プライバシーと管理は必要不可欠です
Xはプライバシーを重視しており、XコンテンツおよびX APIのすべての利用者にも同様の取り組みを期待しています。X開発者プラットフォーム、X API、またはXコンテンツが、利用者がプライバシーについて抱く合理的な期待に反する方法で使用された場合、APIおよびXコンテンツへのアクセスの凍結や取り消しを含む強制措置の対象となる可能性があります。
開発者は、Xコンテンツのすべての使用、およびAPIを利用して構築するサービスのあらゆる側面にわたって、プライバシーと管理に取り組まなければなりません。そのため、開発者のサービスの利用者は、開発者が利用者のデータをどのように使用し、利用者に代わってどのようにXにアクセスするかを理解し、それに同意している必要があります。これは、開発者がサービス利用者に代わって何らかの措置をとる前に、利用者に対して、明確かつ包括的で、透明性のあるプライバシーポリシーを提供し、十分な情報を提示した上で利用者から明示的な同意を得ることで実現できます。利用者が開発者のサービスに対して認証を行うこと自体が同意を構成するものではないことにご注意ください。
同意と許可
特に以下のいずれかの措置をとる前に、十分な情報を提示した上で利用者から明示的な同意を得る必要があります。
利用者に代わって何らかの措置をとる。これには、以下を含みます(しかし、以下のものに限定されません)。
Xにコンテンツを投稿する
アカウントをフォローする/フォロー解除する
プロフィールまたはアカウント情報を変更する
Periscopeライブ放送を開始する
ツイートにハッシュタグやその他のコンテンツを追加する
X APIまたは他のXツール以外の手段でアクセスされたコンテンツを再度公開する
利用者のXコンテンツを商品または商用サービスのプロモーションに使用する
ダイレクトメッセージ(DM)などの非公開コンテンツやその他の個人情報、機密情報を保存する
非公開のコンテンツ、またはその他の個人情報もしくは機密情報を共有または公開する
開発者のサービスを用いて利用者がXにコンテンツを投稿できる場合には、公開前に以下の措置をとる必要があります。
実際に何が公開されるのかを示すこと
開発者のサービスを使用する利用者に対して、コンテンツに追加される地理情報(存在する場合)を明確にすること
開発者のサービスを用いて利用者が当該サービスおよびXにコンテンツを投稿できる場合には、公開前に以下の措置をとる必要があります。
コンテンツを投稿する許可を取得すること
コンテンツがどこに投稿されるかを説明すること
開発者は、すべてのXコンテンツの非公開ステータスとブロックされたステータスを尊重する必要があります。特定の利用者の認証トークンを使用して取得したコンテンツを、そのコンテンツを表示する権限を持たない別の利用者に提供することはできません。
非公開アカウント:非公開アカウントのコンテンツは、そのアカウントの所有者によって当該アカウントのフォローを承認された利用者のみに提供されます。非公開アカウントにアクセスするサービスの運用は、当該コンテンツの提供を、権限のある特定の利用者に限定する場合にのみ可能です。
ブロックされたアカウント:Xの利用者は、任意の理由を選択してアカウントへのアクセスをブロックすることができます。トークン(またはその他のAPIベースのアクション)から入手した情報を混合することで、これを回避することはできません。
ダイレクトメッセージ(DM)は、本質的に非公開であるため、DM機能を提供するサービスでは、個人のプライバシーを保護するために追加の措置を講じる必要があります。DMコンテンツを閲覧する権限を持たない利用者に対して、DMコンテンツを提供することはできません。開発者のサービスがDM機能を提供する場合は、以下の措置も必要となります。
- DMの既読イベントを送信する場合は利用者に通知する。これを行うには、開発者のサービスに直接通知を提供するか、会話の他の参加者からの既読通知を表示します。
DMで「共有」として送信される(すなわち、複数のDM間で再利用できる)メディアを構成する際は、事前に同意を得る。DM内のメディアの「共有」を許可する場合、メディアのURLにより不特定多数の利用者が該当するコンテンツにアクセス可能となることを明確に通知する必要があります。
コンテンツのコンプライアンス
Xコンテンツをオフラインで保存する場合は、常にX上での当該コンテンツの現在の状態を反映させる必要があります。具体的には、X上でコンテンツが削除または変更された場合、オフラインのコンテンツも同様に削除または変更しなければなりません。この処理は、できるだけ速やかに、またはXもしくは該当するXアカウントの所有者からの削除要請を受けてから24時間以内に、あるいは適用法令において特別の定めがある場合はそれに従って、実施する必要があります。これは、法律で禁じられている場合を除き、Xの書面による明示的な許可を得た上でのみ実施する必要があります。
変更されたコンテンツには、様々な形式のものがあります。これには、以下を含みます(しかし、以下のものに限定されません)。
- 非公開とされた(つまり非公開ステータスになった)コンテンツ
プラットフォームから凍結されたコンテンツ
位置情報タグが削除されたコンテンツ
Xから表示制限を受けたまたは削除されたコンテンツ
X外マッチング
Xは、開発者がX外で入手または保存した情報とX利用者の情報とを照合する行為に制限を設けています。X外マッチングは、Xのユーザー名やアカウントIDを含むXコンテンツを、個人、世帯、端末、ブラウザ、またはその他のX外の個人識別情報に関連付けるものです。 開発者は、関連付けを行う前に利用者からの明示的なオプトインの承諾がある場合に限り、または以下に説明するように、これを行うことができます。
X上の身元をX外の個人識別子に関連付けるための明示的なオプトインの承諾を利用者から得ていない場合、開発者が把握する関連性は、利用者が当該目的のために使用されると合理的に予想できる情報のみに基づくものでなければなりません。また、オプトインについて明示的な承諾がない場合、開発者が利用者について保持している記録をXの個人識別情報に関連付ける行為は、以下の情報に基づいて行う場合に限り許可されます。
本人が開発者に直接提供した情報。以前に開発者と関係がなかった個人に関する記録(第三者から入手した個人に関するデータを含む)は、この基準を満たさないことにご注意ください。
公開データ。この文脈上で「公開データ」とは、以下に述べる意味を持ちます。
公開された、一般利用可能なリソース(専門団体の会員名簿など)から入手した利用者に関する情報
以下を含む、利用者に関して一般公開されているX上の情報
ツイート
アカウントの自己紹介および公開されている位置情報を含むプロフィール情報
名前とユーザー名の表示
開発者のプライバシーポリシー
利用者に対し開発者のサービスのダウンロード、インストール、または登録の許可が与えられる前に、当該サービスのプライバシーポリシーを表示する必要があります。少なくとも以下の情報を開示する必要があります。
開発者のサービスの利用者から入手した情報
当該の情報を使用、共有する方法(Xとの場合も含める)
開発者に対する、利用者自身の情報に関する問い合わせやリクエストの方法
開発者のプライバシーポリシーはすべての適用法令に準拠しなければならず、XのプライバシーポリシーおよびXの他のサービスや関連会社のプライバシーポリシーと同等かそれ以上に利用者を保護するものでなければなりません。開発者やXのプライバシーポリシーを遵守できない場合、開発者はX APIへのアクセスとすべてのXコンテンツの使用を停止する必要があります。
位置情報データの使用
位置情報データの使用には、当該情報の機密性を考慮し、追加の制限が課されます。開発者のサービスにツイートまたはPeriscopeライブ放送に位置情報を追加する場合は、以下の事項を利用者に開示する必要があります。
位置情報を追加するタイミング
位置情報タグや注釈データなどの位置情報を追加するかどうか
位置情報が場所として記載されるか、または地理座標として記載されるか
アプリケーションで利用者に位置情報付きのツイートを許可する場合は、Xの位置情報ガイドラインを完全に遵守する必要があります。
位置情報または地理情報を独自の用途に使用することは禁止されています。開発者は、Xコンテンツに含まれる位置情報やその他の地理情報がツイートまたはPeriscopeライブ放送の一部である場合を除き、それらの情報を保存、集計、キャッシュすることはできません(そのような行為を他者に許可することもできません)。たとえば、ある人の居場所を時間の経過とともに示す目的で、ツイートから位置情報または地理情報を取り出すことはできません。集計された地理情報アクティビティ(あるハッシュタグをある都市で使用した利用者の人数など)を表示するヒートマップおよび関連ツールの使用は許可されています。
Xのパスワード
Xのパスワードを保存したり、Xのパスワード、アカウント認証情報、開発者アプリケーション情報(コンシューマキーを含む)を利用者に直接要求したりすることはできません。当社は、開発者のサービスとXの利用者をリンクする認証ツールとして、Xでのサインインを利用することを推奨します。