iOSアプリ用プライバシーマニフェスト

2024年5月1日以降、App StoreにアップロードされるすべてのiOSアプリには、プライバシーマニフェストを含める必要があります。これらのファイルは __CAPGO_KEEP_0__ PrivacyInfo.xcprivacyアプリとその依存関係がユーザーデータをどのように取り扱うかについての概要を示します。非準拠の場合、アプリの受け入れまたは削除につながる可能性があります。ここでは、必要な情報をご紹介します。

• プライバシーマニフェストとは何か
  構造化されたファイルで、以下を記載します。

  • アプリと第三のSDKによって収集されるデータ。
  • 敏感データやトラッキングに使用されるAPI。
  • アプリがアクセスするドメイン。

• なぜ重要か

  • データ取り扱いの透明性を確保します。
  • App Storeのプライバシーラベルが正確に表示されます。
  • アプリレビューの遅延や却下を避けます。

• 準拠の重要なステップ

  1. 使用 Xcode 15 から最新のバージョンまで PrivacyInfo.xcprivacy ファイル。
  2. すべてのAPI、データ型、トラッキングドメインをドキュメント化する。
  3. 第三者のSDKプロバイダーからプライバシーマニフェストを取得する。
  4. Xcodeのプライバシーリポートを使用して検証する。

• 期限:

  • 2024年5月1日: 適用が始まりました。
  • アプリは今後プライバシーマニフェストを含める必要があります。承認されないとしましょう。

非準拠のリスクには、アプリストアの拒否、法的問題、ユーザーの信頼の喪失などがあります。自動スキャナやプライバシーゲネレータなどのツールを使用すると、プロセスが簡素化されます。Appleのプライバシースタンダードを満たすために、積極的に取り組んでください。

WWDC23: プライバシーマニフェストの始め方 | Apple

Appleのプライバシーマニフェスト規則

Appleのプライバシーマニフェストでは、iOSアプリのすべてのコンポーネントで、データ収集とAPIの使用に関する透明性のある開示が必要になります。

これに従うには、開発者は PrivacyInfo.xcprivacy ファイルを作成し、3つの重要な要素を記載する必要があります。

• 必要な理由APIの宣言: 特定のAPIが使用されている理由を明確に述べること。
• データ使用分類: 取得されたデータの種類とどのように使用されるかを指定すること。
• ドメイン使用ドキュメント: アプリがアクセスするドメインを詳細に記載すること。 [3].

__CAPGO_KEEP_0__

Appleは、以下の要件を満たすために厳格な期限を設定しています:

__CAPGO_KEEP_3__

非準拠リスク

これらのガイドラインに従わないと、以下のような厳重な結果に直面する可能性があります:

• 即時アプリストアの拒否: __CAPGO_KEEP_0__アプリは承認されません。
• 法的保護: データの取り扱いに関する非公開は、規制措置の対象となります。
• 評判の損害: 透明性基準を満たさないアプリのユーザーは信頼を失います。 [2].

「2024年5月1日以降、特定のAPIを使用するアプリは、プライバシーマニフェストファイルに使用目的を明示する必要があります。 — Apple」 [6]

オーバー・ザ・エア（OTA）アップデートソリューションを使用する開発者にとって、 Capgo, の場合、合規性は特に重要です。これらのアップデートメカニズムやデータハンドリングの実践は、明示的に文書化する必要があります。

さらに、SDKとフレームワークをアプリに統合する場合、データ収集とAPIの使用についての詳細を含むプライバシーマニフェストを含める必要があります。アプリストアへの提出プロセスでは、Xcodeは個々のマニフェストを統合したプライバシーレポートにコンパイルします。 [3].

必要なツールとセットアップ

iOSアプリでプライバシーマニフェストを実装するには、開発環境に必要なツールとクレデンシャルをセットアップする必要があります。これらのステップは、合規性のための準備を支援します。 プライバシー情報 __CAPGO_KEEP_0__.

システム要件

Capgoを使用するには、以下のものがインストールおよび設定されている必要があります。

• Xcode 15 またはそれ以降: このバージョンは、プライバシー マニフェストをサポートする最小限のバージョンです。 [1].
  • Mac App Store からダウンロード可能です (安定版)。
  • Beta バージョンは、Apple Developer Portal からダウンロードできます [16].
• macOS: 安定版を使用すると、Xcode の互換性を保証できます。

開発者資格情報

プライバシー マニフェストとApp Storeにアプリを提出するには、以下の資格情報が必要です。

「PrivacyInfo.xcprivacy」を作成するには、Xcodeを開いて New > File > iOS > Resource > App Privacy アプリのバンドル リソースのルート ディレクトリにこのファイルを置くと、ビルド プロセス中に認識されるようにします。 2024 年春以降、App Store Connect に提出されるすべてのアプリには、リストされた __CAPGO_KEEP_0__ の使用のための承認された理由が含まれる必要があります。 [1]ツールと資格情報が準備できたら、直接 Xcode でプライバシー マニフェスト ファイルを作成することができます。

Starting in Spring 2024, Apple will require all apps submitted to App Store Connect to include approved reasons for any listed API usage [7].

プライバシー マニフェスト ファイルを作成するには、正しい手順とツールを使用する必要があります。ここでは、自動化を使用してプロセスを簡素化する方法を紹介します。

プロビジョニング プロファイル

デバイスのテストとデプロイに使用されます。

Xcode セットアップ ステップ

1. プライバシー マニフェスト ファイルを作成する

   Xcodeを開き、 ファイル > 新規 > ファイル, [8].

2. 「アプリ プライバシー ファイル」を「リソース」セクションの下で選択します。アプリのターゲットが選択されていることを確認します

   必要なキーを設定する PrivacyInfo.xcprivacy 新しく作成した

   ファイルに以下のキーを追加します:	キー名	__CAPGO_KEEP_0__
   NSプライバシートラッキング	アプリがトラッキング用にデータを使用するかどうかを示します	Boolean (true/false)
   NSプライバシートラッキングドメイン	トラッキング用に使用されるドメインのリスト	ドメインの配列
   NS収集されたデータの種類	収集されたデータの種類のリスト	NSアクセスAPIの種類
   __CAPGO_KEEP_0__へのアクセス詳細	API	配列の辞書のリスト

3. 設定を検証

   __CAPGO_KEEP_0__で設定したファイルを確認するには、Xcodeでプライバシー報告を生成する必要があります。方法は次のとおりです。

   • ファイルを設定した後、Product > Archiveを選択してアーカイブを作成します。 右クリックして生成されたアーカイブを選択します。.
   • Generate Privacy Reportを選択します。
   • 自動化ツールを使用すると、繰り返し作業を削減し、一貫性を保つことができます。 自動化方法 [8].

Privado.ai

統合

Capgo Capacitor
Privadoのプライバシーマニフェスト生成ツールは、2024年6月に導入され、codeのスキャンとレポートの自動生成を簡素化しました。このツールは:

• codeとSDKの依存関係をスキャンします。
• データ収集の実践をマップします。
• プライバシーレポートを自動で埋めます。
• codeの対応するセクションに直接リンクします。 [10].

Appプライバシーマニフェスト修正ツール
2025年4月にリリースされたこのツールは、シェルスクリプトを使用して:

• マニフェストを分析し、自動的に非準拠問題を解決します。
• 既存のビルドプロセスと統合します。
• プロジェクトの種類に応じたカスタムテンプレートをサポートします。 [11].

一貫した結果を得るには、プロジェクトディレクトリにこれらのツールを含める必要があります。これにより、チームとCI/CDパイプライン間でSmoothなマニフェスト生成が可能になります。

利用する場合 オーバー・ザ・エア更新 プラットフォームを通じて Capgo, アップデート機能に関連するデータ収集またはAPIの使用を反映するように、プライバシーマニフェストを保護してください。透明性を維持することは、App Storeの要件に準拠しながら、モダンな更新機能の利益を得るための鍵です。

データ収集とAPIのドキュメント

Xcodeでマニフェストファイルを構築した後、次のステップは、データ収集とAPIの使用に関するアプリのドキュメント作成です。これは、Appleの規制要件を満たすだけでなく、ユーザーとの信頼関係を確立するために不可欠です。

APIの使用ドキュメント

あなたの PrivacyInfo.xcprivacy ファイルには、敏感情報にアクセスするAPIをすべてリストする必要があります。プライバシーマニフェストにAPIの使用を記載する際には、APIのカテゴリとその使用の許可された理由を含めてください。

ここでは、記載する必要があるものの簡単な概要を示します。

このレベル詳細は、manifest ファイルとデータ収集の実践との間のシームレスな接続を保証します。

“アプリ内に含まれるすべてのcodeについては、App Store Review Guidelinesに従って責任を負ってください。データ収集およびトラッキングの実施についても含まれます。” - Tony、プライバシーエンジニアリング、Apple [5]

オーバー・ザ・エア更新を実装する際は、特にディスクスペース__CAPGO_KEEP_0__の宣言に注意してください。 disk space API declarationsプライバシーマニフェストでは、収集されたデータの種類を明確に記載し、適切に分類する必要があります。具体的には、以下を記載する必要があります。 ユーザーの個人情報にリンクしているかどうか。 トラッキングの目的で使用されているかどうか。 両方の条件が当てはまる場合は、Appleの定義済みリストから承認された目的を記載する必要があります。 [12].

データの種類とカテゴリ

データの種類とカテゴリ

• データの種類とカテゴリ
• データの種類とカテゴリ
• データの種類とカテゴリ

第三者 SDK を使用するアプリでは、各 SDK に独自のプライバシー マニフェストを含める必要があります。たとえば、Persona SDK v2.18.0+ は、以下のデータタイプを自動的に宣言します:

• 粗い位置 (例: IP アドレス)
• デバイス ID (デバイス レベル ID)
• ユーザー ID (アカウント レベル ID)
• 診断データ (例: エラーログ)
• 製品のインタラクション (例: フロー イベント)

規制を維持するには、定期的にコードベースを調査して、プライバシー マニフェストに含める必要がある API を特定する必要があります。 [13]. このような事前のレビューは、Apple のプライバシー基準の進化に合わせてアプリを維持し、提出遅延を防ぐのに役立ちます。

第三者 SDK 管理

第三者 SDK は、規制遵守とユーザーの信頼を維持するために、Apple のプライバシー マニフェスト基準に準拠する必要があります。これらの基準は、第三者 SDK に対して同等に重要です。以下に、Capacitor アプリの OTA 更新の管理と SDK の準拠に関する詳細が記載されています。

Capacitor と OTA 更新

Capacitor アプリでオーバー・ザー・アイア (OTA) 更新を使用する場合、プライバシー マニフェストを正確に設定することが重要です。ライブ更新ソリューションを使用するアプリでは、プライバシー マニフェストに特定の API 使用を宣言する必要があります。

Capgoは、OTA更新システムにプライバシー マニフェストの準拠を統合することで、このプロセスを簡素化します。必要なAPIとデータ アクセスを自動的に宣言することで、リアルタイムの更新から利益を得ながら、Appが準拠を維持することを保証します。

今回は、SDKの準拠を確認するための重要なステップをご紹介します。

SDKの準拠確認

OTA更新の宣言を解決した後、統合されたSDKが必要な基準を満たしていることを確認することが重要です。88%の組織が数千のクラウド アプリを使用しているため、robustな__CAPGO_KEEP_0__の準拠確認は必須です。 [16], robust SDK compliance checks are a must.

• ツールとして
  Use tools like Ostorlab.co アプリのIPAファイルをスキャンする [1]この機能は、Xcode Privacy Reportから得られる洞察を補完し、アプリの適合性を徹底的に分析します。

• バージョン管理
  もしSDKにプライバシーマニフェストが欠けている場合、 PrivacyInfo.xcprivacy アプリの [14]ファイル

• セキュリティ実装
  SDKの管理が不十分な場合、重大な結果を招く可能性があります。 Tilting Point Mediaは、 2024年6月18日に、CCPAとCOPPAの違反に対して500,000ドルの和解金を支払うことになりました。 [15]これは、不適切に設定されたSDKの結果です。

  • 機密データを暗号化してSDKが処理する前に __CAPGO_KEEP_0__がアプリ内で使用されていることを継続的に監視する
  • __CAPGO_KEEP_0__ポリシーを定期的に検証して、適切なものであることを確認する
  • Continuously monitor SDK usage within your app.
  • Regularly audit SDK policies to ensure they remain compliant.

Xcodeプライバシー報告書

__CAPGO_KEEP_0__の正確性を確認するために、Xcode 15を使用してプロジェクトをアーカイブし、プライバシー報告書を生成する [9].

プライバシー報告書

__CAPGO_KEEP_0__の使用状況、__CAPGO_KEEP_1__の使用状況、トラッキングドメインに関するアプリの宣言されたデータタイプの概要を提供する 「Xcode 15は、アプリのプロジェクト内のすべてのプライバシーマニフェストを集約し、宣言されたデータ使用の概要を生成することができます。これにより、依存関係を含むアプリとそのプライバシープラクティスの説明を確認、理解、説明することができます。」 - Tony、Appleプライバシーエンジニア [8]. This report provides an overview of your app’s declared data types, SDK practices, API usage, and tracking domains.

before it’s handled by SDKs. [5]

Xcode 15 でポイント オブ インタレスト インストルメントを使用して、追跡ドメインへの接続を検出することができます。 [5].

提出要件

プライバシー レポートを確認した後、次の重要な要素が提出用に準備されていることを確認してください。

重要なステップを検証する:

• プライバシーマニフェストをアプリターゲットとリンク [17].
• 第三者SDKがプライバシーバンドルを含んでいることを確認 [17].
• トラッキングドメインを正確に記録して宣言する [5].

「プライバシーマニフェストが第三者SDKの機能と一致していることを確認する」ということはTony、Appleのプライバシーエンジニアが言っていました [5]

実際の例として、CodeWithChrisチームを取り上げます。2023年10月に、気分トラッカーアプリを開発するためにAppleのプライバシーの要件を実装しました。Xcodeのプライバシーレポートを使用して、すべてのアプリの機能がAppleの新しい基準を満たしていることを確認することができました。 [18].

メンテナンスと更新

__CAPGO_KEEP_0__ プライバシー情報の更新 プライバシー情報の更新は、コードベースのメンテナンスと同じように重要です。プライバシーポリシーが進化すると、定期的な更新により、適合性と承認プロセスのスムーズ化が実現します。

ポリシー更新の追跡

Appleのプライバシーポリシーに合わせることは、App Storeの適合性を維持するために不可欠です。2024年5月1日以降の施行期限以降、開発者はプライバシー規制の変更とAPIの仕様の監視に重点を置く必要がありました。

例えば、 InMobi の「開発者は、自分のアプリに含まれるすべての SDK に責任があります」 - Apple [4].

“Developers are responsible for all code included in their apps” - Apple [4]

Apple の要件が進化するにつれて、長期的な適合性を確保するために、システム的にはバージョン管理が不可欠です。このステップは、以前の措置に基づいており、開発者が一貫性と責任を保つのに役立ちます。

__CAPGO_KEEP_0__ version 10.7.2 には、第三者のドキュメントとしての強力なプライバシーマニフェストが含まれていました。

• 自動検証
  自動チェックは、実時間で非準拠問題を検出して、展開成功率を向上させることができます。また、問題が発生した場合に迅速なロールバックを可能にし、ダウンタイムを減らします。

• SDK統合追跡
  SDKのバージョンと関連するプライバシーマニフェストを詳細に記録してください。たとえば、Spotifyのモバイルチームは、2024年8月に正確なSDK追跡と対象化された修正によって、30日間でアプリのクラッシュを15%削減しました。 [20].

• 変更管理
  すべての変更を徹底的に記録してください:

  • 更新の理由を記録してください
  • 影響を受けるAPIとデータタイプを記録してください
  • 検証の簡素化を目的とした監査トレイルを維持してください

自動ビルドとバージョン管理機能を備えたバージョン管理ツールを使用することで、このプロセスをスムーズにすることができます。たとえば Appcircleのバージョニングシステムは、開発者がビルド番号を管理し、環境変数またはXcode統合を通じてバージョンを追跡できるようにします [20].

概要とリソース

Appleのプライバシー基準に準拠するには、継続的な注意と適切なツールが必要です。プライバシーマニフェストの管理は、一度の作業ではありません - 正確性と定期的な更新が求められます。最近の調査結果によると、多くの開発者はまだ準拠していません [1].

ここでは、実装を簡素化するための重要なツールとリソースを紹介します。

これらのツールは、検証とドキュメントの処理を簡素化し、特に検証とドキュメントの処理を簡素化します。開発者はプライバシーマニフェストの管理の自動化されたソリューションを調べることもできます。たとえば Capgo Capacitorアプリ向けのライブアップデート機能を提供する

Starting in Spring 2024, Apple will require apps to resolve all privacy manifest and Required Reason API issues before they can be submitted or updated in the App Store [5]2024年春から、AppleはアプリがApp Storeに提出またはアップデートされる前に、プライバシーマニフェストと必要な理由__CAPGO_KEEP_0__の問題を解決する必要があります。

• Collect privacy manifests from third-party SDK providers.
• トラッキングドメインをすべてドキュメント化し、必要な理由APIの使用を確認する。
• 定期的にXcodeのプライバシーレポートを使用してマニフェストを検証する。
• データ収集の実践に関する詳細な記録を保持する。

さらに詳細なガイダンスについては、以下のリソースが不可欠です:

• Apple Developer Website: プライバシー要件とポリシー変更に関する最新情報を参照する。 [19].
• App Store Connect: 提出ガイドラインと要件を確認する。 [19].
• WWDC Videos: プライバシーに関する技術セッションを視聴する。 [21].

FAQs

::: faq

What happens if iOS app developers don’t meet Apple’s Privacy Manifest requirements by May 1, 2024?

iOS app developersがAppleのプライバシー・マニフェストの要件を満たさない場合の結果は? Failing to meet Apple’s Privacy Manifest requirements by May 1, 2024, could have Appleのプライバシー・マニフェストの要件を満たさない場合、iOSアプリ開発者にとっては重大な結果

for iOS app developers. Your app might face rejection during the App Store review process, lose certain features, or even be removed from the store altogether. iOSアプリ開発者にとって、App Storeの審査プロセスでアプリが却下される、特定の機能が削除される、またはストアから完全に削除される可能性があります。Beyond that, non-compliance could subject future app submissions to

さらに、非準拠は将来のアプリの提出を

greater scrutiny

, potentially delaying approval times. 厳しい審査の結果、承認時間が遅れる可能性があります。 These setbacks don’t just affect your app’s availability - they can also erode user trust and diminish your app’s presence in the marketplace. Staying ahead of the deadline helps ensure your app remains compliant and accessible to your audience. ::: PrivacyInfo.xcprivacy アプリ内で使用するファイルまたはSDK。このファイルには、収集されるデータの種類と、特定のAPIを使用する目的を明確に記載する必要があります。開発者は、Appleのガイドラインに準拠するかどうかを確認する必要があります。Appleのガイドラインに準拠しない第三パーティーSDKを使用している場合は、プライバシーマニフェストと署名が必要になります。

2024年5月1日以降、App Storeに提出されるすべてのアプリは、これらの規則に準拠する必要があります。開発者は、SDKプロバイダーと協力して、正確なデータの報告を行い、プライバシーマニフェストとアプリのデータの取り扱いを一致させることができます。これらのステップを実行することで、App Storeの却下を回避し、ユーザーの信頼を高めることができます。

:::

::: faq

Appleのポリシーに準拠するために、iOSアプリのプライバシーマニフェストを作成および維持する方法はありますか。 iOSアプリの開発者は、Appleのガイドラインに従い、利用可能なツールを使用してプライバシーマニフェストを作成および管理できます。Appleの公式ドキュメントには、プライバシーマニフェストの設定方法についての詳細な説明が記載されています。 PrivacyInfo.xcprivacy

コンプライアンスを簡素化するために、モバイルアプリの同意ソフトウェアなどのツールを使用して、SDKを管理し、ユーザーの同意を適切に取得することができます。これらのツールは、Appleのデータ共有ポリシーに沿ったまま、ユーザーとの透明性を高めることができます。Capacitorアプリを使用する開発者向けに、Capgoなどのプラットフォームは、リアルタイムの更新機能を提供しながら、プライバシー要件に準拠したままです。