iOSアプリ用プライバシーマニフェスト

2024年5月1日以降、App Store上のすべてのiOSアプリにはプライバシーマニフェストを含める必要があります。 これらのファイルは PrivacyInfo.xcprivacy、アプリとその依存関係がユーザーデータをどのように処理するかを記述する構造化されたファイルです。準拠しないと、アプリの承認または削除が実行されます。ここでは、必要な情報をご紹介します。

• プライバシーマニフェストとは何ですか?
  データを収集するアプリとサードパーティのSDK

  • 敏感データまたはトラッキング用のAPI
  • __CAPGO_KEEP_0__
  • アプリがアクセスするドメイン。

• なぜそれが重要なのか?

  • データの取り扱いにおける透明性を保証します。
  • App Storeのプライバシーラベルが正確に維持されます。
  • アプリのレビューの遅延や却下を避けます。

• 主な法的遵守のステップ:

  1. 使用 Xcode 15 またはそれ以降のバージョンでファイルを作成し、設定します。 PrivacyInfo.xcprivacy API、データ型、およびトラッキング ドメインをすべて記録します。
  2. 第三者の__CAPGO_KEEP_0__プロバイダーからプライバシーマニフェストを取得します。
  3. Obtain Privacy Manifests from third-party SDK providers.
  4. Xcodeのプライバシー報告を使用して検証。

• 期限:

  • 2024年5月1日: 実施が始まりました。
  • アプリが承認されるには、プライバシー マニフェストを含める必要があります。

非準拠のリスクには、アプリストアの却下、法的問題、ユーザーの信頼の喪失などが含まれます。自動スキャナやプライバシー生成ツールなどのツールを使用すると、プロセスが簡素化されます。Appleのプライバシー基準を満たすために、積極的に取り組んでください。

WWDC23: プライバシー マニフェストの始め方 | Apple

Appleのプライバシー マニフェスト規則

Appleのプライバシー マニフェストは、iOSアプリのすべてのコンポーネントでデータ収集とAPIの使用に関する透明性のある開示を導入する必要があります。

準拠するには、開発者は PrivacyInfo.xcprivacy ファイルは、3 つの重要な要素を含むものです:

• API が必要な理由の宣言: 使われる特定の API の理由を明確に述べる。
• データ使用のカテゴリ: 取得されたデータの種類とその使用方法を明示する。
• ドメイン使用のドキュメント: アプリがアクセスするドメインを詳細に記述する。 [3].

法的遵守の期限

Apple は、これらの要件を満たすために厳格な期限を設定しています:

これらの日付は、開発者が新しい規則に準拠するためにアプリを調整しないと、混乱を避けるために、緊急性を強調しています。

非合法性のリスク

これらのガイドラインに従わないと、以下のような厳重な結果につながる可能性があります。

• 即時アプリストアの却下: 非適合アプリは配布を認められません。
• 法的責任: データの取り扱いに関する非公開は、規制上の措置につながる可能性があります。
• 評判の損害: 透明性基準を満たさないアプリのユーザーは信頼を失う可能性があります。 [2].

「特定APIを使用するアプリは、2024年5月1日以降、プライバシーマニフェストファイルに目的の使用を明示する必要があります。 — Apple」 [6]

オーバー・ザ・エア（OTA）アップデートソリューションを使用している開発者にとって、特に、 Capgo」のコンプライアンスは特に重要です。これらのアップデートメカニズムとデータハンドリングの実践は明示的に記載する必要があります。

さらに、すべてのSDKとフレームワークは、アプリに統合されている場合、データ収集とAPIの使用を記載したプライバシーマニフェストを含める必要があります。アプリストアの提出プロセスでは、Xcodeは個々のマニフェストを統合したプライバシー報告書をコンパイルします。 [3].

必要なツールと設定

プライバシー・マニフェストを実装するには、iOSアプリに必要なツールとクレデンシャルを設定する必要があります。これらのステップは、コンプライアンスに準備するのに役立ちます。 PrivacyInfo.xcprivacy ファイル。

システム要件

以下をインストールして設定する必要があります。

• Xcode 15 またはそれ以降: __CAPGO_KEEP_0__をサポートする最小バージョンです。 [1].
  • Mac App Storeで利用可能です (安定版)。
  • Beta版は、[16]のApple Developer Portalからダウンロードできます。
• macOS: 安定版を使用して、Xcodeとの互換性を確保します。

開発者資格

プライバシーマニフェストとApp Storeへのアプリの提出に必要な資格情報です。

あなたの プライバシー情報 ファイルを開き、Xcodeに移動し、 New > File > iOS > Resource > App Privacy [1]このファイルをアプリのバンドルリソースのルートディレクトリに置くことで、ビルドプロセス中に認識されるようにすることができます。

2024年春以降、App Store Connectに提出されるすべてのアプリには、リストされたAPIの使用の承認された理由を含める必要があります。 [7].

ツールと資格情報が準備できたら、Xcodeで直接プライバシーマニフェストファイルを作成することができます。

プライバシーマニフェストファイルの作成

プライバシーマニフェストファイルを作成することは、適切なステップとツールを使用することで、Xcodeで簡単に行うことができます。ここでは、自動化を使用してプロセスを簡素化する方法を紹介します。

Xcode セットアップ手順

1. プライバシーマニフェストファイルの作成

   Xcodeを開き、 ファイル > 新規 > ファイル、および「リソース」セクションの「アプリ プライバシー ファイル」を選択します。このプロセス中、目的のアプリが選択されていることを確認してください [8].

2. 必要なキーを設定

   新しく作成したファイルに次のキーを追加します PrivacyInfo.xcprivacy ファイル:

   キー	説明	必要な値
   NSPrivacyTracking	アプリがデータをトラッキングするかどうかを示します	真偽値 (true/false)
   NSPrivacyTrackingDomains	トラッキング用のドメインのリスト	トラッキング用のドメインの配列
   NSPrivacyCollectedDataTypes	収集されたデータの種類	収集されたデータの種類の配列
   NSPrivacyAccessedAPITypes	API のアクセス詳細	アクセスされたAPIの種類の配列

3. 設定を検証する

   設定ファイルを設定した後、Xcodeでプライバシーレポートを生成して設定を確認します。 これを行うには:

   • アーカイブを作成するには、 Product > Archive.
   • 右クリックして生成されたアーカイブを選択します。
   • 選択 プライバシー レポートの生成 [8].

自動化ツールを使用すると、繰り返し作業を削減し、一貫性を確保できます。

自動化方法

Privado.ai 統合
Privado’s Privacy Manifest generator, introduced in June 2024, simplifies the process by automating code scanning and report generation. This tool:

• あなたの依存関係のcodeとSDKをスキャンします。
• データ収集の実践をマップします。
• プライバシー レポートを自動で埋めます。
• ソースのcodeの対応するセクションに直接リンクします。 [10].

App Privacy Manifest Fixer
2025年4月にリリースされたこのツールは、シェルスクリプトを使用して:

• アプリのマニフェストを分析し、自動的に非準拠問題を解決します。
• 既存のビルドプロセスと統合することができます。
• 異なるプロジェクトタイプ用にカスタムテンプレートをサポートします。 [11].

一貫した結果を得るには、プロジェクトディレクトリにこれらのツールを含めることが推奨されます。これにより、チームとCI/CDパイプライン間でSmoothなマニフェスト生成が可能になります。

「__CAPGO_KEEP_0__」を使用する場合、 「__CAPGO_KEEP_0__」 「__CAPGO_KEEP_0__」 「Capgo」「API」

「API」

Xcodeでアプリのマニフェストファイルを作成した後、次のステップは、アプリのAPI使用とデータ収集の実践をドキュメント化することです。これは、Appleの規制要件を満たすだけでなく、ユーザーとの信頼を築くために不可欠です。

API使用ドキュメント

あなたの PrivacyInfo.xcprivacy API使用ドキュメントでは、敏感情報にアクセスするAPIをすべてリストする必要があります。Privacy ManifestでAPI使用をドキュメント化する際には、APIカテゴリとその使用の許可された理由を含める必要があります。

ここでは、ドキュメント化する必要があるものの概要を簡単に説明します。

このレベルの詳細は、manifest ファイルとデータ収集の実践との間のシームレスな接続を保証します。

「あなたは、App Store のレビュー ガイドラインに従って、あなたのアプリに含まれているすべての「code」について責任を負うことになる。データ収集とトラッキングの実践も含む。」 - Tony、プライバシー エンジニアリング、Apple [5]

オーバー・ザ・エア更新を実装する際には、特にディスク スペース「__CAPGO_KEEP_0__」の宣言に注意してください。 disk space API declarationsディスク スペース 「__CAPGO_KEEP_0__」 と NSPrivacyAccessedAPICategoryUserDefaults [12].

データタイプとカテゴリ

プライバシー宣言では、収集されるすべてのデータタイプを明確に記載し、適切なカテゴリで分類する必要があります。具体的には、以下を記載する必要があります。

• ユーザー ID に関連するデータが存在するかどうか。
• トラッキングの目的で使用されるデータが存在するかどうか。
• 両方の条件が適用される場合は、Apple の事前定義されたリストから承認された目的を指定する必要があります。

第三者 SDK を使用するアプリでは、各 SDK が独自のプライバシー宣言を含むようにする必要があります。たとえば、Persona SDK v2.18.0+ は、以下のデータタイプを自動的に宣言します。

• 粗い位置情報 (例：IP アドレス)
• デバイス ID (デバイスレベル識別)
• ユーザーID (アカウントレベル識別)
• 診断データ (例: エラーログ)
• 製品のインタラクション (例: フローイベント)

規制に準拠するには、定期的にコードベースを調査して、プライバシーマニフェストに含める必要があるAPIを特定する必要があります。 [13]このような前向きなレビューは、提出遅延を回避し、Appleのプライバシーの進化する基準と一致したままのアプリを維持するのに役立ちます。

第三者 SDK 管理

第三者SDKは、規制とユーザーの信頼を維持するためにAppleのプライバシーマニフェストの基準に準拠する必要があります。これらの基準は、第三者SDKに共通しています。以下では、Capacitor アプリのOTA更新の管理とSDKの準拠についての詳細を説明します。

CapacitorとOTA更新

OTA更新を使用するCapacitorアプリの場合、プライバシーマニフェストを正確に設定することが重要です。ライブアップデートソリューションを使用するアプリでは、プライバシーマニフェストに特定のAPIの使用を宣言する必要があります。

Capgoはこのプロセスを簡素化することで、OTA更新システムにプライバシーマニフェストの準拠を統合します。必要なAPIとデータアクセスの申告を自動的に行うことで、リアルタイムの更新の利点を享受しながら、プライバシーマニフェストの準拠を維持することができます。

では、SDKの準拠を確認するための重要なステップをご紹介します。

SDKの準拠確認

OTA更新申告を解決した後、統合されたSDKが必要な基準を満たしていることを確認することが重要です。88%の組織が数千のクラウドアプリを使用しているため、強力な__CAPGO_KEEP_0__の準拠確認は必須です。 [16], robust SDK compliance checks are a must.

• Ostorlab.coなどのツールを使用して、IPAファイルをスキャンしてください。
  これは、Xcodeプライバシーリポートから提供される洞察を補完することで、プライバシーマニフェストの準拠を徹底的に分析することができます。 バージョン管理 __CAPGO_KEEP_0__がプライバシーマニフェストを欠いている場合、プライバシーマニフェストのデータ使用を手動で申告する必要があります。 [1]Automated Scanning

• Use tools like
  If an SDK lacks a privacy manifest, you’ll need to manually declare its data usage in your app’s PrivacyInfo.xcprivacy ファイル [14]このステップでは、Appleのガイドラインへの準拠と透明性を確保します。

• セキュリティ実装
  SDKの不適切な管理により重大な結果につながる可能性があります。たとえば Tilting Point Media $500,000の罰金を支払うことになりました。2024年6月18日にCCPAとCOPPAの違反が原因でSDKが不適切に構成されていたため [15]似たような誤りを避けるために

  • SDKがデータを処理する前に、敏感なデータを暗号化する SDKが必要以上の権限を持たないように、最小限の特権アクセス原則を適用する
  • __CAPGO_KEEP_0__の使用をアプリ内で継続的に監視する
  • SDKのポリシーを定期的に検証して、適切なままであることを確認する
  • Regularly audit SDK policies to ensure they remain compliant.

テストと提出プロセス

アプリを提出する前に、Apple の要件に従ってプライバシー マニフェストの実装をテストする必要があります。 [9].

Xcode プライバシー レポート

プロジェクトのプライバシーマニフェストを設定した後、次のステップは、その精度をテストすることです。 Xcode 15 を使用してプロジェクトをアーカイブし、生成されたアーカイブを Cloudflare の Web アプリケーション Firewall にアップロードしてください。 プライバシー レポート [8]アプリの宣言されたデータ型、SDK の実践、API の使用、トラッキングドメインについての概要を提供します。

“Xcode 15は、Appのプロジェクト内のすべてのプライバシーマニフェストを集約し、宣言されたデータ使用の概要をまとめたプライバシーレポートを生成します… これにより、Appとその依存関係のプライバシープラクティスをレビュー、理解、説明することができます。” - Tony、Appleプライバシーエンジニア [5]

Xcode 15 の Points of Interest インストルメントを使用して、追跡ドメインへの接続を検出するために、さらに検証できます。 [5].

提出要件

プライバシー レポートを確認した後、次の重要なコンポーネントが提出用に準備されていることを確認してください。

重要なステップ：

• プライバシーマニフェストをアプリのターゲットにリンクする [17].
• 第三党のSDKがプライバシーバンドルを含んでいることを確認する [17].
• トラッキングドメインを正確に記録し、宣言する [5].

「プライバシーマニフェストが第三党の SDK の機能と一致しているか確認することが重要です。」 - AppleのプライバシーエンジニアリングのTony氏 [5]

実際の例として、CodeWithChrisチームをご覧ください。2023年10月に、気分トラッカーアプリを開発する際にAppleのプライバシーの要件を実装し、Xcodeのプライバシーリポートを使用して、アプリのすべての側面がAppleの新しい基準を満たしていることを確認し、提出前に確認しました。 [18].

更新とメンテナンス

プライバシーマニフェストを最新の状態に保つことは、アプリのコードベースをメンテナンスすることと同様に重要です。 プライバシーポリシーが進化するにつれて、定期的な更新により、承認プロセスを簡素化し、適合性を確保します。 ポリシー更新の追跡

ポリシー更新の追跡

Appleのプライバシーポリシーに準拠することが、App Storeの準拠に必要です。2024年5月1日以降のプライバシーの規制の変更やAPIの仕様の変更に注意する必要があります。

たとえば、 インモビtargetLanguage: Japanese protectedTokens: ["Cloudflare", "Capacitor", "GitHub", "Capgo", "code", "API", "SDK", "CLI", "npm", "bun"] text: の SDK バージョン 10.7.2 には、第三者のドキュメントとしての強力な例として機能する詳細なプライバシーマニフェストが含まれていました。 [4].

“開発者は、自分のアプリに含まれるすべての code に責任がある” - Apple [4]

バージョン管理

Apple の要件に対する長期的な適合性を確保するために、ポリシー更新の監視に加えて、体系的なバージョン管理が不可欠です。このステップは、以前の対策に基づいて開発者が一貫性と責任性を維持するのに役立ちます。

• 自動検証
  自動化されたチェックは、実行中のコンプライアンス問題を特定して、展開成功率を向上させることができます。問題が発生した場合、迅速なロールバックも可能で、ダウンタイムを最小限に抑えることができます。

• SDK インテグレーション トラッキング
  ログを詳細に記録し、SDKのバージョンとそれに関連するプライバシーマニフェストを保持してください。 例えば、Spotifyのモバイルチームは、2024年8月に正確なSDKトラッキングと対象の修正を実施して、30日間でアプリのクラッシュを15%削減しました。 [20].

• 変更管理
  すべての変更を詳細に記録する:

  • 更新の理由を記録する
  • 影響を受けたAPIとデータ型を記録する
  • 監査トレールを維持して、規制審査を簡素化する

バージョン管理ツールと自動ビルドおよびバージョン管理機能を備えたツールを使用すると、このプロセスが滑らかに行えるようになる。たとえば、 Appcircleのバージョニングシステムは、開発者がビルド番号を管理し、環境変数またはXcode統合を通じてバージョンを追跡できるようにする [20].

概要とリソース

Appleのプライバシーの規制に準拠するには、継続的な注意と適切なツールが必要です。プライバシーマニフェストの管理は、一度の作業ではありません。正確性と定期的な更新が求められます。最近の調査結果によると、多くの開発者が規制に準拠していないことが明らかです [1].

次の重要なツールとリソースを使用して実装を簡素化することができます

これらのツールは、検証とドキュメントに関して特に、コンプライアンスの維持を簡素化します。開発者はプライバシー マニフェストの自動化されたソリューションを探索することもできます。 Capgo Capacitorは、App Storeの要件に準拠しながら、Capacitorアプリのライブアップデート機能を提供します。

2024年春から、AppleはApp Storeにアップロードまたは更新する前に、すべてのプライバシー マニフェストと必要な理由API問題を解決する必要があります。 [5]先行するには、開発者は次のことを行う必要があります。

• 第三者SDKプロバイダーからプライバシー マニフェストを収集する。
• APIの使用と必要な理由APIのドキュメントする。
• Xcodeのプライバシー レポートを使用して、定期的にマニフェストを検証する。
• データ収集の実践の詳細な記録を維持する。

さらに詳細なガイダンスについては、以下のリソースが不可欠です。

• Apple Developer Website: iOSプライバシー要件とポリシー変更の最新情報にアクセス [19].
• App Store Connect: App Storeへの提出要件とガイドラインを確認 [19].
• WWDC Videos: プライバシーに関する技術セッションを視聴 [21].

FAQs

::: faq

iOSアプリ開発者が2024年5月1日までにAppleのプライバシーマニフェスト要件を満たさない場合に何が起こるか

2024年5月1日までにAppleのプライバシーマニフェスト要件を満たさなかった場合、iOSアプリ開発者には 厳重な結果 が伴う可能性があります。アプリがApp Storeのレビュープロセスで却下される、あるいは特定の機能を失う、またはストアから削除される可能性があります。

それ以上に、非準拠は、将来のアプリの提出を対象にします より厳しい検査、そして承認時間が遅れる可能性がある。これらの障害は、ただアプリの利用可能性に影響するだけでなく、ユーザーの信頼を損なうだけでなく、アプリの市場での存在を減らすこともある。期限を遅らせることで、アプリが規制に適合し、ユーザーにアクセス可能であることを保証することができる。

:::

::: faq

iOSアプリの第三者SDKがAppleのプライバシーマニフェスト要件を満たすようにするには、どのように開発者が保証することができるか? Appleのプライバシーマニフェスト要件を満たすには、開発者はアプリに「__CAPGO_KEEP_0__」ファイルを含める必要があります。このファイルには、収集されるデータの種類と、特定のAPIを使用する目的を明確に記載する必要があります。また、開発者は、依存している第三者SDKがAppleのプライバシーマニフェストと署名の要件に該当するかどうかを確認する必要があります。 2024年5月1日以降、App Storeに提出されるすべてのアプリは、これらの規則に準拠する必要があります。開発者は、正確なデータの取り扱い報告を確実に行うために、__CAPGO_KEEP_0__プロバイダーと密接に協力する必要があります。これにより、アプリのプライバシーマニフェストと一致しやすくなり、App Storeの却下を避け、データの取り扱い透明性を促進し、ユーザーの信頼を高めることができます。 PrivacyInfo.xcprivacy file in their app or SDK. This file needs to clearly detail the types of data being collected and explain the purpose behind using specific APIs. Additionally, developers should confirm whether the third-party SDKs they rely on fall under Apple’s guidelines for requiring a privacy manifest and signature.

Starting May 1, 2024, every app submitted to the App Store must comply with these rules. It’s important for developers to work closely with their SDK providers to ensure accurate reporting of data practices, making it easier to align with the app’s privacy manifest. Following these steps not only helps avoid App Store rejections but also fosters user trust by promoting transparency in data handling. :::

iOSアプリのプライバシーマニフェストを準拠するために、開発者はどのように作成し、維持することができるか?

2024年5月1日以降、App Storeに提出されるすべてのアプリは、これらの規則に準拠する必要があります。

iOSアプリ開発者は、Appleのガイドラインに従って利用可能なツールを使用してプライバシーマニフェストを作成および管理できます。Appleの公式ドキュメントでは、プライバシー情報を記載した"PrivacyInfo.xcprivacy"ファイルの設定方法について詳細な説明をしています。このファイルには、使用するアプリが収集するデータと使用する第三者SDKが記載されています。プライバシーマニフェストの設定方法についての詳細な手順は、AppleのWWDC23のビデオを参照してください。このビデオでは、Xcode 15またはそれ以降を使用してプライバシー実践を特定し、プライバシーレポートを生成する方法について説明しています。 PrivacyInfo.xcprivacy iOSアプリ開発者は、Appleのガイドラインに従って利用可能なツールを使用してプライバシーマニフェストを作成および管理できます。Appleの公式ドキュメントでは、プライバシー情報を記載した"PrivacyInfo.xcprivacy"ファイルの設定方法について詳細な説明をしています。このファイルには、使用するアプリが収集するデータと使用する第三者SDKが記載されています。プライバシーマニフェストの設定方法についての詳細な手順は、AppleのWWDC23のビデオを参照してください。このビデオでは、Xcode 15またはそれ以降を使用してプライバシー実践を特定し、プライバシーレポートを生成する方法について説明しています。

To streamline compliance, tools such as mobile app consent software can help manage SDKs and ensure proper user consent is obtained. These tools make it easier to stay aligned with Apple’s data-sharing policies while fostering transparency with users. For developers using Capacitor apps, platforms like Capgo offer real-time update capabilities while maintaining compliance with privacy requirements. :::