Export Compliance Documentation
You're required to provide documentation if your app contains any of the following:
Encryption algorithms that are proprietary or not accepted as standard by international standard bodies (IEEE, IETF, ITU, etc.)
Standard encryption algorithms instead of, or in addition to, using or accessing the encryption within Apple's operating system
翻訳後
輸出コンプライアンス文書
アプリに以下のいずれかが含まれる場合、文書の提出が必要です。
独自の、または国際標準化団体(IEEE、IETF、ITUなど)に標準として受け入れられていない暗号化アルゴリズム。
Appleのオペレーティングシステム内の暗号化を使用またはアクセスする代わりに、またはそれに加えて、標準的な暗号化アルゴリズム
と2つの条件がある。
一つ目の条件は
Based on your answers, you need to upload a copy of the following:
U.S. Commodity Classification Automated Tracking System (CCATS) approval form from the U.S. Bureau of Industry and Security (BIS)
回答に基づき、以下のコピーをアップロードする必要があります。
米国産業安全保障局(BIS)による米国商品分類自動追跡システム(CCATS)承認書
と承認証が必要。
二つ目の(Appleのオペ~)の方はフランスを配布対象にしない限りは
Based on your answers, you don't need to upload any documents. You can specify that you don't use encryption in the information property list (Info.plist) in your Xcode project to avoid answering encryption questions with each app submission. Learn More
回答に基づいて、ドキュメントをアップロードする必要はありません。Xcodeプロジェクトの情報プロパティリスト(Info.plist)で暗号化を使用しないことを指定すると、アプリを提出するたびに暗号化の質問に答える必要がなくなります。詳細はこちら
と表示され、提出の必要はないようだ。
つまり実質的にはフランスに配布しなければ
独自の、または国際標準化団体(IEEE、IETF、ITUなど)に
標準として受け入れられていない暗号化アルゴリズム。
を利用している場合のみ書類の提出が必要なようである。
Appleの公式見解?
Complying with Encryption Export Regulations
Declare the use of encryption in your app to streamline the app submission process.
Overview
When you submit your app to TestFlight or the App Store, you upload your app to a server in the United States. If you distribute your app outside the U.S. or Canada, your app is subject to U.S. export laws, regardless of where your legal entity is based. If your app uses, accesses, contains, implements, or incorporates encryption, this is considered an export of encryption software, which means your app is subject to U.S. export compliance requirements, as well as the import compliance requirements of the countries where you distribute your app.
Every time you submit a new version of your app, App Store Connect asks you questions to guide you through a compliance review. You can bypass these questions and streamline the submission process by providing the required information in your app’s Information Property List file.
For more information about export compliance, read Export compliance overview.
Declare Your App’s Use of Encryption
Add the ITSAppUsesNonExemptEncryption key to your app’s Info.plist file with a Boolean value that indicates whether your app uses encryption. Set the value to NO if your app—including any third-party libraries it links against—doesn’t use encryption, or if it only uses forms of encryption that are exempt from export compliance documentation requirements. Otherwise, set it to YES.
Typically, the use of encryption that’s built into the operating system—for example, when your app makes HTTPS connections using URLSession—is exempt from export documentation upload requirements, whereas the use of proprietary encryption is not. To determine whether your use of encryption is considered exempt, see Determine your export compliance requirements.
Important
If your app uses exempt forms of encryption, you might alternatively be required to submit a year-end self-classification report to the U.S. government. (If you use non-exempt encryption and provide documentation to Apple, the self-classification report isn’t necessary.) To learn more, see How to file an Annual Self Classification Report.
Provide Compliance Documentation
If your app requires export compliance documentation, upload the required items to App Store Connect, as described in Upload export compliance documentation. After successfully reviewing the documents, Apple provides you with a code. Add this string as the value for the ITSEncryptionExportComplianceCode key in your app’s Info.plist file.
Export compliance overview
If your app uses, accesses, contains, implements, or incorporates encryption, and you intend to upload, test, and distribute your app through the App Store, you’ll need to determine your export compliance requirements in App Store Connect.
Examples of apps requiring an export compliance determination include, but aren’t limited to, apps that use:
Standard encryption algorithms.
Crypto functionality within Apple’s operating system.
Proprietary or non-standard encryption algorithms. The U.S. Government defines "non-standard cryptography" as any implementation of "cryptography" involving the incorporation or use of proprietary or unpublished cryptographic functionality, including encryption algorithms or protocols that have not been adopted or approved by a duly recognized international standards body(e.g., IEEE, IETF, ISO, ITU, ETSI, 3GPP, TIA, and GSMA) and have not otherwise been published.
It’s your responsibility to review the Export Administration Regulation to determine if your app’s use of encryption requires a formal classification (Commodity Classification Automated Tracking System or CCATS) from BIS. All liabilities associated with misinterpretation of the export regulations or claiming exemption inaccurately are your responsibility. To learn more about encryption export controls, visit the U.S. Department of Commerce Bureau of Industry and Security (BIS) website and search for encryption policy. The Government of France also controls the import and export of encryption apps distributed in France. The main items of control for France are Secure Storage, Secure Communications and Security Anti-Virus applications. Exemptions include Banking and Medical applications. For more information about these French controls, visit the Agence nationale de la sécurité des systèmes d’information (ANSSI) website.
When you submit a new version of your app, you’ll be required to answer questions in App Store Connect about your app's use of encryption. Follow the steps below before submitting your app to App Review to ensure that you’re submitting the right documentation and to bypass these questions if your app doesn’t use encryption.
Determine your export compliance requirements.
App Store Connect provides a simple way for you to determine your export compliance requirements by presenting you with a set of questions about your app and where you plan to make it available. Proceed based on the scenarios below:
暗号化輸出規制への対応
アプリに暗号を使用することを宣言し、アプリの提出プロセスを効率化します。
概要
TestFlightまたはApp Storeにアプリを提出すると、米国内のサーバーにアプリがアップロードされます。お客様のアプリを米国またはカナダ以外で配布する場合、お客様の法人がどこに拠点を置いているかにかかわらず、お客様のアプリには米国の輸出法が適用されます。お客様のアプリが暗号を使用、アクセス、含有、実装、または組み込んでいる場合、これは暗号化ソフトウェアの輸出とみなされ、お客様のアプリは、米国の輸出コンプライアンス要件、およびお客様がアプリを配布する国の輸入コンプライアンス要件の対象となることを意味します。
アプリの新バージョンを提出するたびに、App Store Connectは、コンプライアンス審査に誘導するための質問をします。アプリの情報プロパティリストファイルで必要な情報を提供することにより、これらの質問を回避し、提出プロセスを効率化できます。
輸出コンプライアンスについて詳しくは、輸出コンプライアンスの概要をご覧ください。
アプリの暗号化の使用について宣言する
アプリのInfo.plistファイルにITSAppUsesNonExemptEncryptionキーを追加し、アプリが暗号化を使用しているかどうかを示すブール値を設定します。アプリ(リンク先のサードパーティライブラリを含む)が暗号化を使用していない場合、または輸出コンプライアンス文書の要件から免除される形式の暗号化のみを使用している場合、この値をNOに設定します。それ以外の場合は、YESに設定します。
通常、オペレーティングシステムに組み込まれている暗号化(たとえば、URLSessionを使用してHTTPS接続を行う場合)は、輸出書類のアップロード要件から除外されますが、独自の暗号化の使用はそうではありません。暗号化の使用が免除されるかどうかを判断するには、「輸出コンプライアンス要件の判断」を参照してください。
重要
アプリで非対象の暗号化を使用している場合、代わりに米国政府に年末の自己分類報告書を提出する必要がある場合があります(非対象の暗号化を使用している場合は、米国政府に年末の自己分類報告書を提出する必要があります)。(非適用の暗号化を使用していて、Appleに書類を提出する場合は、自己分類報告書は必要ありません)。詳しくは、Annual Self Classification Report(年次自己分類報告書)の提出方法をご覧ください。
コンプライアンス書類を提供する
アプリに輸出コンプライアンス文書が必要な場合は、輸出コンプライアンス文書のアップロードで説明するように、必要な項目をApp Store Connectにアップロードします。書類の審査に合格すると、Appleからコードが提供されます。この文字列を、アプリのInfo.plistファイルにあるITSEncryptionExportComplianceCodeキーの値として追加します。
輸出コンプライアンスの概要
お客様のアプリケーションが暗号化を使用、アクセス、含有、実装、または組み込んでおり、App Storeを通じてアプリケーションをアップロード、テスト、配布する予定である場合、App Store Connectで輸出コンプライアンス要件を決定する必要があります。
輸出コンプライアンスの判断が必要なアプリの例としては、以下を使用するアプリが含まれますが、これに限定されるものではありません。
標準的な暗号化アルゴリズム。
Appleのオペレーティングシステム内の暗号化機能。
独自または非標準の暗号化アルゴリズム。米国政府は、「非標準暗号」を、正式に認められた国際標準化団体(IEEE、IETF、ISO、ITU、ETSI、3GPP、TIA、GSMAなど)により採用または承認されておらず、その他の方法で公開されていない暗号アルゴリズムまたはプロトコルを含む、独自のまたは公開されていない暗号機能の組み込みまたは使用を伴う「暗号」実装と定義しています。
あなたのアプリの暗号化の使用がBISからの正式な分類(Commodity Classification Automated Tracking SystemまたはCCATS)を必要とするかどうかを判断するために輸出管理規則を確認するのは、あなたの責任です。輸出規制の誤った解釈や不正確な免除の主張に関連するすべての責任は、お客様の責任となります。暗号の輸出規制の詳細については、米国商務省産業安全保障局(BIS)のウェブサイトにアクセスし、暗号政策について検索してください。フランス政府も、フランス国内で配布される暗号化アプリの輸出入を規制しています。フランスの主な規制項目は、セキュアストレージ、セキュアコミュニケーション、セキュリティアンチウィルスアプリケーションです。例外として、銀行業務用と医療用アプリケーションがあります。これらのフランスの規制の詳細については、Agence nationale de la sécurité des systèmes d'information(ANSSI)のウェブサイトをご覧ください。
アプリケーションの新バージョンを提出する際には、App Store Connectで、アプリケーションの暗号化の使用に関する質問に回答する必要があります。アプリをApp Reviewに提出する前に以下の手順に従って、正しい書類を提出していることを確認し、アプリで暗号化を使用していない場合はこれらの質問を回避してください。
輸出コンプライアンス要件を決定します。
App Store Connectでは、アプリとそれを提供する予定の場所に関する一連の質問を提示し、輸出コンプライアンス要件を判断するための簡単な方法を提供します。以下のシナリオに基づいて進めてください。