Facebookログインの更新履歴

2018年7月2日

Facebookログインに対する最新の変更

Facebookログインは、数か月前に、ユーザーのプライバシーを保護し、ユーザーの個人情報に対する管理を強化するために、大幅に変更されました。すべてのアップデートをうまく機能させるのは大変な作業です。その作業をサポートするため、最新の変更の概要とそれらを取り入れる際の推奨事項をまとめました。

主要な日付

アプリまたはウェブサイトのスムーズな運用を保証するために以下の期限に留意してください。

2018年8月1日:必要に応じて、アプリレビュー経由でFacebookログイン許可へのアクセスを再リクエストする
2018年10月6日:「HTTPSを使用する」(この日以降は自動的に有効になる)にオプトインする
2018年11月1日:ページ管理アクセス許可とボットメッセージアクセス許可を使用してアプリのASIDからPSIDに移行する
2019年1月8日:グラフAPI v.3.0にアップグレードする

特定のアクセス許可に対して追加のレビューが必須になる

ユーザーのデータを保護するためには、アプリレビュープロセスを通過するアクセス許可の数を増やす必要があります。特定のアクセス許可の場合は、ビジネス認証や、ビジネスとFacebook間の契約も必要です。ビジネスは、公共料金の請求書、事業免許、設立証明書、定款、税金ID番号などの書類の形態を提出することにより、認証できます。契約書には、追加のセキュリティ要件とその他のデータに関する条項が記載されます。拡張されたアプリレビュープロセスの詳細については、アプリレビューのトピックをご覧ください。

下の表に、Facebookログイン許可に必要なレビューのレベルを示します。この表の更新内容を頻繁に確認してください。

アプリレビューが任意	アプリレビューが必須	アプリレビュー、ビジネス認証、および契約が必須
`name`	`user_gender`*	`user_friends`
`email`	`user_age_range`*	`user_likes`
`profile_picture`	`user_link`* (Facebookプロフィールページのリンク)	`user_photos`
	`user_birthday`	`user_tagged_places`
	`user_location` (居住地)	`user_videos`
	`user_hometown`	`user_events`
		`user_managed_groups`
		`user_posts`

* まだグラフAPIにアップグレードしていない場合は、8月1日までにこれらのアクセス許可を再リクエストすることをおすすめします。アクセスが承認された場合は、グラフAPI v3.0にアップグレード後も使用を継続できます。グラフAPI v3.0に対する変更は、2018年5月1日のブログ投稿で詳しく説明されます。アプリは、2019年1月8日までにグラフAPI v3.0にアップグレードする必要があります。

拡張レビューが始まった2018年5月1日以前にすでにアプリやウェブサイトで上記の表に記載されたアクセス許可を使用していた場合は、2018年8月1日までにアクセスを再リクエストして、それ以降も使用を継続できることを確認する必要があります。

サードパーティー技術プロバイダー

他のビジネスにサードパーティー技術プロバイダーとしてサービスを提供するためにFacebookプラットフォームを利用しているビジネスは、追加の契約を締結する必要もあります。技術プロバイダー契約は、データの収集先の代理として、データの使用を、顧客にサービスを提供する目的のみに制限します。サードパーティー技術プロバイダーを使用している大口顧客は、アプリレビューの対象となり、補足条項に署名しなければならない場合があります。技術プロバイダーは、アプリダッシュボードの設定で、自社のビジネス用途を他のビジネスにサービスを提供することとして識別する必要があります。

廃止されたFacebookログイン許可とAPI

次の表に示すように、特定のアクセス許可と機能が廃止されました。これらのアクセス許可を介してこれまでアクセスできたフィールドは返されなくなるため、APIが空の値を返します。

拡張プロフィールアクセス許可	ユーザーアクションアクセス許可	API
`user_religion_politics`	`user_actions.books`	タグ付け可能な友達
`user_relationships`	`user_actions.fitness`	すべての共通の友達
`user_relationship_details`	`user_actions.music`
`user_custom_friendlists`	`user_actions.video`
`user_about_me`	`user_actions.new`
`user_education_history`	`user_games_activity`
`user_work_history`
`user_website`

詳しくは、2018年4月4日のブログ投稿をご覧ください。

publish_actionsアクセス許可は、2018年4月24日に廃止されました。これまでpublish_actionsをリクエストすることが承認されていた、この日以前に作成されたアプリは、2018年8月1日まで引き続きリクエストできます。publish_actionsを使用している場合は、Facebookのウェブ、iOS、およびAndroid用のシェアダイアログに切り替えることをおすすめします。(2018年5月1日のブログ投稿をご覧ください)。

2018年5月1日以前に承認が付与されたアプリとウェブサイトでは、次のアクセス許可が2018年5月1日以降にリクエストできなくなり、2019年1月8日をもって廃止されます。

timezone
locale
cover
is_verified
updated_time
verified
currency
devices
third_party_id

2018年5月1日のブログ投稿をご覧ください。

アクセス許可の完全なリストは、アクセス許可のリファレンスで確認できます。

プロフィールリンク

ASIDを使用して構築されたユーザープロフィールへのリンクは機能しなくなりました。user_linkフィールドからプロフィールリンクを取得する必要があります。ユーザーが90日間アプリまたはウェブサイトを使用しなかった場合や、ユーザーがアプリに対するuser_linkアクセス許可の付与を拒否した場合は、これらのリンクが機能しません。グラフAPI v3.0に移行後は、アプリがリクエストしてユーザーがそのアクセス許可を承認した場合のみ、このフィールドが使用できます。

user_linkは、ユーザーの拡張ネットワーク(現在は友達の友達と定義されていますが、変更される可能性があります)においてのみ、ログインしている個人に向けてそのユーザーの実際のFacebookプロフィールに解決されます。その他の個人は、友達リクエストやメッセージリクエストを送信することしかできません。

これらの変更が発表された2018年4月19日のブログ投稿をご覧ください。

アクセストークン

アクセストークンの更新

現在、Facebookでアプリ内のアクティビティが認証できない場合、ユーザーデータに対するアプリのアクセスは90日後に有効期限が切れます。Facebookウェブゲームなどの一部のプラットフォームでは、すべてのユーザーアクティビティを認証可能です。iOSなどのその他のプラットフォームでは、90日ごとにログインダイアログでアクセス許可を承認することによってアプリのデータアクセスを再承認する必要があります。2018年4月9日のブログ投稿をご覧ください。

アプリ/ウェブサイトでのアクセストークンの有効期限が切れているユーザーの再承認フローがスムーズかどうかを確認することをおすすめします。アクセストークンの更新に関する詳細は、ユーザーアクセストークンの更新をご覧ください。

トークンの有効期限

ログインしたことのないビジターとアクセストークンの有効期限が切れているユーザーの違いを明らかにすることで、開発者は状況に応じた最も適切なユーザーインターフェイスを表示することができます。JavaScript SDKを使用したアプリの場合は、FB.getLoginStatus()を使用することにより、ユーザーの現状を把握し、ユーザーのトークンの有効期限が切れていることを示す新しいステータスauthorization_expiredを返せるようになりました。この新しい状態は、Facebookログイン経由でアプリへの接続を確立していないユーザーに関して取得されるnot_authorized状態とは違います。この新しい期限切れ状態の場合は、Facebookでログインしたことのある個人に通知して、彼らに再度ログインフローを通過し、アカウントを最新情報で更新するように促すことができます。

アプリやウェブサイトのトークンの有効期限をテストする新しい方法を開発者に提供することもできます。アプリ用に作成したテストユーザーごとに、アクセストークンの有効期限が切れるまでの時間の長さを変えることができます。カスタム有効期限を使用することにした場合は、個別のアプリのテスト目的に合わせて、1分程度の短いインターバルを設定することも、もっと長いインターバルを設定することもできます。この設定は、各テストユーザーの[編集]メニューの下にあり、テストユーザーが使用するすべてのアプリとウェブサイトに適用されます。

JavaScriptSDKでは、authResponseオブジェクトにreauthorize_required_inという名前の新しいフィールドが追加されています。このフィールドを使用すれば、有効期間が短いトークンで作業している開発者は、特定のユーザーのアプリの90日承認の有効期限が切れる時期を把握することができます。ユーザーのセッションをさらに90日間延長するには、auth_type=reauthorizeパラメーターを指定したlogin()を呼び出す必要があります。このパラメーターは、現在アプリに付与されているアクセス許可を再度承認して継続するように指示します。

これらのアップデートは、2018年5月1日のブログ投稿で発表されました。

HTTPSが必須

Facebookログイン用の新しいHTTPSを使用する設定がアプリダッシュボードで使用できるようになりました。オンにすると、すべてのFacebookログインリダイレクトでHTTPSを使用する必要があります。また、アクセストークンを返すまたはアクセストークンが必要なすべてのFacebook JavaScript SDK呼び出しをHTTPSページからのみ実行する必要があります。2018年6月8日のブログ投稿をご覧ください。

2018年3月以降に作成された新しいアプリはすべてこの設定の使用が必須とされています。また、Facebookログインを使用している既存のアプリとウェブサイトは2018年10月6日までにオプトインしないと自動的に有効になりません。HTTPページからJavaScript SDKを使用してログインまたはAPI呼び出しを実行する安全でないリダイレクトURIまたはページは、この日に機能を停止します。

ビジネス統合

「ビジネス統合」が、アプリとは別のサービスのリストとしてユーザーのアカウント設定の下に表示されます。これは、ユーザーがFacebookアカウントに接続して、ページ、イベント、広告、またはページメッセージを管理するための特別なアクセス許可を付与したサービスです。ビジネスAPIへのアクセスは、Facebookユーザーがページ、広告アカウント、イベントなどへの統合を削除するまで、有効期限なしで、この変更前と同様に機能します。この変更を発表した2018年5月1日のブログ投稿をご覧ください。

個人データの削除

Facebookのアプリとウェブサイトの設定からアプリまたはウェブサイトを削除したユーザー向けに、当該のアプリやウェブサイトで、それらのユーザーに関してFacebookから入手したすべての情報を削除することをリクエストするオプションが用意されています。Facebookでは、ユーザーがリクエストを送信した時期とそれに対してサービスが確認応答を返した時期を特定できます。また、指定された確認番号と、リクエストのステータスを確認する方法も提供されます。このオプションをユーザーに提供することにより、カスタマーサービスリクエストの自動化、情報が責任を持って処理されていることの実証、およびGDPR対策などのコンプライアンス要件の遵守を実現できます。

このオプションを有効にするには、リクエストを送信するためのコールバックURLを提供する必要があります。コールバックURLは、アプリダッシュボードのアプリのFacebookログインの設定ページで追加できます。コールバックではHTTPSを使用する必要があります。詳しくは、ドキュメントをご覧ください。2018年5月25日のブログ投稿をご覧ください。

データ保護担当役員の連絡先情報

ヨーロッパのユーザーにDPOの連絡先情報を簡単に提供できる方法が用意されました。アプリダッシュボードのアプリのFacebookログインの設定ページにアクセスして、DPOの名前(オプション)、郵送先住所、およびメールアドレスを追加します。この情報は、ユーザーのアプリとウェブサイトの設定で使用できるようになるため、データの処理方法や使用方法に関する質問があるユーザーはDPOに連絡することができます。2018年5月25日のブログ投稿をご覧ください。

開発モード

開発モードのアプリの場合は、API呼び出しでアプリ内に役割があるユーザー(管理者、開発者、またはテスター)のユーザーデータのみが返されます。このことは、Facebookプロフィール、ページ、その他のAPIに該当します。2018年4月24日のブログ投稿をご覧ください。

開発モードのアプリは、ページとアプリのペアあたり1時間に200呼び出しまでにレートが制限されるようになりました。アプリ内に役割のあるユーザー(管理者、開発者、またはテスター)にのみアクセスできます。アプリダッシュボードで、アプリのレート制限アクティビティのチャートを確認してください。公開モードのアプリの開発者と管理者は、アプリが承認されたアクセス許可にのみアクセスできます。

開発者がアプリ用の新しい機能を開発する際には、これらの制限を考慮することをおすすめします。

重要なリファレンスとツール

アプリまたはウェブサイトが最新の変更の影響を受けために、Facebookにレビューをエスカレートする場合は、https://go.fb.com/2018-FB4D-platform-review-form.htmlのフォームを使用してください。
アプリレビュープロセスとレビューを必要とするAPIやアクセス許可について詳しくは、https://developers.facebook.com/docs/apps/reviewをご覧ください。
APIアップデートツールは、最新の、またはより新しいグラフAPIレベルに対するマイグレーションの影響の評価に役立ちます。アプリのAPI呼び出しがAPIのより新しいバージョンでの変更の影響を受けるかどうかを確認するには、https://developers.facebook.com/tools/api_versioning/をご覧ください。
Facebookログインの動作ステータスを確認して、アクセス許可に基づいてFacebookログインから取得可能なコードの例を表示するには、fbrell.comのサンプルアプリにアクセスします。
グラフAPIに対する最新の変更をフォローするには、以下をご覧ください。
- 更新履歴: https://developers.facebook.com/docs/graph-api/changelog
- 重要な変更: https://developers.facebook.com/docs/graph-api/changelog/breaking-changes