ブログ iOS 17のプライバシーアップデート:プライバシーマニフェスト、SDK署名、理...

iOS 17のプライバシーアップデート:プライバシーマニフェスト、SDK署名、理由の宣言が求められるAPIについて

Appleは今年6月に開催されたWWDC23で、iOS 17(現在パブリックベータ版)のリリースが 9月に予定されていることを発表しました。ユーザー向け機能のアップグレードなどの情報に加え、モバイルアプリのマーケターと開発者向けの主要なアップデートであるApp Storeのプライバシーに関する更新情報も共有されました。

iOS 17のプライバシーアップデートの目的は、開発者のデータ収集と共有についてアプリユーザーに理解してもらい、サードパーティーSDKの活動が明確化され、理由の宣言とレポーティングがすべて行われるようになることです。新しいプライバシーマニフェストには、理由の宣言が求められる API が含まれ、開発者が正確なプライバシーラベルを簡単に作成できるように設計されています。

これらの変更により、App StoreはAppleのApp Tracking Transparency (ATT)フレームワークおよびプライバシーのビジョンがより強化されることになります。それでは、これらがどう機能するかを説明します。

プライバシーマニフェストとは?

プライバシーマニフェストは、サードパーティーのSDKがデータをどのように使用しているかを、開発者が明確に理解できるように設計されています。Xcodeは、アプリをApp Storeに公開する際に、SDKが提供するプライバシーマニフェストを集約し、PDFレポート(プライバシーレポート)として開発者に送信します。この集約された包括的なレポートにより、開発者は正確なプライバシーラベルを作成できます。

Privacy Nutrition Labelとは?
iOS 14で導入されたプライバシーラベルは、アプリがデバイスから収集するデータとそのデータの使用方法に関する透明性を強化することを目的としたApp Storeの機能です。標準化された情報を提供し、ユーザーが情報に基づいた意思決定を行えるようにします。

アプリ開発者は、このラベルに正確な情報を提供する責任があり、プライバシーマニフェストで宣言することを強化するように設計されています。

つまり、すべてのアプリとSDKはプライバシーマニフェストを作成して、何を収集しトラッキングするか完全に透明化する必要があります。

プライバシーマニフェストの例

開発者は、アプリ内のすべてのサードパーティSDKのプライバシーマニフェストをまとめたプライバシーレポートに、簡単にアクセスできます。情報は標準化されているため、個々のアプリや実装済みSDKのプライバシープラクティスを確認したり、把握することが容易になります。

プライバシーレポートの例

(新たに公開または更新されるアプリを対象とする)すべてのSDKは、プライバシーマニフェストで次のような情報の記載が必要になります:

1. 理由の宣言が求められるAPI

この新しいAPIカテゴリーは、Appleが長年禁止してきたフィンガープリントの使用をさらに制限する目的で特別に設計されたものであり、今後は申告が求められます。このようなAPIを使用するアプリは、プライバシーマニフェストに承認される理由を記載する必要があります。

7月27日、Appleは理由の宣言が求められるAPIのリストと詳細を公開しました。iOS 17以降に、リストに含まれるAPIを使用する新しいアプリをApp Store Connectにアップロードまたはアップデートする際、プライバシーマニフェストに承認された理由を指定していなければ通知が届きます。2024年春以降のアップデートまたはアップロードには、承認された理由が必要になります。

当面は、AppleのリストにあるAPIのいずれかを使用している場合は、新しく承認理由の追加をリクエストするフィードバックを送信することも可能です。AdjustのiOS SDKで使用される関連APIについて、プライバシーマニフェストに反映すべき承認理由を特定しました。

2. データの用途カテゴリー

理由の宣言とは別に、Appleは開発者に対し、プライバシーマニフェストに「辞書」を追加して、アプリまたはサードパーティーSDK が収集する特定カテゴリーのデータの用途を説明するよう求めています。

この辞書には、次の4つのキーが含まれていることが必須です。

  1. 収集するデータのタイプを表示すること。
  2. データがエンドユーザーのIDにリンクされているかどうかを表示すること。
  3. データが何らかのタイプのトラッキングを実行するために使用されるかどうかを明らかにすること。
  4. データを収集する理由を一覧にして表示すること。

最後の項目については、Appleはその目的を事前定義しています。辞書は、AdjustのiOS SDKのプライバシーマニフェストでも提供されます。当社のSDKが収集するデータのカテゴリーを確認するには、ヘルプセンターの記事をご覧ください。

3. 予防的ブロック

Appleは、アプリ開発者にアプリとサードパーティーSDKで使用する外部ドメインについて、透明性を提供するよう要求します。プライバシーマニフェストには、トラッキング目的で使用可能なすべての外部ドメインを識別するリストを含めなければなりません。扱うデータによっては、ユーザーがATTに同意するまで、これらのドメインが予防的ブロックの対象となる可能性があります。

この点についてAdjustでは、テクノロジーが iOS 17までのAppleの最新プライバシーガイドラインとATT要件に確実に準拠するよう取り組んでいます。iOS 14のリリースと同様に、Adjustの計測機能は影響を受けず、引き続きお客様の成長をサポートしますのでご安心ください。

プライバシーに影響を与えるSDKと新しいSDK署名

iOS 17には新しいSDK署名が導入されたことから、サードパーティーSDKの新しいバージョンへの署名とAppleによる検証が可能になります。そのため、新しいバージョンのSDKがインストールされると、同じ開発者によって署名されているかどうかをXcodeが検証します。この目的は、ソフトウェアサプライチェーンの透明性と完全性を向上させることです。

Appleは、アプリのエコシステム内で、ユーザーのプライバシーに特に大きな影響を与えるサードパーティーSDKをいくつか特定しました。このSDKのリストは今年後半に公開予定です。

iOS 17以降、これらのSDKはAppleによって分類され、プライバシーに影響を与えるSDKと見なされます。プライバシーに影響を与えるSDKを含むアプリは、そのSDKのコピーをプライバシーマニフェストに含める必要があります。ベストプラクティスとして、すべてのSDKが署名を含めるよう推奨されています。また、プライバシーに影響を与えるSDKを含むアプリも、そのSDKが署名されていることを確認することが必須となります。

AdjustでiOS 17に対応

プライバシーに影響を与えるSDKのリストやトラッキングドメインに関する情報など、Appleから詳細が発表される間も、iOS 17のプライバシーアップデートの結果として生じる問題をお客様が回避できるようAdjustが全面的にサポートします。併せて、Appleのプライバシーマニフェストまたはデジタル署名でアプリの依存関係を検証する方法に関する情報もご確認ください。

iOS 17対応のサポートについてより詳しい情報をご希望のお客様は、Adjustの担当者にお問い合わせいただくか、お気軽にデモをお申し込みください。

SKAN戦略を始めたり、取り組んだりするのに最適な時期です。Conversion HubなどのAdjustのiOSソリューションを使用すると、SKAN 3とSKAN 4のconversion value マッピングの設定が簡単になり、iOS キャンペーン最適化のためのインサイトを得て、予測分析のために集計データを活用できます。

Adjustニュースレターに登録して、最新情報をいち早くご確認ください!