Missing privacy manifest file
プライバシーマニフェストファイルが不足しています
概要
プライバシーマニフェストは、アプリケーションとそのサードパーティ SDK がユーザーから収集するデータの種類、これらのデータを収集する背後にある目的、およびこれらの目的で利用される特定の API を概説する正式な宣言です。
プライバシーマニフェストとは何ですか?
より広い意味で、プライバシーマニフェストは、アプリのプロジェクト内にある次のような包括的なドキュメントまたはファイルと見なすことができます。 アプリが収集するデータの種類 (位置情報、個人識別子、使用状況データなど) をリストします。 各種類のデータを収集する背後にある目的 (ユーザーエクスペリエンスの向上、パーソナライズされたコンテンツの提供など) を説明します。 このデータにアクセスまたは収集する、使用されている API およびサードパーティ SDK の詳細を記載します。 プライバシー法およびプラットフォームのガイドライン (GDPR、CCPA、Apple の App Store 審査ガイドラインなど) に準拠していることを確認します。
プライバシーマニフェストの重要性
-
規制コンプライアンス: 世界中の多くの管轄区域では、厳格なデータ保護法とプライバシー法が定められています。プライバシーマニフェストは、データ使用の実践を透過的に宣言することで、アプリがこれらの法律に準拠していることを保証するのに役立ちます。
-
プラットフォーム要件: Apple はプライバシーに関して特定のガイドラインと要件を定めています。詳細なプライバシーマニフェストは、特に App Store の審査プロセスに合格するために、これらの要件を満たすのに役立ちます。
-
ユーザーの信頼: アプリがユーザーデータを収集、使用、および管理する方法の透明性は、ユーザーの信頼を大幅に高めることができます。プライバシーマニフェストは、この透明性を構築するためのステップであり、アプリがユーザーのプライバシーを尊重していることをユーザーに示します。
-
データの最小化と目的の制限: 開発者が収集するデータを明示的にリスト化して正当化することを強制することにより、プライバシーマニフェストはデータの最小化と目的の制限の原則を促進します。これらの原則はプライバシー・バイ・デザインのプラクティスの核心であり、アプリが必要以上のデータを収集せず、宣言された目的のためにのみデータを使用することを保証します。
プライバシー上の理由から追加する必要がある理由
-
透明性の向上: どのようなデータがなぜ収集されるのかに関する明確な情報をユーザーに提供し、アプリの使用について十分な情報に基づいた決定を下せるようにします。
-
ユーザーの信頼の構築: プライバシーへの取り組みを示すことで、混雑した市場でアプリを差別化し、プライバシーを重視するユーザーに対する魅力を高める可能性があります。
-
将来の規制への準備: 規制の状況は急速に進化しており、ユーザーのプライバシーとデータ保護がますます重視されています。プライバシーマニフェストのような対策を積極的に採用することで、アプリは将来のコンプライアンス要件に適切に対応できるようになります。
-
法的および風評上のリスクの回避: プライバシー法およびガイドラインに従わない場合、多額の罰金、法的な異議申し立て、およびアプリの評判の低下を招く可能性があります。プライバシーマニフェストは、これらのリスクを軽減するためのステップです。
推奨事項
iOS アプリとそのサードパーティ SDK のプライバシーマニフェストファイル (PrivacyInfo.xcprivacy) を宣言するという要件に対処するには、このファイルを作成して構成し、アプリが収集するデータの種類、このデータを収集する理由、およびこれらの宣言を必要とする特定の API を詳細に記述する必要があります。このステップは、アプリがプライバシーガイドラインに準拠していることを保証し、透明性を高め、ユーザーとの信頼関係を構築するために不可欠です。
PrivacyInfo.xcprivacy ファイルのセットアップを案内する手順の概要と例を次に示します。
ステップ 1: プライバシーマニフェストファイルを作成する
- [File] > [New] > [File] を選択します。
- Resource セクションまでスクロールし、App Privacy ファイルタイプを選択します。
- [Next] をクリックします。
- [Targets] リストでアプリまたはサードパーティ SDK のターゲットにチェックを入れます。
- [Create] をクリックします。
ステップ 2: 必要な API のエントリを追加する
PrivacyInfo.xcprivacy ファイル内に、アプリまたはそのサードパーティ SDK が使用する API を表す Key-Value ペアと、それらを使用する理由を追加する必要があります。キーは API の名前にし、値はアプリでこれらの API を使用する目的を説明する文字列にする必要があります。
PrivacyInfo.xcprivacy の構造の例を次に示します。この例では、「File timestamp API」と「User defaults API」が使用されていることを想定しています。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>NSPrivacyAccessedAPITypes</key>
<array>
<dict>
<key>NSPrivacyAccessedAPIType</key>
<string>NSPrivacyAccessedAPICategoryDiskSpace</string>
<key>NSPrivacyAccessedAPITypeReasons</key>
<array>
<string>E174.1</string>
</array>
</dict>
<dict>
<key>NSPrivacyAccessedAPIType</key>
<string>NSPrivacyAccessedAPICategoryUserDefaults</string>
<key>NSPrivacyAccessedAPITypeReasons</key>
<array>
<string>CA92.1</string>
</array>
</dict>
</array>
</dict>
</plist>
ステップ 3: 正確性とコンプライアンスを確保する
アプリの機能の反映: リストされた理由が、アプリがこれらの API から取得したデータをどのように使用しているかを正確に反映していることを確認します。
トラッキングの禁止: 明示的に宣言されており、アプリの機能に必要な場合を除き、API または派生データをトラッキングの目的で使用しないことを確認します。
必要に応じたレビューと更新: アプリが進化するにつれて、新しいデータの収集や API の使用状況に合わせて PrivacyInfo.xcprivacy ファイルを定期的にレビューし、更新してください。
ステップ 4: ドキュメント化とレビュー
提出する前に、アプリのドキュメントとアプリ内の開示を再確認して、それらが PrivacyInfo.xcprivacy ファイルで行われた宣言と一致していることを確認してください。この一貫性は、App Store 審査ガイドライン、特にプライバシーに関連するガイドラインに合格するために不可欠です。
これらの手順を遵守することで、アプリケーションがプライバシーとデータ使用の透明性に関する必要な基準を満たしていることが保証され、審査プロセスが円滑になり、ユーザーの信頼が高まります。
リンク
標準
- OWASP_MASVS_L1:
- MSTG_ARCH_12
- OWASP_MASVS_L2:
- MSTG_ARCH_12
- GDPR:
- ART_5
- ART_25
- ART_32
- ART_35
- PCI_STANDARDS:
- REQ_2_2
- REQ_6_2
- REQ_6_3
- REQ_7_3
- OWASP_MASVS_v2_1:
- MASVS_PRIVACY_3
- CNIL_FOR_EDITORS:
- EDITORS_1_1_1
- EDITORS_2_2_1
- EDITORS_2_2_2