アクセスできる範囲

くらちゃんが Google アカウントに対して要求する権限は、すべて 読み取り専用 の 3 つだけです。これ以外のスコープは要求しません。

要求するスコープの正体

表示名	OAuth スコープ	できること	できないこと
Gmail（読み取り）	https://www.googleapis.com/auth/gmail.readonly	メール本文・添付・ラベル一覧の取得	送信、下書き、削除、既読/未読の変更
Calendar（読み取り）	https://www.googleapis.com/auth/calendar.readonly	予定一覧、参加者、場所、説明の取得	予定の作成、変更、削除、招待への応答
Drive（読み取り）	https://www.googleapis.com/auth/drive.readonly	ファイルメタデータと本文の取得	アップロード、編集、共有変更、削除

OAuth 同意画面で表示されるのも、これら 3 つの「読み取り専用」表現と完全に同じものです。連携時に Google が「くらちゃんは○○を表示します」と確認してくるので、要求外のものが混ざっていれば一目で分かります。

必要なものだけ連携する

ダッシュボードでは、サービスごとに「無効 / 読み取り」を切り替えられます。Gmail だけ繋ぎたいなら、Calendar と Drive は「無効」のままにしてください。OAuth 同意画面でも、無効にしたサービスのスコープは表示されません。

トークンの保存先

OAuth で取得したアクセストークン・リフレッシュトークンは、くらちゃんが動いている端末（NAS / Mac / Linux サーバー）の中だけ に暗号化して保存されます。具体的には:

• 保存場所: 設定ディレクトリ配下のローカルファイル
• 暗号化: OS のキーリング（macOS Keychain / GNOME Keyring / Windows DPAPI など）
• 送信先: なし。トークンが外部に出ることはありません

データ本体（メール本文・予定・ファイル）もキャッシュされますが、同じく端末のローカルストレージに留まります。

いつでも取り消せる

連携を解除する方法は 2 つあります。どちらを使っても、即座に有効になります。

くらちゃん側から

ダッシュボード → 「連携」タブ → 該当アカウントの 「切断」 をクリック。

• 保存されたトークンは即座に削除されます
• キャッシュされたデータも同時に削除されます

Google アカウント側から

myaccount.google.com/permissions を開く → 「あなたの作成したアプリ」（= ステップ 4 で作る OAuth クライアントのこと）→ 「アクセス権を削除」。

• Google 側で発行されたトークン全てが無効化されます
• 次回連携しようとすると、再び OAuth 同意画面が表示されます

削除の順序に注意

完全に痕跡を消したい場合は、「くらちゃん側で切断」→「Google 側でアクセス権削除」→「Google Cloud Console で OAuth クライアントを削除」 の順で行ってください。最後のステップを忘れると、未使用の OAuth クライアントが Google Cloud に残ったままになります。

次のステップ

権限の整理がついたら、Google 連携をはじめる で具体的な手順に入ります。所要時間は約 15 分です。