プライバシーポリシーの作成・運用

スマホアプリ審査におけるプライバシーポリシーの指摘と対処法

/ 更新: by プライバシーポリシーの専門家:ビーンズ行政書士事務所

App StoreやGoogle Playでアプリを配信する場合、プラットフォームの審査を受ける必要があります。その審査項目の1つに、個人情報の取扱いに関する事項も存在します。

この審査でプライバシーポリシーの不備を指摘された場合、どこをどう修正すればよいのか、すぐには判断しにくいことも多いようです。

この記事では、プライバシーポリシーや個人情報取扱いに関する審査で指摘される主な原因と、「とりあえず指摘箇所だけ直して再申請」という対応がなぜ根本解決にならないかを整理します。あわせて、自力対応できるケースとそうでないケースの判断基準についても触れます。

なお、参照している審査基準はこちらです。
App Review Guidelines
Google デベロッパー プログラム ポリシー

なぜプライバシーポリシーで審査に落ちるのか

プライバシーポリシーを理由とした審査の差し戻しは、記載の「有無」だけが問題になるわけではありません。内容の具体性、他の申告内容との整合性、アプリ内の実装との一致まで含めて確認されます。プラットフォームごとに確認ポイントが異なるため、それぞれ整理しておきます。

App Store

Appleの審査では、App Store Connectに記載されたプライバシーポリシーが確認されます。プライバシーポリシー関連での指摘として考えられる類型は以下の通りです。

  • App Store ConnectへのURLが未登録、リンク切れ、またはアクセス制限がかかっている
  • 収集するデータの種類(位置情報・カメラ・連絡先・端末識別子など)が未記載、または曖昧な記載にとどまっている
  • 利用目的が「適切に管理します」「サービスの向上のために利用します」といった抽象的な表現のみになっている
  • サードパーティSDK(Firebase、Adjustなど)経由のデータ収集について記載がない
  • データの保管期間・削除方針が示されていない
  • ユーザーが同意を撤回する方法についての説明がない
  • IDFA利用や追跡(トラッキング)に関する説明・同意取得設計との不整合
  • アカウント機能があるにもかかわらず、アカウント削除手段が提供されておらず、ポリシーにも言及がない

Google Play

Google PlayはPlay Consoleの「データセーフティ」セクションへの明確な記載と、その記載内容との整合性を大切です。以下の点が問題になるケースが多いです。

  • ストアの掲載ページとアプリ内の両方にプライバシーポリシーが掲載されていない
  • ポリシーのURLがPDF形式になっている(Googleの要件では、どの国からでもアクセスできる通常のWebページであり、かつ編集不可である必要があります)
  • データセーフティセクションへの申告内容・アプリ内での開示・ポリシーの記載が整合していない
  • 収集・利用・共有するユーザーデータの種類、目的、共有先の開示が不十分
  • アカウント作成機能があるアプリで、アプリ内の削除導線に加え、アプリ外からの削除請求用WebリンクをPlay Consoleに登録していない

両プラットフォームに共通すること

審査基準は随時見直されています。以前の審査を通過したポリシーであっても、機能追加のタイミングで行われる再審査やアップデート審査で初めて指摘を受けるケースもあります。
以前は問題無かったような場合でも、現時点での通過を保証するものではありません。

→ 関連記事:スマホアプリ提供時に求められるプライバシーポリシーとは

よくある不備と、なぜそれが問題なのか

審査で指摘される不備には、いくつかの典型的なパターンがあります。
もちろん、プライバシーポリシーの文章自体は各社ごとに異なりますので、ここでは文言のテンプレートを示すのではなく、「なぜその記載が必要なのか」「どこが事業ごとに変わってくるのか」という観点で整理します。

ケース① サードパーティSDKによるデータ収集が開示されていない

アプリ開発では、分析・広告・クラッシュ検知などの目的でSDKを組み込むことが一般的です。しかし審査では、ポリシー本文の内容だけでなく、実際のSDK構成・アプリ内での権限要求・データセーフティ申告との整合まで確認されます。

問題になるのは記載の有無だけではなく、法的な位置づけにも留意する必要があります。
組み込んでいるSDKが「委託先」にあたるのか、「第三者提供先」にあたるのかによって、個人情報保護法上の位置づけと必要な記載の内容が変わります。自社が利用している全SDKを把握し、それぞれのデータ収集内容を確認した上で書き分ける必要があるため、実態を正確に把握できていないと対応が難しくなります。

この判断には、法令上の整理だけでなく、SDKの動作やデータフローを技術的に把握していることが前提になります。行政書士としての個人情報保護法の解釈と、情報処理安全確保支援士としてのSDK・データフロー確認の両面から検討できる体制が、ここで意味を持ちます。

→ 関連記事:個人情報の取扱いの委託とは?委託先の監督義務と”混ぜるな危険”問題

ケース② データセーフティセクションとポリシーの内容が合っていない(Google Play)

Google Playのデータセーフティセクションは、Play Consoleへの申告・プライバシーポリシーの記載、および必要な場合のアプリ内開示が整合していることを求めています。Googleの要件をまとめると、「データセーフティセクションに入力した情報が正確であること」「ポリシーとの整合性があること」「プライバシーポリシーはデータセーフティで開示した内容に限らず包括的であること」の3点です。

申告とポリシーがそれぞれ別のタイミングで作成されているケースでは、気づかないうちに内容が食い違っていることがあります。申告内容に合わせてポリシーを修正したつもりでも、アプリ内での開示との整合まで確認できていないと、再度差し戻しになることがあります。

ケース③ 利用目的の記載が抽象的すぎる

「個人情報を適切に管理します」「サービス向上のために利用します」といった表現は、AppleやGoogleが求める「具体的な開示」の要件を満たさないと判断される可能性があります。
また、こういった表現は、個人情報保護法上求められる利用目的の説明としても不十分と考えられます。

「何のデータを」「どの目的に」「いつまで」使うのかを、自社のサービス実態に即して記載する必要があります。また、将来の機能追加によって収集データや利用目的が変わる場合は、その都度ポリシーの改定が必要になるため、変更しやすい設計を最初から意識しておくことも重要です。

ケース④ 同意撤回・アカウント削除の導線が整備されていない

Appleは、アカウント機能があるアプリに対してアプリ内でのアカウント削除開始導線を求めており、その旨をポリシーにも記載することが必要とされています。Google Playについても、アプリ内の削除導線に加えて、アプリ外からも削除請求を行えるリンクをPlay Consoleに登録することが求められています。

単にポリシーに文言を追加するだけでは対応が完結しない点がポイントです。実装・Console登録・ポリシー記載の3点を揃えることが求められます。

「指摘箇所だけ修正」が解決にならない理由と、自力対応の限界

修正と再申請のループが起きる構造的な原因

テンプレートや他社のポリシーを参考にして作成したプライバシーポリシーは、自社のデータフローが反映されていないケースが多く見られます(これはアプリのポリシーに限ったものではありませんが)。審査で指摘された箇所は「発見された問題の一部」であり、同じ構造的な問題が他の箇所にも残っている可能性は高いです。1箇所修正しても再度指摘される、というループが起きるのはこのためです。

また、審査基準と個人情報保護法は別物です。審査を通過したからといって、法令上の問題がないことを意味するわけではありません。

そのため、審査対応を機に全体を整備しておかないと、審査とは別の文脈でリスクが残り続けることになります。

自力での対応が難しくなるケース

次のいずれかに当てはまる場合、指摘箇所だけを修正して再申請するアプローチでは、同じ問題が繰り返されやすくなります。

  • 組み込んでいるSDKが複数あり、それぞれのデータ収集内容を正確に把握できていない
  • データセーフティの申告内容・ポリシー・アプリ内開示のどこが整合していないか特定できない
  • アカウント削除の実装・Play Console登録とポリシーの記載が一致しているか確認できていない
  • 現行のプライバシーポリシーがテンプレートや生成AIを利用したもの、または他社からの流用である
  • 個人情報保護法上の要件も同時に満たしているか確認したい
  • 機能追加やサービス拡張を控えており、将来にも対応できる設計にしておきたい

審査コメント・現行ポリシー・利用中のSDKのリスト・データセーフティの申告内容などから、SDK・権限・データセーフティ申告・現行ポリシーを突き合わせて不整合箇所を整理します。修正箇所の特定だけのご相談も可能です。

審査コメントと現行ポリシーについて相談する

セルフチェックリスト

専門家の手を借りずに自分で確認・対応を進める場合は、以下の項目を順番に確認してみてください。

  1. プライバシーポリシーのURLをApp Store Connect や Play Consoleにも登録しているか
  2. 収集するデータの種類(位置情報・カメラ・連絡先・端末識別子など)を具体的に列挙しているか
  3. 利用目的が抽象的な表現にとどまっていないか
  4. 利用しているサードパーティSDKによるデータ収集をすべて開示しているか
  5. データの保管期間と削除方針を記載しているか
  6. 同意の撤回手段とアカウント削除の方法をポリシーに記載しているか
  7. Google Playの場合、データセーフティの申告内容・ポリシー・必要な場合のアプリ内開示が整合しているか
  8. アカウント機能があるGoogle Playアプリの場合、アプリ外からの削除請求用リンクをPlay Consoleに登録しているか
  9. 個人情報取扱責任者と問い合わせ窓口が明記されているか

各項目を確認すること自体はできても、「自社の実態に照らして正確に記載できているか」を判断するには、事業内容のヒアリングと審査基準・個人情報保護法の両面からの検討が必要です。チェックリストを埋めた後に不安が残る箇所があれば、それが専門家に確認を依頼するタイミングです。

ご相談時に確認する内容

初回のご相談では、以下の内容を確認した上で、問題箇所の特定と対応方針を整理します。

  • 審査コメントの指摘箇所
  • 現行プライバシーポリシー
  • 利用中のSDKの種類
  • データセーフティの申告内容
  • アカウント削除・同意撤回の導線(アプリ内実装とPlay Console登録の状況)
  • App Store Connect / Play Consoleの登録状況

これらを確認することで、指摘箇所のみの修正で対応できるケースなのか、ポリシー全体の見直しが必要なケースなのかを判断できます。また、審査基準上の問題に加えて、個人情報保護法上の観点からも合わせて確認します。

まとめ

審査でプライバシーポリシーを指摘されたとき、最も時間のかかる対応は「修正→再申請→再指摘」のループです。その多くは、自社の実態を反映していないポリシーを、指摘箇所だけ部分的に修正することで生じます。この状態になってしまうと、アプリの公開が遅れるだけです。

審査対応をきっかけに、あるいはアプリ開発が一定程度進んだ段階で、プライバシーポリシー全体を自社のデータフローに即した内容に整備しておくことが、結果的に最短経路になります。審査基準と個人情報保護法の両面から対応が必要な場面では、個人情報保護法の解釈とSDK・データフローの技術的確認を合わせて行える体制が役立ちます。

心配な場合は、まずはお気軽に簡易診断(無料)をご利用ください。

ビーンズ行政書士事務所 代表 行政書士/情報処理安全確保支援士(登録セキスペ)/個人情報保護士
法律とセキュリティの両方の国家資格を持つ、国内でも数少ないプライバシーポリシー専門の行政書士です。ECサイト、SaaS、マッチングサービス、製造業など幅広い業種のプライバシーポリシーを10年以上にわたり作成・見直ししてきました。テンプレートの使い回しではなく、貴社の実際の運用に合ったポリシーをゼロから設計します。
「うちのポリシー、これで大丈夫?」と思ったら、お気軽にご相談ください!
▶ お問い合わせ

「依頼するほどではないが不安はある」という場合は無料診断も行っています▶無料診断

関連記事:

プライバシーポリシーがないとどうなる?義務・罰則・未掲載リスクと対応策 Cookie同意バナーを作る上で気をつけたいポイント プライバシーポリシーの作成を生成AIに任せることの落とし穴 社内教育にも使える?プライバシーポリシーの大切な役割