輸出コンプライアンスの概要

暗号化が、アプリで使用／実装されたり、アプリの一部として組み込まれたり、あるいはアプリが暗号化機能にアクセスしたりする場合で、かつアプリをアップロード、テスト、配信することを予定している場合は、App Store Connect で輸出コンプライアンス要件を定義する必要があります。

輸出コンプライアンス要件の定義が必要な App の例を次に示しますが、これに限定されるわけではありません。

• 標準的な暗号化アルゴリズムを使用している App。

• Apple のオペレーティングシステムに搭載されている暗号化機能を使用している App。

• 非標準的、あるいはプロプライエタリな暗号化アルゴリズムを使用しているアプリ。米国政府の定義によると、「非標準暗号化技術」は、プロプライエタリか未公開の暗号化機能を一部に組み込みまたは使用した「暗号化技術」を実装したもので、この暗号化機能には、IEEE、IETF、ISO、ITU、ETSI、3GPP、TIA、GSMA など公に認められた国際標準化団体で採用や承認されていないか、公開されていない暗号化アルゴリズムや暗号化プロトコルが含まれています。

米国において輸出管理規制を確認し、アプリが CCATS (Commodity Classification Automated Tracking System、米国商務省産業安全保障局 (BIS) が割り当てた公式の分類番号) を必要とする暗号化技術を使用しているかを判断する責任は、デベロッパにあります。輸出規制について間違った解釈を行った、あるいは誤って免除対象であると判断した結果に伴う法的責任はすべてデベロッパにあります。暗号化輸出管理については、米国商務省産業安全保障局 (BIS) の Web サイトで、「encryption policy」(暗号化ポリシー) について検索の上ご確認ください。フランスにおいても、国内で配信される暗号化機能搭載アプリの輸出入は、政府による管理が行われています。フランス政府の管理対象は主に、セキュアストレージ、セキュア通信、セキュリティやアンチウイルスなどのアプリケーションで、バンキングや医療関連のアプリケーションは対象外となっています。フランスでの管理に関して詳しくは、Agence nationale de la sécurité des systèmes d’information (ANSSI) の Web サイトをご覧ください。

アプリの新しいバージョンを提出する際には、アプリでの暗号化使用に関して App Store Connect で質問に回答する必要があります。アプリが暗号化技術を使用していない場合は、適切な書類を提出することで暗号化に関する質問を回避できます。アプリを App Review に提出する前に以下の手順を実行してください。