VK、Mail.ru、OKのサービスによる認証

2025年末以降、VKはドメインを.ruに移行し、サイトへのログイン用アプリケーションも変更されました。設定では、Mail.ruおよびOKの認証連携も追加可能になりました。以下では、これらの変更に伴う法的意義のある点を解説します。

---

1. 3営業日以内に書類を提出する義務

該当箇所：

• PDF（オドンクラシキ）：第3.3.1項
• テキスト契約（Mail.ru）：第3.3.1項

「会社が請求を受ける日から3営業日以内に、アプリケーション登録時にパートナーが提供した情報を証明する適切に認証された書類のコピーを提出すること。」

実務上の意味：

• アプリケーション登録（例：ここ）時に、以下のような情報を入力します：
  • 個人の場合：氏名、パスポート情報、連絡先情報。
  • 法人の場合：名称、ОГРН/ИНН、住所など。
• VK/Mail.ruがデータの確認を要求した場合（例：詐欺の疑い、大量登録、ルール違反など）、3営業日以内に書類のスキャンを送信しなければなりません（パスポート、EGRYULの抽出、委任状など）。
• リスク：履行しない場合 → APIおよびOAuthへのアクセスが一方的に停止またはブロックされます（両契約第3.2.2項）。事前通知なしで、事後通知のみとなります。

推奨：

• 事前に書類のセットを準備してください。
• アプリケーション登録時に最新かつ検証可能なデータを入力してください。そうでないと、確認要求はほぼ避けられません。

---

2. ユーザーの個人データの送信に明示的な同意を得る義務

該当箇所：

• OK PDF：第3.3.4項
• Mail.ru：第3.3.4項

パートナーは、ユーザーのデータを会社のサービスから転送する際、以下を明示的に取得しなければなりません：

• 取得するデータの範囲（メールアドレス、名前、プロフィール画像など）
• データ処理の目的
• プライバシーポリシーへのリンク

重要：

• ユーザーが「OK/Mail.ruでログイン」をクリックしたとしても、自動的にデータを転送することはできません。明示的な同意が必要です。
• 同意は、ログインボタンの前にまたは同時に、明確な文言で表示する必要があります。例：

*「私は、オドンクラシキ/Mail.ruから私のデータ（名前、メールアドレス、プロフィール画像）をexample.comサイトへのログインおよび処理の目的に使用する同意します。プライバシーポリシー」」

• 不要なデータの取得は禁止（第3.3.5項）：例として、認証に必要ない誕生日を要求することはできません。

---

3. ロゴ、ボタン、UI要素のカスタマイズ禁止

該当箇所：

• OK：第3.3.3項
• Mail.ru：第3.3.3項

禁止事項：

• ロゴ（「OKでログイン」→「高速ログイン」などに名前を変更しない）
• OK/Mail.ruへのリンクを削除しない
• 非公式のボタンや画像を使用しない

対応方法：

• いつでも公式のUIキットとボタンを使用してください。公式ドキュメントから提供されます：
  • https://apiok.ru/ext/oauth/ — OK
  • https://help.mail.ru/developers/oauth — Mail.ru

---

4. ユーザーのデータの使用制限

該当箇所：

• OK：第3.3.6項
• Mail.ru：第3.3.6項

禁止事項：

• OAuth経由で取得したユーザーのデータ（メールアドレス、名前など）を認証以外の目的で保存・処理・第三者に転送しない（契約に明記されていない場合）
• メール配信、分析、広告プロファイルなどに使用する場合、追加の同意が必要。

リスク例：

OAuthで取得したメールアドレスをすぐに配信リストに追加した場合 → 違反。

対応方法：

• 明確に分けてください：
  • 認証用データ（ログインのみ）
  • 追加利用データ（メール配信、プロフィールなど）→ 別途同意を得て収集する必要があります。

---

5. 契約は「現行のまま」で、保証・責任なし

該当箇所：

• OK：第5.1項
• Mail.ru：第3.2.3項

「会社はサービスの継続的動作を保証せず、障害、漏洩、ブロックなどの責任を負いません。」

対応策：

• OAuthを唯一のログイン手段としないでください。常にバックアップ手段（例：メールアドレス＋パスワード）を用意してください。
• UIで表示してください：

「OKによるログインが一時的に利用できません。後で試していただくか、他の方法をご利用ください。」

---

結論：緊急対応が必要な重要なポイント