Apple App Storeにプライバシーに関する情報を提出

Appleは、ユーザーがアプリをダウンロードする前にプライバシー方針の情報が提供されるようサポートしています。App Storeで紹介されている全てのアプリのプロダクトページには、アプリが収集するデータのタイプや、データが個人ユーザーに紐付けられたりトラッキング目的に使用されるかどうかが健康状態(nutrition labels)に記載されています。

App Store Connectにアプリを提出する際は、Appleのプライバシーに関する質問事項に回答する必要があります。これには、アプリに実装されたSDKコードを提供するサードパーティパートナー(Adjustなど)に関する説明を含みます。

2024年5月1日より、Appleは一般的に使用されているサードパーティSDKを使用する場合、アプリの申請を承認するために、以下の追加情報を要求します:

  • リストに含まれるAPIを必要とする理由。
  • プライバシーマニフェスト
  • SDKがバイナリのdependencyとして追加された場合に有効なシグネチャー。

Adjustは、AppleのサードパーティSDKリストに含まれていません。ただし、AdjustのSDKはリストにある一部のAPIにアクセスし、宣言が必要なデータポイントを収集します。Adjust SDKには、v4.38.0以降のリストに記載された全ての要件が含まれています。ここでは、Adjust SDKに関連するAppleの要件について説明します。

App Store Connectにアプリを申請する場合、以下のことを行ってください。

  1. アプリが使用するサードパーティSDKにプライバシーマニフェストファイルが含まれていることを確認するか、アプリのプライバシーマニフェストを更新して、サードパーティSDKのデータ使用に関する詳細を含めます
  2. アプリが収集する機密データポイントを宣言します(「健康状態」はこれに基づいて適用されます)
  3. アプリで特定のAPIを使用している場合、それらのAPIにアクセスする理由を宣言します
  4. 全てのトラッキングドメインをリストアップします
  5. 使用するサードパーティSDKが署名されていることを確認します

「プライバシーマニフェスト」とは何ですか?

iOS 17は、アプリのプライバシー要件をApp Storeに通知するメカニズムであるプライバシーマニフェストを導入しました。これには以下の詳細が含まれます:

  • データがトラッキング目的で使用されるかどうかに関する情報。
  • トラッキング目的で使用されるドメイン。
  • リストに含まれるAPIを使用する場合、それを必要とする理由。
  • アプリで使用されるPrivacy Nutrition Labelsのリスト。

プライバシーマニフェストには、アプリレベルとSDKレベル(サードパーティSDKの個別ファイル)の2つのレベルがあります。サードパーティのSDKにプライバシーマニフェストファイルが含まれていない場合、アプリ開発者はアプリレベルのプライバシーマニフェストを更新し、サードパーティSDKの詳細を追加する必要があります。

Adjust SDKには、上記の詳細を含むプライバシーマニフェストファイルが含まれています。Adjust SDKのプライバシーマニフェストはアプリのマニフェストと一緒に表示され、アプリのプライバシー要件の全体像が把握できます。開発者がビルドを送信すると、App Storeは連携されたマニフェストを読み取ります。その場合は、 Appleの申請に「健康状態」を追加する必要があります。プライバシーマニフェストによって生成されたレポートを使用すると、このタスクをより効率的に行うことができます。

事前準備

はじめに、以下の内容をご確認ください。

  • Adjust SDK v4.38.0以降が実装されていること。このバージョンには、必要なプライバシーマニフェストファイルが含まれています。
  • レスポンスがApp Store Connectにおいて常に正確で最新の状態である必要があります。
  • Adjust SDKだけでなく、お客様やその他のサードパーティによって収集および使用される可能性のあるデータを全て特定する必要があります。これには、ここに記載されていない限定的な状況でのみ収集および使用されるデータも含まれます。
重要:

お客様の回答は、App Store Reviewガイドラインおよびあらゆる関連法に遵守する必要があります。

1. Adjust SDKによるデータ収集

AdjustのSDKでは、SDKがお客様に送信するデータと、お客様がデータをどのように使用するかを設定できます。Adjust SDKの設定とアプリへの実装方法に基づいて、Adjustがどのアプリデータにアクセスするかを決定できます。SDKは一部のデータをデフォルトで収集しますが、お客様は、Adjustへそのデータを送信することをいつでもブロック、または制限することもでき、また、Appleが宣言する必要のあるカテゴリーに分類される追加の詳細を送信することもできます。

例Adjust SDKはデフォルトで「連絡先情報(Contact Info)」を収集しません。しかし、アプリがemail addressesを収集し、そのデータをカスタムパラメーターを介してAdjustに送信する場合、Adjustがアプリの「連絡先情報」を収集することになります。

以下に、Adjustがデフォルトで収集するデータを示します。お客様が独自に行ったAdjust SDK設定とお客様のデータ収集の方針を比較してください。

注意:

Adjust SDKは、ユーザーがATTプロンプトに同意した場合にのみ、デバイスのIDFAにアクセスできます。Adjust SDKは、デバイスのIDFVの収集にATT同意を必要としません。詳細はAppleのユーザープライバシーとデータ使用に関するドキュメントをご覧ください。

データタイプAdjustはデータを収集しますか?
お問い合せ先
  • 名前
  • メールアドレス
  • 電話番号
  • 実際の住所
  • ユーザーのその他連絡先情報
いいえ
ヘルスケア/フィットネス
  • ヘルスケア
  • フィットネス
いいえ
財務情報(Financial Info)
  • 支払い情報(Payment Info)
  • クレジット情報(Credit Info)
  • その他の財務情報(Other Financial Info)
いいえ
位置情報(Location Info)
  • 詳細な位置情報(Precise Location)
  • おおよその場所(Coarse Location)
いいえ
機密情報(Sensitive Info)いいえ
連絡先いいえ
ユーザーコンテンツ(User Content)
  • メールまたはテキストメッセージ
  • 写真またはビデオ
  • オーディオデータ 
  • ゲームプレイコンテンツ
  • カスタマーサポート
  • その他のユーザーコンテンツ
いいえ
閲覧履歴いいえ
検索履歴いいえ
識別子(Identifiers)
  • ユーザーID
  • デバイスID
はい、AdjustはAppleのガイドラインに従って、お客様に代わってIDFAやIDFVなどのデバイスIDデータ計測を目的として収集します。
購入
  • 購入履歴(Purchase History)
オプション - 設定すると、Adjustはお客様に代わってこのデータを収集することができます。
利用データ(Usage Data)
  • 製品の操作(Product Interaction)
  • 広告データ
  • その他の使用状況データ
  • Adjustは、お客様に代わって分析目的でプロダクトデータを収集します。
  • Adjustは広告データを収集しません。
  • Adjustは セッションイベント をデフォルトで収集します。その他の使用データはオプションであり、Adjustはマニフェストで設定した場合にのみデータを収集します。
診断データ
  • クラッシュデータ
  • パフォーマンスデータ
  • その他の診断データ
いいえ
その他のデータ(Other Data)
  • その他のデータタイプ
はい、Adjustはお客様に代わってデバイスIDデータを収集します。例:OSバージョンやAdjust SDKバージョンなどのデバイスメタデータ

1.1 Adjustが使用するデータ

以下の表に、Adjustがデータを使用する目的を示します。

目的Adjustの用途
サードパーティ広告オプション - 連携設定を行なった場合、Adjustはアプリで第三者の広告を表示する企業とデータを共有できます。

Adjustはほとんどのクライアントがこの設定をすると予想しているため、Adjustのプライバシーマニフェストではこの値は「Yes」に設定されています。
開発者の広告またはマーケティングオプション - 連携設定を行なった場合、Adjustはお客様、またはアプリで自社の広告を表示する企業とデータを共有できます。
アナリティクスはい
製品のパーソナライゼーションオプション - 関連データをエクスポートする場合、Adjustは、製品のパーソナライズに使用される関連データをお客様と共有できます。
アプリの機能いいえ
その他の目的いいえ

1.2 ユーザーにリンクされたデータ

Adjustは、Appleのポリシーに従ってデバイスIDを収集し、保管します。Adjustは、ハッシュ化された識別子を使用して分析データを整理します。Adjustの一部の機能オーディエンスビルダーなどでは、ハッシュ化されていないIDFAを収集し、保存する必要があります。

Appleのガイドラインに沿っている場合は、Adjustは収集されたデータを広告IDまたは他のデバイスIDに関連付けることができます。AdjustのデータをユーザーIDやアカウントIDなどの一意のユーザーIDに関連付ける場合、その方法はお客様独自の方法および裁量で行われます。

2. 理由の宣言が求められるAPI

Appleは、その使用を正当化する必要があるAPIリストを提供しています。これらのAPIを採用するアプリとSDKは、プライバシーマニフェストの「理由の宣言が求められるAPI」セクションでその使用方法を説明することが求められます。これらのAPIは、Appleの指定したトピックに沿って、その機能とアクセスするデータに基づいて分類されます。Adjust SDKの以下のAPIは、Adjust SDKのプライバシーマニフェストでカバーされています。

API理由詳細
NSPrivacyAccessedAPICategoryFileTimestampC617.1 NSFileCreationDate NSFileModificationDateのAPIは、アプリのインストール日を決定するために使用されます。
ユーザーデフォルトAPI NSPrivacyAccessedAPICategoryUserDefaultsCA92.1 SDKは、アプリが開かれた回数など、その機能に必要なデータを保持します。

3. トラッキングドメイン

ユーザーがATTフレームワークで同意しない場合、Appleはトラッキングドメインをブロックします。Adjust SDKは、リクエストを行う前に、ATT frameworkでユーザーが同意したかどうかを確認します。ユーザーが同意すると、トラッキングドメインにリクエストを送信します。そうでない場合、SDKはユーザー同意を必要とするデータポイントを省略し、別のドメインにリクエストを送信します。Adjustが使用するトラッキングドメインは、Adjust SDKのプライバシーマニフェストファイルに指定されています。

4. SDK署名

Appleのコンプライアンスでは、サードパーティのSDKに署名が必要です。 SDK署名は、アプリ開発者がAdjustのようなサードパーティSDKの信頼性と完全性を保証するために使用する方法です。

Adjust SDKには、必要なシグネチャーが含まれています。

5. アプリを設定する

最新のAdjust SDKを使用している場合、プライバシーマニフェストはデフォルトでSDKにバンドルされています。

Adjustプライバシーマニフェストは変更できません。ただし、以下のいずれかに該当する場合は、アプリレベルのプライバシーマニフェストで変更が必要な場合があります。

  • アプリデータの収集範囲がAdjustの基本機能の範囲外にあるか、あるいは、Appleのポリシーで指定されたデータポイントのいずれかを収集するようにAdjust SDKを設定している場合。
  • 他の目的で、機密データを他のトラッキングドメインに送信している場合。
  • アプリでその他の理由の宣言が求められるAPIにアクセスしている場合。
重要:

データポイントやその他の詳細を追加した場合でも、アプリレベルのプライバシーマニフェストファイルにはAdjustトラッキングドメインを追加しないでください。これらのドメインは、SDKレベルのプライバシーマニフェストファイルにすでに指定されています。その他のトラッキングドメインを使用している場合は、アプリレベルのプライバシーマニフェストでそれらを指定する必要があります。

プライバシーマニフェストレポートを受け取ったら、それが正確であることを確認し、提出インターフェイスに正しいNutrition Lebelsを適用してください。