こんにちは!TalentXバックエンドエンジニアの吉田です。
採用ブランディングサービスである「MyBrand」をメインに担当しています。
現在Myシリーズでは、外部サービス連携強化のためGoogleアカウント連携を導入している段階です。
弊社でも審査の申請準備中ですが、今回申請に当たって調べた内容や躓きやすいポイントなどについて、審査のステップを追いながらご紹介したいと思います。
【注意】
本記事の内容は2025年12月時点の情報に基づいています。
審査要件は都度見直されている可能性がありますので、実際に申請を進める際は必ずGoogle Cloud Consoleの公式ドキュメントで最新情報をご確認ください。
前提
Google APIについて
まず大前提ですが、全てのGoogle APIは以下の3つの「スコープ」に分類されます。
- 非機密のスコープ
- 機密性の高いスコープ
- 制限付きのスコープ
スコープとはGoogle APIを導入するアプリがユーザーのデータに対して、どの程度のアクセス権限を要求し、何ができるようにしたいかを定義したものです。
【機密性の高いスコープのAPIの例】 API:Google Calendar API 範囲:https://www.googleapis.com/auth/calendar.readonly アクセス権を持っている Google カレンダーのプロパティ (タイトル、説明、デフォルトのタイムゾーン、その他)の参照
上記のうち、「機密性の高いスコープ」および「制限付きのスコープ」に該当するAPIを利用する場合はGoogleによるOAuth検証(審査)が必要になる可能性が高くなります。
OAuth検証(審査)が必要になるケース
そもそも審査って必要なのか?通さないとどうなるのか?の部分ですが、通さない場合は以下のような弊害が起こります。
- API利用可能なユーザー数が100人に限定される
- OAuth認証の同意画面で未確認アプリと表示され、UXが著しく損なわれる
つまり、アプリユーザーが100人以下であり、公開が社内に限定されているケースなどでは必ずしも審査は必須ではありません。
今回弊社ではマルチテナントに提供するサービス領域においてAPIを利用する必要があり、またそのAPIは「機密性の高いスコープ」に該当しましたので、審査を申請する運びとなりました。
審査のステップ
ステップ0:開発計画との連携(審査日数の確認)
OAuth検証(審査)がスムーズに完了した場合、つまり提出内容に不備がなく、Googleからの追加質問や修正の要求がなかった場合の目安の期間は、通常以下のようになるとのことです。(※Google側は明確な完了日を保証していません)
- 機密性の高いスコープ:3〜10営業日
- 制限付きスコープ:2週間以上
上記はあくまで最短で全ての工程が完了した場合の日数であり、ほとんどのケースでは提出内容の不備によって審査対象者からの追加対応が求められるようです。
また、Google側の審査リソース状況によっては更に遅延が発生する可能性もありますので、開発と並行しての審査準備・申請を行うと良いかと思います。
ステップ1:審査に必要なリソースを用意する
審査において最も重要なステップになりますので、詳細にご紹介します。
まず、この審査は「ブランド検証」と「機密・制限付きスコープ要件の確認」が主な目的で、これらの証明のために提出するべきリソースが複数あります。
アプリの要件や利用するスコープによって必要ではない項目もありますので、詳細はOAuthクイックリファレンスガイドをご確認ください。
ブランド検証のために必要なリソース
アプリの信頼性、ユーザーへの透明性、およびGoogleのブランド要件を満たしているかを確認するために使用され、ユーザーがアプリの提供元と目的を明確に理解できるかを検証するために求められます。
- アプリの ID とブランディング(App Identity & Branding)
- アプリのホームページ(App Homepage)
- アプリのプライバシーポリシー(App Privacy Policy)
- ドメインの検証(Domain Verification)
- アプリのサポート連絡先(メールアドレス)
機密・制限付きスコープ要件の確認のために必要なリソース
アプリが機密性の高いユーザーデータにアクセスするために要求する権限(スコープ)が、その機能に本当に必要であり、ユーザーデータの取り扱いが適切であることを確認するために求められます。
- アプリケーションのユースケース(Application Use Cases)
- 最小限のスコープ要求(Requesting Minimum Scopes)
- アプリ内でのテスト(In-app Testing)
- デモ動画(Demo Video)
- データポータビリティを伴うアプリ(Data Portability Apps)
これらの中でも以下の二点についてはほとんど全ての申請で必要になりますが、準備に時間がかかる、もしくは躓きポイントが多いため取り上げてご紹介します。
プライバシーポリシーページ
今回弊社では下記の条件を満たすプライバシーポリシーページを新規に作成する運びとなりました。
この条件を満たす既存のページを持っていることはまずないかと思いますので、開発組織外への法務確認などで時間のかかるポイントになりそうです。
- アプリで収集されるGoogleユーザーデータに関する免責事項(データ収集に関する免責)の記載が必要。「誰がデータにアクセスするか」と「データがどう保護されるか」が明確になっているか
- ユーザーデータがアプリケーションでどのように使用されるかについての免責事項(使用目的の開示)の記載が必要。「そのデータで何を実現するか」を機能と紐づけて具体的に記載されているか
デモ動画
YouTube動画として全体公開、もしくは限定公開でアップロードします。
どのような動画であれば審査が通るのか、情報が揺れているケースが多かったです。スクリーンショットを繋げた動画でも問題ないとされるレポートも一部確認しましたが、原則として「途切れのない動画」を録画して提出する方が安全かと思われます。
自社サービス内の連携ボタンを押す瞬間から、Googleの同意画面を経由し、アプリ内でGoogleデータが利用される機能が動作し終わるまでを一連の流れとして途切れることなく録画し、以下の項目を英語テロップで入れて説明してください。また、OAuth同意画面も英語表記の状態で録画してください。
- クライアントID (Client ID)
- 要求しているスコープ (Requested Scopes)
- スコープ利用の理由 (Reason for Scope Usage)
ステップ2:審査の申請
準備したリソースをGoogle Cloud Consoleに登録し、審査対象として提出する手続きを行います。
1. 申請前の最終チェックと情報の登録
提出ボタンを押す前に、以下の重要な情報が正確に登録されているかを確認します。
- OAuth同意画面の設定:アプリ名、サポートメール、ロゴ、ホームページ、そしてプライバシーポリシーのURLが正しく、かつ一貫性を持って登録されているか
- 承認済みドメイン:アプリのホームページがGoogle Search Consoleで検証済みのドメインにホストされているか
- デモ動画URLの入力:準備したYouTubeのデモ動画URLを、指定のフォームに正確に入力しているか
2. 申請の送信
確認画面で「確認のため送信」を実行し、審査プロセスを開始します。
送信後の対応が審査期間に大きく影響しますので、審査担当者からのメールを逐一確認するようにしてください。
「このスコープは本当に必要ですか?」などといった確認メールに対しては、必ず英語で簡潔かつ論理的に返信し、審査を続ける意思を示してください。返信をしないと審査が滞る、もしくは打ち止めとなる場合があります。
おまけ:よくある却下要因とその回避方法
情報収集中によく見た審査落ちの一般的な原因とその回避策の一部をご紹介します。
- 却下要因1:ブランドの一貫性がない
- OAuth同意画面に表示されるアプリ名、ロゴ、そして実際のアプリ名、ホームページのアプリ名がすべて一致している必要がある。わずかな不一致でも、なりすまし防止の観点から却下されることがあります。
- 却下要因2:データ処理の開示不足
- ポリシーに加えて、アプリの機能紹介ページや同意画面の近くに、ユーザーデータがどのように扱われるか(例:サードパーティに共有しない、広告目的で利用しないなど)を明記することが重要。
- 却下要因3:不必要なスコープの申請
- 読み取りだけで済む機能なのに、誤って書き込み以上のスコープを申請している場合、Googleは却下またはスコープの変更を求めます。
まとめ
今回ご紹介したようにOAuth検証は手間のかかるプロセスで、準備すべきリソースや対応すべき内容は多岐に渡りますので、開発リリース計画に影響のないよう早期の着手をおすすめします。
弊社でも審査が通りましたらGCPでの具体的な設定手順や、審査担当者とのやり取りで得られた具体的な知見などについて、またより深くご紹介できればと思います!
最後に
最後までご覧いただきありがとうございました!
現在TalentXでは一緒に働く仲間を募集しております。
talentx.brandmedia.i-myrefer.jp
また、カジュアル面談も行っていますのでぜひご応募ください! i-myrefer.jp
