Appleのアプリ審査時の項目の1つに輸出コンプライアンスがあります。今までは暗号化を利用していなかったので、 NO にしていたのですが、今回新しく申請したAplosというアプリではRealmの暗号化を利用していたので輸出コンプライアンスに答える必要がでてきました。
※ 調べてみると厳密にはhttpsやiOSの暗号化を使っているアプリでもここは YES にして申請しなければいけないようです。
Realmのドキュメントには、
注意: 必ず、LICENSE.txtのExport Complianceセクションをお読みください。場合によっては、アメリカのEAR (Export Administration Regulations)で規制されることがあり、Realmの暗号化の機能が制限される場合があります。
と注釈があり、別途Realm社の方に直接質問したのですがアプリの要件によって異なるとの回答がありました。
そこで今回AplosというTwitterクライアントを申請した際に無事通った内容を共有したいと思います。
結論
今回のアプリの要件では最初の3問を YES で申請をだして、無事審査を通過しました。
輸出コンプライアンスについて
審査へ提出の一番最初に輸出コンプライアンスについての問があります。
問1
輸出コンプライアンス
この App を前回提出してから暗号化機能を追加または変更しましたか?
輸出法により、暗号化を含む製品は輸出のための適切な認可を受ける必要があります。違反した場合は厳罰の対象になる場合があります。輸出要件についてさらに詳しく。
問2
あなたの App は、暗号化を使うように設計されていますか?または、暗号化を含むか組み込んでいますか?(App が iOS または OS X で利用可能な暗号化のみ使用する場合でも「はい」を選択してください。)
これは暗号化を利用している場合は両方共 YES になると思います。
問題は次です。
問3
あなたの App は、米国輸出管理規則の第2部、カテゴリ5に記載の非課税資格をすべて満たしていますか?
ここに記載されている非課税基準を App が満たしていることを確認してください。App 作成者の責任で製品を適切に分類してください。分類が不適切な場合、米国の輸出法違反や、App Store からの App 削除を含む罰則の対象になる場合があります。FAQ を十分に確認してから質問に回答してください。
App の暗号化が以下の条件に当てはまる場合、質問#2には「はい」と回答することができます。
(a)医療関係者のエンドユーザ専用に設計されている
(b)知的所有権および著作権保護に限定されている
(c)認証、デジタル署名、またはデータやファイルの暗号解除に限定されている
(d)銀行口座での使用または「現金取引」専用に設計されている、またはこれらに限定されている、または
(e)「固定式」のデータ圧縮やコーディング技術に限定されている
また、米国輸出管理規則第2部、カテゴリ5、注記4の記述を App が満たしている場合も「はい」を選択できます。
非課税基準の詳細については、FAQを参照してください。
これは難しい・・・。今回は(a)~(e)は当てはまらないので米国輸出管理規則第2部、カテゴリ5、注記4を満たしているかどうかが問題です。
米国輸出管理規則の原文はもちろん英語です。難しい・・・。
そこで、詳しく解説してあるサイトがありましたので、そこから米国輸出管理規則第2部、カテゴリ5、注記4の日本語訳を引用させていただきます。
注4:カテゴリー5パート2は、"暗号"を組み込んでいる又は使用している品目であって、
次のすべての条件を満たすものには適用されない:
a. 品目の主たる機能又は一連の機能が次のいずれにも該当しないもの:
1."情報セキュリティー";
2. コンピュータ(これらのためのオペレーティングシステム、部品及び部分品を含む);
3. 情報の送信、受信若しくは保存(娯楽、マスコミュニケーション放送、デジタル著作権管理若しくは医療
記録管理を支援するものを除く);又は
4.ネットワーキング(ネットワークの操作、管理、運用及び構築を含む);
b. 暗号機能がこれらの品目の主たる機能又は一連の機能の支援のためにのみ用いられているもの;
並びに
c. 必要に応じて、上記のa項及びb項で定める条件に適合していることを確認するために、品目の詳細が
アクセスでき、かつ、請求があり次第、輸出国のしかるべき当局に提示されること。
引用: HTTPS を使ってるアプリを AppStore や Android Market で配信するときの輸出手続きについて(その2) - 規制対象になるかどうかの判断
AplosはTwitterクライアントなのでまずb.については満たすと判断できそうです。c.についてはa.を満たしていれば大丈夫そうです。
a.は全ての条件に該当しないかどうかが問われています。1. 2. 4.はクリアしていると思われます。3.が問題です。Twitterクライアントなので情報の送信、受信若しくは保存は該当してしまいますが、括弧書きの除外事項に娯楽があります。Twitterは娯楽に当てはまると考えられるので3.も該当しないと判断できそうです。
以上の理由から問3についても YES と答えて全ての質問項目が完了しました。
この内容で審査に提出したところ、無事通過しました。
問3をNOにした場合
いくつか追加で答える項目があり最終的には米国商務省産業安全保障局(BIS)が発行する暗号登録(ERN)の承認番号のコピーを提出する必要があります。
こちらはそこまで取得が難しいものでもないようです。
HTTPS を使ってるアプリを AppStore や Android Market で配信するときの輸出手続きについて(その4) - 商務省BISに暗号登録してみたよ!
参考
HTTPS を使ってるアプリを AppStore や Android Market で配信するときの輸出手続きについてがとても参考になりました。かなり詳細にEAR の暗号規制について書かれています。
この内容をまとめているKindle版も発売されていました。サイトの情報だけで十分だったのですが、とても助かったので支援でKindle版を購入させていただきました。