アップル社による、Appプライバシー申告必須化

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2020年12月17日 
• タイトル： App Privacyの申告義務化
• 発表者：データサイン 代表取締役社長 太田祐一

App Storeのアプリ開発者は取得しているユーザーデータを明示せよ

2020年12月8日、アップル社は、自社デバイス用のアプリ開発者に対して、どのようなユーザーデータを、アプリ開発者自身や第三者が取得しているかを自ら開示するApp Privacyの掲載を必須にしました。アプリ開発者は、これらの情報を提供することができない場合や、提供した情報がデータ収集の実態と異なる場合に、アプリが公開できなくなったり、公開が差し止められたりする可能性があります。App Privacyの掲載に関して、アプリ開発者はどのような点に気を付けるとよいのでしょうか。データサイン 代表取締役社長の太田祐一が解説しました。

2020年6月にオンライン開催されたアップル社の年次イベントWWDC20（ワールドワイドデベロッパカンファレンス、世界開発者会議）で、同社はアプリ開発者に対し、アプリがどのような個人情報を収集し、どれを第三者に提供するのか、という情報を統一されたフォーマットで一覧表示することを義務付ける、と発表しました。ユーザーがアプリをダウンロードする前に、プライバシーポリシーを確認することができるようにするためです。

「ユーザーにわかりやすく伝えるための表示方法が、食品を封入する容器などに貼り付けられた食品表示ラベルに通じることから『食品表示ラベル型プラポリ』と呼ばれています。これがApp Privacyとしてアプリ開発者に義務付けられました」（太田）

マイデータ管理アプリ「paspit」のApp Privacyを見る

App Privacyにはどのような情報が開示されているのでしょうか。データサインが提供するマイデータ管理アプリ「paspit」（パスピット）を例に見てみましょう。App Storeのプレビューページ画面を、下にスクロールしていくと「Appのプライバシー」という欄があります。ここに掲載されているのがApp Privacyの情報です。

左側に「ユーザに関連付けられたデータ」として連絡先情報とID、右側の「ユーザに関連付けられないデータ」として使用状況データ、診断と記されています。その近傍に記された「詳細を表示」というリンクをクリックするとポップアップが表示されて、さらに詳しい情報を見ることができます。そちらによると、連絡先情報は「メールアドレス」で、IDは「ユーザID」、使用状況データは「製品の操作」、診断は「クラッシュデータ」であることなどがわかります。

「paspitではメールアドレスをユーザー認証に用いています。広告やアナリティクス、パーソナライズ、トラッキングなどには使用していないのでその旨をApp Storeの登録画面で記入しています」（太田）

App Privacyに記されるデータには、連絡先情報やIDのほかにも、ヘルスケアとフィットネス、財務情報、位置情報、機密情報、ユーザーコンテンツ、閲覧履歴、検索履歴など14種類あり、それぞれわかりやすくアイコン化されています。

「開示が必須ではない、すなわち任意となるデータにはトラッキング目的で使用されないこと、などの複数の条件をすべて満たすことが求められています。App Storeにあるトラッキングを行うアプリの中には、収集するデータの種類をすべて『ユーザに関連付けられたデータ』とするアプリもあります」（太田）

他社が所有するデータを用いた「トラッキング」を無自覚にやっていませんか？

トラッキングについて、アップルは「他社が所有するAppやWebサイトから収集されたユーザーデータに基づいて、自分のAppの中でターゲット広告を表示すること」をはじめとし、パブリックDMPとの位置情報などの機微なデータの共有、リタゲーティング用のSDK（ソフトウェア開発キットと呼ばれる第三者が提供するツール群）、RTB（Real Time Bidding）広告などが該当する4条件を挙げています。詳しくはApp StoreでのAppのプライバシーに関する詳細情報の表示をご覧ください。

Facebook利用者の中から既存顧客を見つけ出すカスタムオーディエンスのようなターゲティング広告を使用している場合、「当社はFacebookのサービスを利用しているだけ。自社のアプリはトラッキングをしているわけではない」と主張してもApp Privacyではトラッキングに該当します。

「不正行為の検出や防止用のSDKを導入している場合でも、自社アプリ以外の他社アプリの操作データにもアクセスして『あちらのアプリで不正行為をしているから、こちらのアプリでも不正をしそうだな』というような不正検知の仕方はトラッキングにあたります。不正検知SDKは、あくまで当該デベロッパが開発したアプリのためだけに使用することが条件です」（太田）

ただ、当該アプリがどのようなユーザーデータをどこへ送っているのかを正確に把握することは、アプリ開発者にとっても難しい、という現実があります。その理由は、アプリに組み込まれるSDKにあります。SDKの挙動はブラックボックス化されているため、アプリ開発者はどんなユーザーデータがどこへ送られているのかを意識せずにアプリを開発していることが一般的です。

「さらに厄介なのが、アプリがブラウザで閲覧するWebビューに連動する場合、Cookieに紐づいた情報も収集している可能性があり、それらの挙動も開発者側で把握しなければならない、ということです。SDK開発者による自主的な情報開示が求められます」（太田）

なお、データサインでは、スマートフォンアプリが、どのようなユーザーデータを取得しているかを調査するサービスを提供しています。対象アプリはiOS/iPadOSアプリ、Androidアプリです。調査依頼を受けたアプリが、どの外部事業者へどのようなデータを送信しているかを検出、一覧にして提供します。ご興味を持たれた方は、お気軽にお問い合わせください。