世の色んなサービスではGoogle Spreadsheet/Driveなんかとサービス連携をさせるために、ユーザーデータにアクセスするには、ユーザーの同意を得る同意画面を表示する必要があります。特にGoogle Driveのファイルを取り込むというような制限付きスコープAPIを利用する必要がある場合にはこの同意画面の表示に加え、Googleから問題ないアプリかどうかを検証してもらい、承認(OAuth検証の承認)を得る必要があります。さらには、CASAと呼ばれるセキュリティ評価も毎年受ける必要があります。
CASAのフリープランが無くなった
CASAについての説明は下記のように先人が書いてくれているので省きますが、
このCASAのTier2を評価を受けるするには、 PwC (pwc.com)などの外部機関に依頼をしてセキュリティレビューを受ける必要がありました。従来、この評価は無料でも行なってもらえる枠があったのですが、今年改めてこのチェックを受けようとしたところ、フリープランが無くなっていました。その結果、Google Driveと連携させたとたん少なくても毎年数百ドルの出費が発生するようになりました。
(企業サービスでならまあ大した話ではないですが、個人サービスとかだとなかなか厳しい)
Generative AI周りの規約レビューが厳しくなった
Googleから問題ないアプリかどうかを検証をうけると、Googleは登録された情報をもとに機械的に諸々のチェックが行われるようです。その中の一つとして、下記でアナウンスされたように同意画面でリンクさせるサービスのPrivacy Policyなどで明示的にGoogle Workspace API (google drive連携などで使われる)を使った場合にAIのトレーニングなどを行わないことを明示することが必須になりました。
引用+Google翻訳: この精神に基づき、既存の API ポリシーが生成 AI のコンテキストでどのように適用されるかを明確にしたいと考えています。
当社の「ユーザーデータ転送の制限」では、Workspace ユーザーデータを使用して、パーソナライズされていない AI および/または ML モデルをトレーニングすることを禁止しています。明確に言うと、一般化された機械学習 (ML) または人工知能 (AI) モデル用のデータの転送は禁止されています。 Workspace API にアクセスする開発者は、非パーソナライズ AI および/または ML モデルの開発、改善、トレーニングのために Workspace API を通じて取得したユーザー データを保持しないことをプライバシー ポリシーを通じて約束する必要があります。
Google Workspaceなどを全面に使っているときには利用規約に明示的に書くのはわかるのですが、通常サービスの一部の機能で利用ユーザも限定的の場合、自社のサービスの利用規約にいきなりGoogle Workspaceの話を書いたり、顧客データの取り扱いについて書くのは利用規約の構成上取り扱いが難しいケースもあります。
例えば、利用規約とは別に顧客データの一般的な取り扱いについて示した文章がある、などです。また、Googleは同意画面にはプラポリとToSへのリンクしか掲載ができないなどの制約もあります。そういったことをGoogleのThe Third Party Data Safety Teamなるところに問い合わせをしても、ほぼ定型文の返信があり、ニッチもさっちもいかなくなるようなことがあります。
最終的に、他の会社がどういうふうにやっているかを調べた結果、Google APIに関しての利用規約だけを説明したページを作り、そっちにリンクする、というような方法をすればよさそうという結論になりました。
(とは、審査がまだ完了していないので、これでOKだったらあとで更新する。)
Google Workspace API特にGoogle Driveなどとデータ連携させているようなシステムを持っている人は今年の審査は大変だと思うので頑張ってください・・・
