こんにちは。
わたしはGoogleChrome用の拡張機能を開発しています。
最近審査を投げたときにユーザーデータのプライバシーに関しての理由でリジェクトされてしまうことが多かったので、同じような方がいるかもしれないと考え本記事を記載します。
本題の前に
最近では、拡張機能の中に個人情報を盗むような悪質なものも多くなっているということで一部で話題になっています。
500個ものChrome拡張機能が個人情報を盗んでいたことが判明、被害者は170万人を超える - GIGAZINE
Googleでは数年前から拡張機能に対しての権限などをしっかりと審査するようになり、広い権限を持つ拡張機能の場合は数日から数週間といった形でチェックされるようになりました。
本題
私はよく社内の方用に限定公開という形で拡張機能を公開することがありますが、最近拡張機能の審査を投げた際に下記のような理由でリジェクトされることが増えました。
ユーザーのプライバシーに関する条約を記載したページを用意して下さいという内容です。
このリジェクト理由はわたしは初めてだったので数回再審査を投げ、時間を無駄にかけてしまいました。
結論
恐らくこれをやれば審査は通る(はず)
- プライバシーページを用意する
- 旧デベロッパーダッシュボードのデベロッパー アカウント欄のポリシーリンクの更新欄にURLを入力する
プライバシーページを用意する
実際にどのように用意するのかというところですが、これは基本的には自身のホームページ等を持っているのであればそこに1ページ用意すればよいですし、なければ私のようにgithubの静的サイトホスティング等のサービスでWebページを用意すれば大丈夫です。
GithubPagesなどの公開方法はGitHub PagesでWebページを公開する方法 | TechAcademyマガジンなどを参照して下さい。
私がGithubPagesを用いたのは、markdown形式でプライバシーポリシーがかけるという理由ぐらいなので、各々やりやすいようにページを用意できたら大丈夫です。
私はGithubPagesのテンプレートを用いて下記のようなページを用意しました。
内容について
内容についてですが、わたしはこういったポリシーなどを書いたことが無かったためどのような項目を用意する必要があるのかはあまりわかっておりませんでした。
とりあえず下記のような一般的なWebサイトなどのプライバシーポリシーを参考に書ける部分はそのまま流用させていただきました。
【コピペでOK】プライバシーポリシーの書き方|AdSense・Analytics対策 | アフィリエイトで会社の外にも収入源を【liberty-life-blog】
WordPressのプライバシーポリシーの雛形(ひな形)【コピペで簡単】 | FullP Blog
ただし、Chrome拡張はWebページとは少し異なるものでもあるのでソフトウェアの動作などに関わる部分は自身で考えて追加しました。
ただ、Googleからのリジェクトのメールのなかに記載するべきポリシー項目は指示されているので、上記の一般的な項目+拡張機能に必要な設定を追加しました。
プライバシー ポリシーと安全なデータ転送に関する条項では次のことが定められています。
ユーザーの個人情報や機密情報(個人を特定できる情報、財務状況や支払いに関する情報、健康に関する情報、認証情報、ウェブサイトのコンテンツとリソース、フォームデータ、ウェブの閲覧アクティビティ、ユーザー提供のコンテンツ、個人の通信内容を含む)をアイテムで取り扱う場合は、次の要件を満たしている必要があります。
プライバシー ポリシーを掲載する。
ユーザーデータを安全に取り扱う(最新の暗号化方法で転送するなど)。
このポリシーに準拠するには、次のようにします。
Chrome ウェブストア デベロッパー ダッシュボードの該当する欄にプライバシー ポリシーへの有効なリンクを記載します。
リンクはご自身が所有するプライバシー ポリシーのものとします。
プライバシー ポリシーでは、アイテムでユーザーデータをどのように収集、使用、共有するかについての詳細(共有先がどのような当事者かといった情報も含む)をすべて、正確かつ十分に開示する必要があります。
上記の記載するべき項目を自身のプライバシーポリシーの項目に記載して、アクセスできる形になれば準備は完了です。
旧デベロッパーダッシュボードのデベロッパー アカウント欄のポリシーリンクの更新欄にURLを入力する
こちらについてですが、入力する場所を勘違いしていて無駄に時間がかかってしまいました。
メールにプライバシーポリシーの記載をしろとあったので、私はこのページに情報を追加しました。
新しいダッシュボードの拡張機能詳細画面にある、「プライバシー」欄ですね。
ただし、ここに入力した場合ではわたしは審査に通らなかったです
入力をしたのは、旧ダッシュボードの下部に表示されるプライバシーポリシーのリンクを更新 とかかれた欄です。
こちらに入力を行ったら数日で審査が通りました。
(それじゃあ新ダッシュボードのプライバシー欄は何の意味が・・?という感想です)
この場所に入力したらどの拡張機能でも同じプライバシーポリシーになるのか・・などなどちょっと疑問はありますが、ひとまず審査に通すというところは達成したのでとりあえずよかったです。
ポリシーの例
わたしの記載したポリシーの例を載せておきます。
これは私が個人用にChrome拡張機能を開発するために用意したものです、これを引用・参考にした結果発生した問題などは責任を一切負いません。
# Privacy policy for Chrome extensions developed by test
## Chrome拡張のプライバシーポリシー
本プライバシーポリシーは、test(以下、「当開発者」)が開発したGoogleChromeの拡張機能(Extension)(以下、「拡張機能」とします。)の利用において、利用者の個人情報もしくはそれに準ずる情報を取り扱う際に、当開発者が遵守する方針を示したものです。
### 基本方針
当開発者は、個人情報の重要性を認識し、個人情報を保護することが社会的責務であると考え、個人情報に関する法令を遵守し、拡張機能で取扱う個人情報の取得、利用、管理を適正に行います。
### 適用範囲
本プライバシーポリシーは、当開発者が開発した拡張機能においてのみ適用されます。
### 個人情報の取得と利用目的
当開発者は、個人情報を収集する機能を要した拡張機能を公開しません。
**ただし、一部個人情報を利用者のブラウザのLocalStorageに保存します。**
#### 取得方法
拡張機能内に、個人情報の入力フォームを表示します。
フォームに入力された内容は、ブラウザ内のLocalStorageに保存されます。
#### 利用目的
##### 利便性の向上
拡張機能では、機能の内容により、下記の情報を**「ブラウザのLocalStorage」へ保存します**
- 拡張機能で用いるログインID
- 拡張機能で用いるログインパスワード
- その他拡張機能上に入力されたテキスト内容
これにより、拡張機能の次回利用時などにログイン情報が自動的に入力されるため手間を省くことが可能になり、利便性が向上します。
**個人情報は当開発者に送信されず拡張機能利用者のブラウザのLocalStorageに保存されます**
##### 保存期間について
拡張機能内でデータの扱いとして、LocalStorageを使用します。
LocalStorageには保存期間が存在しないためデータの保存期間は拡張機能のアンインストール時までとします。
#### 個人情報の取り扱いの同意について
当開発者が開発を行った拡張機能では、拡張機能のインストールを行う前に、当プライバシーポリシーをご一読頂くようにお願いします。
インストールをされた時点で、当プライバシーポリシーに同意されたとみなします。
#### Cookieによる個人情報の取得
拡張機能では、Cookieを利用することがあります。
Cookie(クッキー)とは、ウェブサイトを利用したときに、ブラウザとサーバーとの間で送受信した利用履歴や入力内容などを、訪問者のコンピュータにファイルとして保存しておく仕組みです。
##### 利用目的について
拡張機能の利用者の利便性を向上するために活用します。
ログイン処理や画面遷移を拡張機能から行う際に、Cookieを活用することでユーザーの手間を省いてデータの処理が可能となります。
なお、拡張機能ではプライバシー保護のため、拡張機能の目的とする情報以外のCookieを送信しません。
##### 保存期間について
Cookieの保存期間は利用者のブラウザーにて設定されているデフォルトの期間保存されます。
### 個人情報の管理
当開発者は、拡張機能内における個人情報の管理について、以下を徹底します。
#### 情報の正確性の確保
利用者が入力したデータにおいて、常に正しい情報を保持します。
#### 安全管理措置
拡張機能において、情報の漏洩、滅失を防止するために拡張機能内において利用目的外のサーバーへの情報送信を行いません。
#### 個人情報の第三者への提供について
当開発者の開発する拡張機能は、利用者から提供いただいた個人情報を、訪問者本人の同意を得ることなく第三者に提供することはありません。
また、今後第三者提供を行うことになった場合には、提供する情報と提供目的などを提示し、訪問者から同意を得た場合のみ第三者提供を行います。
#### 問い合わせ先
拡張機能、又は個人情報の取扱いに関しては、下記のメールアドレスにてお問い合わせください。
メールアドレス:test@test.com
## 策定日
令和x年y月zz日 策定
内容は以上です。
##参考
500個ものChrome拡張機能が個人情報を盗んでいたことが判明、被害者は170万人を超える - GIGAZINE
GitHub PagesでWebページを公開する方法 | TechAcademyマガジン
【コピペでOK】プライバシーポリシーの書き方|AdSense・Analytics対策 | アフィリエイトで会社の外にも収入源を【liberty-life-blog】