User系スコープの審査申請
レシートローラーのUser系スコープ(
user.receipts.read 等)を使うアプリの開発者向けです。審査申請の流れ、必要書類、審査基準、よくある差し戻し理由を説明します。
レシートローラーのスコープのうち、user.* から始まるものは一般消費者の個人データにアクセスするためのスコープです。これらは、店舗側の同意だけでなく、消費者本人の同意とレシートローラーの審査を経たうえで初めて利用できます。
User系スコープが審査制である理由
- レシート明細・購買履歴は機微な個人情報に該当する
- 消費者は店舗ではなく「レシートローラー」と直接的な信頼関係にある
- 不適切なアプリにデータが渡れば、消費者・店舗・レシートローラー全体の信頼が損なわれる
- 第三者提供・国外移転などのコンプライアンス確認が必要
そのため、店舗系スコープよりも厳格な審査プロセスを設けています。
審査対象となるスコープ
| スコープ | アクセスできるデータ |
|---|---|
user.profile |
表示名、メールアドレス、登録地域 |
user.receipts.read |
本人のレシート一覧・明細 |
user.receipts.write |
レシートへのタグ付け・メモ追加 |
user.purchases.aggregate |
本人の購買サマリー(カテゴリ別集計) |
user.coupons.read |
本人が保有するクーポン |
user.notifications.send |
本人へのプッシュ通知送信 |
全てのUser系スコープが必ず審査対象です。スコープごとに個別に申請する必要があり、利用しないスコープを「念のため」申請することはできません。
申請の流れ
[アプリ登録完了]
│
▼
[必要書類の準備] ← プライバシーポリシー公開、削除窓口設置 など
│
▼
[開発者ポータルから申請] ← スコープ選択 + 申請フォーム入力
│
▼
[一次レビュー](営業日 1〜3日) ← 書類不備チェック
│
├─→ 差し戻し → 修正して再申請
│
▼
[二次レビュー](営業日 5〜10日) ← 実装・運用体制の審査
│
├─→ 追加質問 → 回答提出 → 再レビュー
│
▼
[承認]
│
▼
[本番環境で User系スコープ利用可能]
標準的なケースで申請から承認まで2〜3週間を見込んでください。差し戻しが複数回入ると1〜2か月かかることもあります。
必要書類・情報
1. プライバシーポリシー(必須)
- 公開URLが存在すること
- レシートローラーから取得するデータ項目を明記
- 利用目的、保管期間、削除手順、第三者提供の有無を記載
- 問い合わせ窓口を明記
- 日本のユーザーを対象にする場合は日本語版を用意
2. 利用規約(推奨)
消費者向けアプリの場合は推奨。BtoB向けでも、消費者データを取り扱う旨の明記があると審査がスムーズです。
3. 削除依頼受付窓口(必須)
- メールアドレスまたは問い合わせフォームURL
- 受付から30日以内にデータ削除を完了する体制
- 削除完了通知の運用方法
4. データ取り扱いシート(必須)
申請フォーム内で次の項目を記入します。
| 項目 | 記入内容 |
|---|---|
| 取得データ | スコープごとに具体的な項目名 |
| 保管場所 | クラウド事業者、リージョン |
| 保管期間 | 最終取得から何ヶ月で削除するか |
| 第三者提供 | あり/なし、ありの場合は提供先 |
| 国外移転 | あり/なし、ありの場合は対象国 |
| 暗号化 | 保管時・通信時の暗号化方式 |
| アクセス制御 | 誰が、どんな条件で閲覧できるか |
5. 動作確認用テストアカウント(場合により必須)
アプリの実装が完了している場合、レビュー担当者が実際にOAuth認可フロー〜データ取得〜表示までを確認するため、テストアカウントの提供をお願いすることがあります。
6. スクリーンショット・動画(推奨)
- OAuth認可画面でユーザーに表示する説明
- 取得したデータがアプリ内でどう使われるかの画面
- 削除依頼の導線
動画は1〜2分程度で構いません。実装イメージが伝わると審査時間が短縮されます。
申請手順
- 開発者ポータル → アプリ → 「スコープ」タブ
- 申請したいUser系スコープにチェック
- 「審査を申請する」ボタンをクリック
- 申請フォームに必要事項を入力(プライバシーポリシーURL、データ取り扱いシート等)
- 添付資料をアップロード(テストアカウント情報、スクリーンショット等)
- 「申請を送信」
申請後はステータスが「審査中」になり、進捗は同じ画面で確認できます。連絡は申請時のメールアドレスに届きます。
審査基準
主な審査観点は次のとおりです。
必要最小限の原則
申請されたスコープが、申告された利用目的を達成するために本当に必要かを確認します。広めに取る申請は差し戻されます。
明確な利用目的
消費者から見て「なぜこのアプリにデータを渡す必要があるのか」が一読して分かること。「サービス向上のため」のような抽象的な記述は不可。
データ保護体制
暗号化、アクセス制御、保管期間の設定、削除フローの整備。最低限の業界標準を満たしていること。
法令遵守
個人情報保護法、特定商取引法、景品表示法、各国のプライバシー法(GDPR等の対象がある場合)への準拠。
運営主体の透明性
運営会社の所在地、代表者、連絡先が公開されていること。実体のない事業者・連絡が取れない事業者は承認されません。
UX上の説明責任
OAuth認可画面でのスコープ説明、初回起動時のデータ利用説明、削除導線などが消費者に分かりやすく提示されていること。
よくある差し戻し理由
| 差し戻し理由 | 対処 |
|---|---|
| プライバシーポリシーが公開されていない/URLが404 | 公開してから再申請 |
| プライバシーポリシーにレシートデータの記載なし | 取得するデータ項目を追記 |
| 利用目的が抽象的(「サービス向上のため」のみ等) | 具体的なユースケースを記述 |
| スコープが目的に対して過剰 | 必要なスコープに絞る |
| 削除窓口が記載されていない | メールアドレスかフォームURLを設置 |
| 第三者提供の有無が不明確 | 「あり/なし」を明記、ありの場合は提供先も |
| テストアカウントで認可フローが動かない | 実装を完了させてから再申請 |
| 運営会社情報が公開されていない | アプリのサイト・サポートページに記載 |
承認後の運用
承認されると、本番環境でUser系スコープを使った認可フローが利用可能になります。ただし次の点に注意してください。
- 定期レビュー:年1回、利用状況・データ取り扱い体制の確認があります
- 軽微な変更:保管場所のリージョン変更など、軽微な変更は事前通知のみで可
- 主旨の変更:利用目的・取得スコープ・第三者提供の有無を変更する場合は再審査
- 違反時の措置:利用規約違反・苦情多発時は、警告→停止→承認取消の段階を経る場合があります
申請前のセルフチェックリスト
申請前に次を確認すると、差し戻しを大幅に減らせます。
- ☐ プライバシーポリシーURLが公開されており、レシートローラーから取得するデータが明記されている
- ☐ 削除依頼の窓口(メールまたはフォーム)が機能している
- ☐ 利用目的に「誰のために」「何をするか」「どこへ送るか」が記述されている
- ☐ 申請するスコープが利用目的に対して必要最小限である
- ☐ 第三者提供・国外移転の有無が明記されている
- ☐ データの保管期間と暗号化方式が決まっている
- ☐ テスト環境で認可フローが動作している
- ☐ 運営会社情報がサイトに公開されている
申請ステータスと所要時間の目安
| ステータス | 意味 | 標準所要 |
|---|---|---|
| 未申請 | スコープ選択前 | ― |
| 申請受付 | 送信完了 | 即時 |
| 一次レビュー中 | 書類確認中 | 1〜3営業日 |
| 差し戻し | 不備あり、修正必要 | ― |
| 二次レビュー中 | 実装・運用体制確認 | 5〜10営業日 |
| 追加情報待ち | レビュアーから質問中 | 回答後3営業日以内に再開 |
| 承認 | 本番利用可 | ― |
| 却下 | 申請内容に重大な問題 | 理由付きで通知 |
よくある質問
Q. 開発中はUser系スコープを試せませんか?
A. 開発用アプリ(テストアプリ)に限り、運営会社内のテストユーザー(自社メンバー)のみ認可できる「サンドボックス枠」が利用できます。一般消費者には認可フローを公開できません。
Q. 一度承認されたあと、新しいUser系スコープを追加したい場合は?
A. 追加するスコープのみ追加申請になります。既存スコープの審査結果はそのまま引き継がれ、追加分の必要書類だけ提出すれば済みます。
Q. 申請を取り下げたい場合は?
A. 開発者ポータルの該当申請画面から「取り下げ」が可能です。後日改めて申請し直せます。
Q. 審査が長引いている場合、問い合わせできますか?
A. 申請から営業日10日経過しても進展がない場合、開発者コミュニティまたはサポート窓口へ問い合わせてください。申請IDを併記すると確認がスムーズです。