輸出コンプライアンスの概要

暗号化が、アプリで使用／実装されたり、アプリの一部として組み込まれたり、あるいはアプリが暗号化機能にアクセスしたりする場合で、かつアプリをアップロード、テスト、配信することを予定している場合は、App Store Connectで輸出コンプライアンス要件を定義する必要があります。

輸出コンプライアンス要件の定義が必要なアプリの例を次に示しますが、これに限定されるわけではありません。

標準的な暗号化アルゴリズムを使用しているアプリ。
Appleのオペレーティングシステムに搭載されている暗号化機能を使用しているアプリ。
非標準的、あるいはプロプライエタリな暗号化アルゴリズムを使用しているアプリ。米国政府の定義によると、「非標準暗号化技術」は、プロプライエタリか未公開の暗号化機能を一部に組み込みまたは使用した「暗号化技術」を実装したもので、この暗号化機能には、IEEE、IETF、ISO、ITU、ETSI、3GPP、TIA、GSMAなど公に認められた国際標準化団体で採用や承認されていないか、公開されていない暗号化アルゴリズムや暗号化プロトコルが含まれています。

米国において輸出管理規制を確認し、アプリがCCATS(Commodity Classification Automated Tracking System、米国商務省産業安全保障局(BIS)が割り当てた公式の分類番号)を必要とする暗号化技術を使用しているかを判断する責任は、デベロッパにあります。輸出規制について間違った解釈を行った、あるいは誤って免除対象であると判断した結果に伴う法的責任はすべてデベロッパにあります。暗号化輸出管理については、米国商務省産業安全保障局(BIS)のWebサイトで、「encryption policy」(暗号化ポリシー)について検索の上ご確認ください。フランスにおいても、国内で配信される暗号化機能搭載アプリの輸出入は、フランス政府による管理が行われています。フランス政府の管理対象は主に、セキュアストレージ、セキュア通信、セキュリティやアンチウイルスなどのアプリケーションで、バンキングや医療関連のアプリケーションは対象外となっています。フランスでの管理に関して詳しくは、Agence nationale de la sécurité des systèmes d’information(ANSSI)のWebサイトをご覧ください。

アプリの新しいバージョンを提出する際には、アプリでの暗号化使用に関してApp Store Connectで質問に回答する必要があります。アプリが暗号化技術を使用していない場合は、適切な書類を提出することで暗号化に関する質問を回避できます。アプリをApp Reviewに提出する前に以下の手順を実行してください。

輸出コンプライアンス要件の判断

App Store Connectでは、アプリに関する質問と、そのアプリの配信予定地域に関する質問に答えていくだけで、輸出コンプライアンス要件を簡単に定義できます。回答をもとに、以下の手順を進めてください。

シナリオ				次の手順
輸出コンプライアンス文書が不要				Xcodeでアプリの情報プロパティリストファイル(Info.plist)を更新します。こうすることで、暗号化に関する質問への回答がアプリ提出時に不要となります。
輸出コンプライアンス文書が必要				App Store Connect経由で、アプリの暗号化に関する書類を提出します。書類が承認され次第、その書類をアプリのベータ版ビルドまたはアプリバージョンのビルドに添付します。 Xcodeでアプリの情報プロパティリストファイル(Info.plist)を更新します。こうすることで、暗号化に関する質問への回答がアプリ提出時に不要となります。