“若手エンジニアが困ったこと”をメモるブログ

わがままに生きる

アプリ開発

アプリ開発における輸出コンプライアンス情報について

投稿日:

個人でスマホアプリを開発しているとあまり気にする事のない、アプリの暗号化に関する
「輸出コンプライアンス情報」について、とことん調べた結果と自分なりの結論をまとめます。

スポンサーリンク

輸出コンプライアンス情報

免責:私は法律の専門家ではありません。これは法的相談ではなく、情報提供のみを目的としています。確かな情報は、弁護士にご相談ください。

iOSアプリをApp StoreまたはTestFlightで配信するとき、「輸出コンプライアンス情報」について回答を求められます。なんで日本に向けて配信するのに、輸出...なのか。

それは、アメリカにあるAppleのサーバーにアプリをアップロードしてから、日本のApp Storeをはじめ世界中にエクスポートするため、私たちもアメリカの輸出コンプライアンスを遵守する必要があるようです。

つまりこれは、Androidアプリや、Windowsアプリなんかにも言える事で、
決してiOSアプリに限った話ではないのです!(Appleさんが親切だったんですね)

ここでは、私がたくさん調べてもあまり出てこなかった情報を中心にご紹介していきます。

輸出コンプライアンスの対象とは?

アプリが暗号化を使用している場合、その年の自己分類レポート(自己分類報告)をアメリカ政府に提出する必要があります。

※記事によっては、年度末自己分類報告と訳されている場合がありますが、年度末ではなく、1月から12月の分を翌年の2月1日までに提出します。(その年の11月とかに提出してもいいような書き方になっていますが、他の方の記事などを見ると翌年1月に忘れず提出するのが無難でしょう。)

暗号化には、HTTPSやATSも含まれているため、対象となる方は数多くいるはずです。が、インターネット上の記事の少なさからすると、ほとんどの人は何の対応もしていないのかもしれません。

年次自己分類レポートの提出について

報告は、BIS及びENC暗号請求コーディネータに、電子メール(宛先: crypt-supp8@bis.doc.gov 及び enc@nsa.gov)で送ります。

以下のURL(公式?)から、サンプルファイルがダウンロード出来ますので、全ての項目を記入しCSV形式で保存して、電子メールに添付します。

(以前の報告書から情報が変更されていない場合は、前の報告書または前回提出された報告書の写しを提出してから何も変更されていないことを伝える電子メールを送信する必要があります。)

※送ったメールへの返信は、、特に無いようです。これじゃ本当に届いたかどうかも、心配になりますね...

親切なAppleさんから聞かれるのは最大5問!

これが、iOSアプリをApp StoreまたはTestFlightで配信するとき回答を求められる、質問の1つ目です。

App Store Connect(旧: iTunes Connect)は、最近になって日本語に翻訳されたのですが、、それが返って理解しにくくしてる印象すら受けました。

ポイントとしては、暗号化を使用していたら年次自己分類レポートを提出する必要があるのですが、免除資格を満たしていれば、提出の必要は無いようです。

また、macOSやiOSでは提供してない業界標準のアルゴリズム(AESやDES、RSAなど)を使用していて、かつ、フランスのApp Storeで配信する場合、加えてややこしい手続きがあります。フランスの暗号化申告書を取得しApp Store Connectへのアップロードが必要です。フランス政府は、外国製でしかもサーバーがフランス国内にない暗号化アプリが使われることに対して懸念があるようです。

Appleさんの見解は...?

輸出コンプライアンス情報に関する質問は今でさえ日本語訳されているものの、自分が間違った捉え方をしてしまっていたら終わりです。という事で、Appleに直接お問い合わせしてみる事にしました!

Appleからの回答は、、
「Appleは、法的相談を受けることは出来ない」とのこと。

おいおい、って事で今度は質問を変えてみました。
それは、もし法的なトラブルに巻き込まれた場合、私が回答した輸出コンプライアンス情報に関する5つの質問を、Appleは然るべき機関に提出するのか?ということ。

これに対するAppleの回答は、
「いいえ、Appleはあなたの回答をアメリカ政府に提出しません」だそうです。

結論

という事で、私なりの結論です。

  • アプリが暗号化(HTTPS、ATSを含む)を使用する場合、年次自己分類レポートをBIS及びENC暗号請求コーディネータに、電子メールで送信します
  • アプリをフランスでも配信する場合、フランスの暗号化申告書を取得しApp Store Connectへのアップロードします
  • Apple Store Connectでの輸出コンプライアンス情報への質問は、精一杯回答します

最低限、このくらいはしとくべきでしょう。

それでも不安な方は、弁護士やコンサルタントに相談しましょう!

-アプリ開発
-

Copyright© わがままに生きる , 2018 All Rights Reserved.