毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2024年4月18日
- タイトル:Apple のプライバシーマニフェスト
- メインスピーカー:データサイン 代表取締役社長 太田祐一
- MC:ビジネスディベロッパー 宮崎洋史
ブラックボックス化したサードパーティーSDKの挙動
アップルは2024年5月から、アプリ開発における新たな情報開示のルール「プライバシーマニフェスト」を導入しました。開発するアプリが、ユーザーに関するどんな情報をどのような目的で扱っているか、ユーザーに対してより正確に伝える仕組みです。導入前の課題、期待される改善効果など気になる点をランチタイムトークの話題に取り上げました。
プライバシーマニフェストは、2023年6月に開催されたアップルの開発者向けイベント、WWDC23で発表された施策です。
アップルは近年、ユーザーのプライバシー保護に関する取り組みを強化しており、2020年12月以降からアプリ開発者は、アプリが取得するユーザーに関するデータの種類や用途を明確にし、App Store のApp Privacy(アプリのプライバシー)という項目に掲載することが必須となっています。
しかし、サードパーティーSDK(ソフトウェア開発キット)と呼ばれる、第三者が提供するツール群の詳しい挙動や仕様はオープンに開示されているとは限りません。それらをアプリに組み込む必要があるアプリ開発者には、どのようなデータをどのような目的で利用しているか、という情報を提供元のベンダーから個別に入手し、App Privacyに正しく記載することは現実的には困難でした。
「したがって掲載されるプライバシーラベルの情報が正確性に欠けることが課題でした」(データサイン 代表取締役社長 太田祐一)
説明が必要なAPIを用いる場合は宣言が必要に
このような課題を解決または改善するために今回導入されたアップルのプライバシーマニフェストでは、アプリ開発者とサードパーティーSDK開発者それぞれに、データの取り扱いに関する宣言ファイル(プライバシーマニフェスト)を作成することが求められます。
アプリ開発者はプライバシーマニフェストに、これまでのプライバシーラベルに記載していた内容に加えて、利用に関する説明が必要となるAPIを用いる場合はその情報を記述し、プライバシーマニフェストが必要なSDKを利用している場合は当該SDKを最新の状態にすることが求められます。
一方、SDK開発者は、利用に関する説明が必要となるAPIを用いる場合はプライバシーマニフェストファイルを作成することが必要になります。
「利用に関する説明が必要となるAPIは主に、デバイスのディスク容量や入力に用いるキーボードの種類など、組み合わせることでデバイスを特定するフィンガープリンティングの懸念があるデータを呼び出すためのものです」(太田)
また、今回のプライバシーマニフェストでは、ユーザーのトラッキングに使われるドメインも事前に宣言することが義務づけられました。許可されたドメイン以外へのデータ送信は禁止されることになります。
アプリおよびSDKの開発者は、アップルが提供する統合開発環境「Xcode」上の設定画面からプライバシーマニフェストすなわち宣言ファイル(PrivacyInfo.xcprivacy)を作成します。
とはいえ特定のSDKベンダーによる自己申告
ただし、プライバシーマニフェストには気になる点もあります。
たとえば、アップルが指定するSDKは本ランチタイムトーク配信時点で、グーグルなどが提供するものを含めて80種類ほどです。
「それ以外のSDKについては、プライバシーマニフェストに特に記述する義務はありません。また、記述される情報は、アプリ開発者と同様に、SDKベンダーの自己申告によるものです。正しく記述されていることで、従来と比較して開示される情報の正確性が向上することになります」(太田)
正しく申告しているアプリ開発者にとって今回のアップルの施策は、開発負荷の軽減やユーザーのプライバシー配慮の強化につながるでしょう。なお、データサインではアプリがどのようなデータを収集し、どこに送信しているかを調査するサービスも提供しておりますのでご相談ください。