ブログに戻る
Android のプライバシー·13 分で読める

誰も書かない Android プライバシーガイド — 有効にすべき設定、無視してよい設定、Google が依然として把握していること

Android には多くのユーザーが気づいていない以上のプライバシー設定が存在する一方で、iOS よりもデフォルト設定のギャップが大きい。ネット上のガイドの多くは情報が古く、旧バージョン向けに書かれているか、明らかに Android を実際に使ったことのない人が書いたものだ。ここでは Android 14 および 15 で本当に重要なことと、気にする必要のないこと、そしてどのトグルを設定しても Google のスタックから見えてしまうことを正直に説明する。

執筆: Casper's Cloak Security Team

要点をひとことで言えば:広告 ID をオフにすること(デフォルトでオンになっているが、ほとんどのユーザーは設定を見つけられない)。プライバシーダッシュボードからアプリのパーミッションを確認する。プライベート DNS を設定する(Android 9 以降は DNS-over-TLS をネイティブでサポートしている)。Google アカウントのアクティビティ管理を見直す。Google Play 開発者サービス自体がベースラインのテレメトリーチャネルであり、完全には無効にできないことを理解する。また OEM のテレメトリー(Samsung、Xiaomi、OnePlus、Huawei)はその上にさらに別のレイヤーを加えることも把握しておく。残りのすべてに対しては、ネットワークレベルのフィルタリングが必要だ — iOS と同じ結論だが、OS がアプリにより多くを許可しているぶん、Android のギャップはより大きい。

構造的な違い:Android は iOS ではない

個別の設定に入る前に、2026 年における Android のプライバシーの実態を左右する構造的な事実が 3 つある。

Android には App Tracking Transparency が存在しない。 iOS はデバイスレベルの広告 ID を使用する前にアプリにユーザーへの確認を強制するが、Android はそうではない。広告 ID はデフォルトでオンになっており、アプリはクロスアプリトラッキングのために自由に利用できる。設定からオフにすることはできるが(後述)、デフォルトはオプトインであってオプトアウトではない。これが iOS との最大のポリシー格差だ。iOS において ATT が止められないことに関する私たちの解説はそのまま当てはまり、Android は ATT 自体が存在しないぶん、その出発点となるフロアがさらに低い。

Google Play 開発者サービスはすべてのアプリの下で動作している。 プッシュ通知(FCM)、位置情報サービス、Google ログイン、決済、Play ストア、デバイスを探す、その他約 40 のシステム機能を担っている。また Google へのテレメトリーを継続的に送信している。個別のサブシステムを無効にすることはできるが、Play 開発者サービスを完全に無効にすると Android のアプリエコシステムが機能しなくなる。これは設計によるものであり、変わることはない。

OEM はその上に独自のテレメトリーを追加している。 Samsung 端末は Samsung Knox アナリティクスを実行する。Xiaomi は Xiaomi クラウド同期を実行する。OnePlus は heytap を実行する。Huawei は(Google Mobile Services 非搭載ビルドで)Petal を実行する。これらは Google のテレメトリーとは別物であり、独自のオプトアウト手段を持つ(多くの場合、深く埋もれている)。Pixel 端末では Google 自身が Pixel を製造しているため、OEM テレメトリーは Google のものと同一だ。

これが実際に意味することは:Android のプライバシーの上限は iOS より低いが、設定で制御できる下限は広い。どちらも適切な設定で意味のある改善が可能だが、「デフォルトでプライベート」には到底近づかない。

本当に意味のある設定

インパクトの大きい順におおよそ並べると、時間をかける価値があるのは次のトグルだ:

1. 広告 ID を削除する

設定 → セキュリティ & プライバシー → プライバシー → 広告 → 広告 ID を削除。 タップして確認する。これは iOS の ATT に最も近い Android の設定であり、単一の設定として最もインパクトが大きい。削除後、広告 ID を要求するアプリにはゼロの文字列が返される。この設定はオプトイン式(自分で見つけなければならない)で、ほとんどのユーザーは設定しない。

広告 ID を削除しても、埋め込み SDK のフィンガープリンティング、Google ログインの紐付け、ハッシュ化されたメール・電話番号の識別子など、他の手段によるトラッキングは止まらないことに注意が必要だ。これは Google が管理する単一の識別子を止めるだけであり、その他のレイヤーにはネットワークレベルのフィルタリングが必要だ(後述)。

2. プライベート DNS を設定する

設定 → ネットワーク & インターネット → プライベート DNS。 Android 9 以降は DNS-over-TLS をネイティブでサポートしている。「プライベート DNS プロバイダのホスト名」に設定し、dns.cloudflare.comdns.adguard-dns.com のようなプライバシー重視のリゾルバーを入力する。これにより、携帯キャリアや接続しているローカルネットワークから、端末が解決しているホスト名が見えなくなる。

これは Android の真に優れたプライバシー機能のひとつであり、iOS ほど簡単には公開されていない。ただし、これはあくまで部分的な対策だ。プライベート DNS はクエリを暗号化するが、フィルタリングはしない。フィルタリング(広告ブロック、トラッカーブロック、フィッシング検出)にはフィルタリングリゾルバーが必要であり、それは Casper が VPN レイヤーで提供していることだ。

3. プライバシーダッシュボードからアプリのパーミッションを確認する

設定 → セキュリティ & プライバシー → プライバシー → プライバシーダッシュボード。 Android 12 以降では、どのアプリがどのセンサー(位置情報、マイク、カメラ)にアクセスしたかの 24 時間タイムラインが表示される。ほとんどのユーザーは、気づかないうちにアクセスされているものが 3〜5 個はある。

よく見つかる修正すべき問題:

  • 常に位置情報にアクセスするニュースアプリ(取り消す;不要なはず)
  • 「常に許可」になっている天気アプリの位置情報(「使用中のみ」にダウングレードする)
  • 積極的に音声録音をしていない SNS アプリのマイクアクセス(取り消す)
  • 必要のないアプリに許可されているカメラのパーミッション(取り消す)
  • どちらも読む必要のないアプリへのカレンダー・連絡先アクセス

Android 13 以降では自動取り消し設定も追加されており、数ヶ月間開いていないアプリは自動的にパーミッションを失う。アプリごとに有効になっていることを確認しておこう。

4. Google アカウントのアクティビティ管理を見直す

設定 → Google → Google アカウントを管理 → データ & プライバシー。 インパクトの大きいトグルが 3 つある:

  • ウェブ & アプリのアクティビティ: デフォルトでオン。Google サービス全体における検索履歴とアクティビティを保存する。3 ヶ月または 18 ヶ月ごとに自動削除するか、完全に一時停止する。
  • ロケーション履歴: デフォルトでオン。ログイン中に位置情報を継続的に記録する。一時停止または自動削除する。
  • YouTube の履歴: 動画の視聴履歴と検索履歴の個別設定。パーソナライズが不要な場合は一時停止する。

注意:これらを一時停止するのは今後のデータ収集を止めるだけだ。既存のデータは「マイアクティビティ」ページから削除しない限り保持される。自動削除がより長期的にクリーンな設定だ。

5. Google アカウントでパーソナライズ広告を無効にする

Google アカウント → データ & プライバシー → 広告のパーソナライズ → オフ。 YouTube、検索、マップ、パートナーサイトでの広告のパーソナライズに Google がアクティビティを使用するのを止める。広告の量は減らず、プロフィールとの紐付けが解除されるだけだ。

6. 画面ロックを適切に設定する

設定 → セキュリティ & プライバシー → 画面ロック。 指紋だけでなく、長い PIN(8 桁以上)またはパスワードを使用する。理由:米国の国境や法的強制の場面では、裁判所は知識ベースのロック解除よりも生体認証ロック解除の強制に積極的であることが多い。修正第 5 条の解釈はまだ確定していないが傾向として:指紋・顔認証 = 所持しているもの、PIN = 知っていること。

7. OEM 固有のテレメトリーを確認して無効にする

スマートフォンのメーカーによって異なる:

  • Samsung: 設定 → プライバシー → パーミッションマネージャー。また:設定 → ロック画面 → カスタマイズサービス → オフ。また:「Samsung Daily」/「Samsung Free」が存在する場合は無効にする。
  • Xiaomi(MIUI / HyperOS): 設定 → プライバシー保護 → 特別なパーミッション → 使用履歴へのアクセス(確認する)。また:Mi アカウント → プライバシー → ユーザーエクスペリエンスプログラム → オフ。また:MIUI アプリ(ミュージック、ビデオなど)の「おすすめ」を無効にする。
  • OnePlus(OxygenOS): 設定 → システム → システムアプリのアップデーター → オフ。また:設定の「ユーザーエクスペリエンスプログラム」と「システム安定性の向上」を無効にする。
  • Huawei: EMUI 設定 → システム & 更新 → ユーザーエクスペリエンス向上プログラム → オフ。
  • Pixel: 設定 → システム → デバイス情報 → ビルド番号(7 回タップして開発者オプションを表示)→ 開発者オプション → Pixel 固有のテレメトリーを止めたい場合は「使用状況と診断」をオフ。

8. 使用していない場合は「デバイスを探す」の位置情報レポートを無効にする

設定 → Google → デバイスを探す。 実際に端末を紛失した場面では役立つ。使用しない場合はオフにする。Android 14 でネットワーク機能が変更され、Apple の「探す」と同様に「デバイスを探す」ネットワークを使用するようになったことも把握しておく価値がある — オプトインだが、何をするものかを理解しておきたい。

9. インストール済みアプリを確認し、不要なものを削除する

端末に入っているすべてのアプリは何らかの攻撃対象面と何らかのベースラインテレメトリーを持つ。多くのユーザーが見落とす、最も効果的なプライバシー対策:90 日以上開いていないアプリをアンインストールする。プライバシーの戦いの半分は、端末にアクセスできるエージェントの数を減らすことだ。

10. VPN を使用している場合はアプリごとの VPN ルーティングを設定する

Android は iOS と異なり、アプリごとの VPN 許可リスト・拒否リストをサポートしている。特定のアプリだけ VPN 経由にし、他のアプリはローカル接続を使用させることができる。これは iOS のすべてかゼロかのモデルより明らかに優れている。VPN 接続をブロックする銀行アプリを除外しながら、他のすべては VPN の適用範囲内に保つといった使い方に便利だ。

どのトグルを設定しても Google から依然として見えること

すべての設定を見直した後でも、Google のスタックは以下にアクセスできる:

  • プッシュ通知のルーティング。 Android のすべてのプッシュ通知は Firebase Cloud Messaging(FCM)を経由する。通知の内容は一部のアプリ(Signal、Wire)でエンドツーエンド暗号化されているが、ルーティングのメタデータは可視だ。
  • Google アカウントでログインしているサービスのアカウントレベルのアクティビティ。 検索履歴はトグルで一時停止できるが、アカウントレベルのアクティビティは消えるわけではない。
  • 携帯基地局の三角測量と WiFi BSSID フィンガープリンティングによるおおよその位置情報。 GPS やアプリのパーミッションとは独立している。クラウドソースによる位置情報サービスに使用される。
  • Pixel 端末からのデバイスレベルの診断情報。「使用状況 & 診断」を無効にしても、Pixel は保証と安全運用のためのベースラインテレメトリーを送信する。
  • Play ストアからのアプリインストールシグナル。 Google はどのアプリをインストールしたか、いつインストールしたか、更新頻度を把握している。

これらは悪意のあるものではなく、プラットフォームの仕組みだ。しかし「設定ですべてをオフにした」というのは、透明人間になることではなく、意味のある改善だということを意味する。

パーミッションを制限しても依然としてアプリが見えること

Android 13 以降のアプリパーミッション管理は、対象のカテゴリー(位置情報、マイク、カメラ、連絡先など)においては本当に優れている。ただし、より大きな表面はカバーしていない:起動したアプリはネットワーク接続を行うことができ、その接続はアプリがアクセス権を持つあらゆる場所から収集したデータを運ぶことができる — アプリ独自のデータ、許可したデバイスのセンサー、パーミッションを必要としないフィンガープリントデータ(タイムゾーン、画面サイズ、システムフォント、センサーノイズパターン)。

埋め込み SDK が最大の情報漏洩源だ。Facebook SDK は Android アプリの約 30% に含まれており、すべてのパーミッションを拒否しても、それらのアプリは SDK が送信するよう設計されたデータを Meta に送り続ける。Mixpanel、Amplitude、AppsFlyer、Adjust、Branch も同じパターンだ。Android のパーミッションシステムはこのレイヤーを制限するように設計されていない。

これがネットワークレベルのフィルタリングが効果を発揮する理由だ — DNS フィルタリングの詳細解説で取り上げたのと同じロジックだ。SDK の宛先を DNS レイヤーでブロックすれば、SDK が何を収集したかは関係なくなる。そのデータが端末の外に出られないからだ。Casper チームはまさにこのためにトラッカーブロッキングを構築した — OEM テレメトリーエンドポイント(Samsung Knox、Xiaomi クラウド、OnePlus heytap など)を含む数万のトラッカー・広告ネットワークエンドポイントをカバーしている。

サイドローディング:リアルなリスク、リアルなメリット

Android では Play ストア以外からアプリをインストールできる — APK のサイドローディング、F-Droid、代替ストアだ。メリット:Google が削除したか許可しなかったアプリへのアクセス(一部の正当なプライバシー重視ツールを含む)。デメリット:Google Play よりも弱いマルウェア審査。Android における消費者向けマルウェアのほとんどはサイドローディング経由のソースから来る。

サイドローディングする場合:

  • 信頼できるソースからのみ(F-Droid、公式デベロッパーウェブサイト、チェックサムで検証した GitHub リリース)。
  • Google Play プロテクトをオンのままにしておく(設定 → セキュリティ → Google Play プロテクト)— サイドローディングした APK もスキャンされる。
  • 悪意のあるサイドローディングアプリは Play ストアのアプリと同じパーミッションモデルを持つことを理解する;同じネットワークレベルのフィルタリングが適用される。

Android における 2 レイヤーモデル

いつも辿り着く同じ結論:

  1. OS レベルの設定は Google が設計した範囲をカバーする — パーミッションのゲート、広告 ID のトグル、アカウントレベルのデータ管理。これらを正しく設定するのに一度 20 分かければよい。
  2. ネットワークレベルのフィルタリング(DNS フィルタリング付き VPN)は OS の設定がカバーしないものをカバーする — 埋め込み SDK のテレメトリー、広告ネットワーク、フィッシングの宛先、OEM テレメトリー。これがCasper のフィルタリングが機能する場所だ。Android 版にはアプリごとのオーバーライド管理機能がある(iOS 実装よりも柔軟性が高い)。

この組み合わせで 2026 年の Android の脅威対象面のほとんどをカバーできる。どちらのレイヤー単独でも大きなギャップが残る。私たちのAndroid プラットフォームページでは Casper が具体的にカバーする内容を詳しく説明している。

2026 年・2027 年に変わること

Android の Privacy Sandbox。 クロスアプリ広告 ID トラッキングをトピックベースおよびオンデバイスのみのシグナルに置き換える Google の長期的な取り組みが徐々に展開されている。Topics API と SDK Runtime は 2026 年時点でベータ版だ。これがプライバシー状況を実質的に変えるかどうかは、広告ネットワークがフィンガープリンティングを続ける代わりに実際にそれを採用するかにかかっており、初期の兆候は賛否両論だ。

「デバイスを探す」ネットワークの拡張。 Android 14 では「デバイスを探す」ネットワークが拡張され、Apple の「探す」と同様に機能するようになった — 端末が Bluetooth 経由で近くの紛失デバイスの発見を支援する。オプトインするまではオフだが、何をするものかを理解する価値がある。

モバイルにまで広がる州のプライバシー法。 ワシントン州のマイ・ヘルス・マイ・データ法(2024 年発効)とネバダ州の同様の 2024 年法は、どちらもヘルス関連の Android アプリ(フィットネストラッカー、瞑想アプリ、生理周期トラッカーなど)に影響を与える。今後もこのパターンに続く州法が増えることが予想される。

まとめ

2026 年の Android のプライバシー状況は「管理手段は存在するが、デフォルトでは隠されており、対象面の最大部分はカバーしていない」と言える。設定で広告 ID をオフにし、パーミッションを確認し、プライベート DNS を設定し、OEM テレメトリーを無効にする 20 分間は、他の何よりも時間対効果の高いプライバシー改善をもたらす。その後は、いかなるアプリパーミッションシステムも対処しない埋め込み SDK と広告ネットワークのギャップを埋めるのがネットワークレベルのフィルタリングだ。

ネットワークレイヤーをお任せしたい場合 — Android 固有の OEM テレメトリーエンドポイントへの対応を含めて — それが Casper's Cloak が Android 上で行うことだ。Android 専用ページでインストールとアプリごとのルーティングを説明しており、トラッカーブロッキングでは SDK レイヤーを具体的に解説している。

監修: Casper's Cloak Security Team · 最終更新

Android 向けのネットワークレイヤー

Casper's Cloak は Android システム VPN として動作し、Google Play 開発者サービス、OEM テレメトリーエンドポイント、埋め込み SDK、フィッシングの宛先など、すべてのアウトバウンド接続をフィルタリングする。アプリごとのオーバーライド管理機能付き。