィール情報へのアクセスを、API を通じて Google+ のアプリに許可できるようになっていました。
今回発見されたバグでは、プロフィール内で ”ユーザーと共有されている” が、公開ではない情報に対しても、アプリがアクセスできるようになっていました。
対象は、Google+ プロフィール内に登録した 名前、メールアドレス、職業、性別、年齢などで、変更頻度の低い項目でした。(すべての項目のリストは
開発者向けサイト
をご覧ください)。 なお、上記のデータには、Google+ の投稿、メッセージ、Google アカウントのデータ、電話番号、G Suite のコンテンツといった、Google+ や他のサービスに投稿ないしは接続した可能性のあるデータは一切含まれていません。
2018 年 3 月にこのバグを 発見し、その後ただちに修正しました。このバグは、公開後に API のやり取りに関する Google+ のコード変更の結果によるものと考えています。
この API のログデータの保存期間は 2 週間と設定していました。これは、プライバシーへの配慮からこのような設計を選んだものですが、このために、同バグの影響を受けた全ユーザー数を完全には確認することはできません。しかし、バグを修正する直前の 2 週間分のデータに関して詳細な分析を行った結果、Google+ の最大 50 万アカウントのプロフィールが影響を受けた可能性がある事が分かりました。 また、同期間中に、最大 438 のアプリがこの API を使用した可能性があります。
開発者たちがこのバグを認識していたり、この API を悪用したりした事実は確認されておらず、プロフィールのデータの誤用を示す事実も確認されていません。
毎年、Google では、プライバシーやセキュリティに関するバグや問題について、何百万という通知をユーザーに送信しています。 ユーザーのデータが影響を受けた可能性があり、それについて通知を行うか否かを判断する際に、私たちは法が定める範疇を超えて、ユーザーに焦点を当てたいくつかの基準を適用しています。
Google の Privacy & Data Protection Office は、今回の件について、関連データの種類を念頭におきつつ、通知すべきユーザーを正確に判別できるか、データ悪用の証拠があるか、そして、本件に対処するために開発者またはユーザーがとれるアクションがあるか、といった基準で内部調査を行いました。しかし、本件においては、上記いずれの基準にも該当しませんでした。
先程も述べたように、本調査の結果、一般ユーザーの期待に応える Google+ サービスの開発と維持には、大きな壁が存在することが分かりました。加えて、利用者数も少ないことから、一般ユーザー向けの Google+ を終了することにしました。
移行期間として 10 か月間かけてサービスを段階的に縮小し、2019 年 8 月末に提供を終了します。今後、数か月にわたり、ユーザーの皆さんにデータのダウンロードや移行方法を含む追加情報をご案内します。
同時に、組織内での Google+ の使用に関しては、その価値を認めてくださる企業のお客様も多数おられます。Google+ は、安全性の高い企業用のソーシャルネットワーク上で、組織内のコミュニケーションを取る、法人向けの使用により適していることが、今回の調査でも明らかになりました。 法人向けサービスでは、組織全体に共通のアクセスルールを設定し、集中管理することが可能です。 私たちは法人向けのサービス開発に専念し、今後もビジネス用の新機能を導入していく意向です。
調査結果 2: ユーザーはアプリに共有するデータを、きめ細かく制御したいと考えている。
対策 2: Google アカウントに紐づく情報へのより細かなアクセス許可を、個々のダイアログボックスで表示します。
アプリが Google アカウントに紐づくデータへのアクセスを求める場合、ユーザーは、具体的にそのアプリが、どのデータへのアクセスを求めているかを毎回確認し、明確な形で許可を与える必要があります。
今後、一般ユーザーは各アプリに対し、アカウントに紐づくどのデータを共有するかを、より細かくコントロールできるようになります。要求されたすべてのアクセス許可を 1 つの画面で表示するのではなく、アプリが要求するアクセス許可一つ一つを、それぞれ、ダイアログボックスで一度に 1 つずつ表示するようになります。例えば、開発者が Google カレンダーの情報と Google ドライブのドキュメントへのアクセスを要求していたとしても、ユーザーは片方のアクセスのみを許可しし、片方をアクセス不可にすることができます。本件については、開発者向けに、詳細を
Google デベロッパー ブログ
に掲載しています。
下の画像は、一般ユーザーの Google アカウントのデータに、アプリがアクセス許可を求める際の現在の画面表示です(ユーザーはこれまでも、権限リクエストを許可するかどうかは選択することができました)。
こちらが今後公開する、アクセス許可の画面表示イメージです。
調査結果3: ユーザーがアプリに対して Gmail へのアクセスを許可する時は、予め想定している使い方がある。
対策3: アクセス許可を与える使用用途を制限します。
一般ユーザー向け Gmail API のユーザー データポリシー
を更新し、個人向け Gmail データへのアクセスを許可するアプリを制限します。メールクライアント、メールバックアップサービス、(CRM や複数メールアカウントの管理サービスなどの)生産性向上サービスなど、メール機能を直接強化するアプリにのみ、アクセス許可をユーザーに求める権限が与えられます。さらに、これらのアプリは Gmail データの処理に関する新しい規則に同意する必要があり、セキュリティ評価の対象となります。 開発者の皆さん向けに詳細な情報を
Gmail デベロッパー ブログ
で公開しています。 (引き続き、
G Suite 管理者
は
ユーザーが利用するアプリを管理する
事ができます)
セキュリティ診断
では、Gmail を含む Google アカウントデータにアクセスできるアプリをいつでも確認・管理できます。
調査結果 4:ユーザーが Android アプリに対して、SMS、連絡先、電話データへのアクセスを許可する場合、予め想定している使い方がある。
対策4:Android デバイス上で、アプリが通話履歴と SMS へのアクセス許可を取得する機能を制限し、Android Contacts API 経由でのコンタクト インタラクション データの提供を停止します。
一部の Android アプリは、電話(通話履歴含む)や SMS データへのアクセス許可を求めています。Google Play では今後、こうしたアクセスを要求できるアプリを制限します。ユーザーが通話やテキストメッセージのデフォルトアプリとして設定したアプリのみが、こうした情報へのアクセスをリクエストできるようになります。(ボイスメールやバックアップアプリなど、いくつかの例外は除きます)。開発者の皆さんにおいては、
Google Play デベロッパー ポリシー センター
と
ヘルプセンター
で詳細をご確認下さい。
さらに、これまで Android Contacts へのアクセス許可に含まれていた、基本的なやり取りのデータ、例えば、最近の連絡先をメッセージアプリが表示する ーー といったことができました。今後、数ヶ月以内に、Android Contacts API から コンタクト インタラクション データへのアクセスを停止します。
今後数か月間をかけて、弊社が提供する API にさらなる制御やポリシーに関するアップデートを実施していきます。その間も、開発者の皆さんに対し、アプリやサービスを適応させるに必要な時間とアップデートの提供を行います。
Google では、ユーザーの皆さんが自分のデータが安全であると感じることができる状態で、幅広く役立つアプリをサポートしたいと考えています。開発者向けには、一層はっきりとしたルールを設けるとともに、ユーザーの皆さんがより簡単にデータを管理できるようにする等、今後も努力を続けてまいります。
Posted by; Ben Smith, Google Fellow and Vice President of Engineering
ラベル
.org
Accessibility
AdSense
AdWords
AI
Android
Android One
Android Pay
API
AR
Blogger
Browser
campaign
Chrome ウェブストア
Chromecast
CM
COVID
CS Edu
Design
Developer
DevFest
Devices and Services
Doodle
Doodle 4 Google
DoubleClick
Driving Directions
Earth
Engineering
Enterprise
Fitbit
Gboard
Gears
GEO
Glass
Gmail
GNI
Google Account
Google Apps
Google Assistant
Google Buzz
Google Chrome
Google Cloud
Google Code Jam
Google Developer Day
Google Earth
Google for Work
Google Home
Google Home app
Google Maps
Google Now
Google One
Google Pay
Google Photo
Google Play
Google Science Fair
Google SketchUp
Google Translate
Google Wallet
Google アートプロジェクト
Google アシスタント
Google クライシスレスポンス
Google ショッピング
Google で、もっと
Google ニュース
Google プレイス
Google マップ
Google 検索
Google 日本語入力
Google+
Googleレンズ
gTLD
Hardware
HTC
iGoogle
JAXA
MBG
Meet
Motion Sense
MUM
Nest
news
Nexus 7
Nexus Player
OpenSocial
Picasa
Pixel
Pixel 4
Pixel Buds
Pixel Fold
Pixel portfolio
Pixel Tablet
Pixel Watch
Playground
Search
Security
SHARP
Soli
Sustainability
Tensor
Tool bar
toolbar
Trend
Women
Women Will
Work Smart
Workspace
YouTube
イノベーション東北、復興支援
イベント
インターンシップ
ウェブレンジャー
エンジニア
エンタープライズ
おみせフォト
カルチャー
クラブ活動
グループ
ごちそうフォト
さがそう
サンタ
ストリートビュー
スペシャルコレクション
スポーツ
セールス
セキュリティ
ツールバー
ディスプレイ
デスクトップ
デベロッパー
ドメイン
トレッカー
パートナー
パートナープログラム
ブラウザ
プログラミング
ヘルプ
マイマップ
モバイル
モバイル Google マップ
モバイル検索
ランキング
リッチ スニペット
音声検索
画像検索
学生
京セラ
教育
検索
広告
高校生
採用
女性の活躍
小笠原諸島
乗換案内
政治・選挙
節電
地図
中学生
東日本大震災
富士山
翻訳
未来へのキオク
未来への働き方コンソーシアム
過去の投稿
2023
6月
5月
4月
3月
2月
2022
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2021
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
2020
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2019
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2018
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2017
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2016
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2015
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2014
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2013
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2012
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2011
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2010
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2009
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2008
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2007
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2006
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
Feed
Follow @googlejapan
Follow
メディア関係者向けお問い合わせ先
メールでのお問い合わせ:
pr-jp@google.com
メディア関係者以外からのお問い合わせにはお答えいたしかねます。
その他すべてのお問い合わせにつきましては、
ヘルプセンター
をご覧ください。
Follow