iOSアプリ提出の輸出コンプライアンスで、通信にHTTPSを使っているだけの場合の解釈


※免責:私は開発者であり、法律の専門家ではありません。これは私個人が調査し、解釈している内容のため正確性を保証するものではありません。これらの情報をあなたが利用することによって生ずるいかなる損害に対しても一切責任を負いません。


はじめに

iOSアプリをitunes connectで提出またはTestFlightを利用する際に「輸出コンプライアンス情報」について答えなければなりません。この内容が調べても調べてもなかなか難しく情報があまりなかったのでこちらにまとめます。

想定

今回は、アプリ内にバンドルされたソフトウェアに暗号化されたものはなく、HTTPS通信のみ利用しているアプリを、日本でのみ配信すること想定しています。

輸出コンプライアンスに関して

日本のアプリにも必要?

Appleのアプリはアメリカのサーバーから配信されるため、アメリカから輸出されるものとみなされます。そのため日本でのみ配信であっても、アメリカの輸出法が適用されます。
Google Playでは特にこれらの質問はありませんが、本来であれば同様にして適用されるもののようです。

HTTPSも輸出コンプライアンスの対象である

Apple FAQのExport Compliance(日本語のドキュメントはない)では以下のように書かれており、HTTPSが輸出法に関わる暗号化に該当すると例を上げている

抜粋
Use of encryption includes, but is not limited to:
 - Making calls over secure channels (i.e. HTTPS, SSL, and so on)

よってHTTPSの利用においても、暗号化を使用していることになる。

輸出コンプライアンスの回答フロー

Appには暗号化が使用されていますか?

HTTPSも該当するため「はい」

Appは、米国輸出管理規則の第2部、カテゴリ5に記載の免除資格をすべて満たしていますか?

このstackoverflowによると2016年9月からERN(Encryption Registration Numbers)は不要になったとのこと。

(以前は必要だったようです→参考)

「はい」と回答すると、
「ATSまたはHTTPSを使用している場合、年度末自己分類報告を米国政府に提出する必要があることに注意してください」
と警告されます。

年度末自己分類報告とは?

米国輸出管理規則のHow to file an Annual Self Classification Reportによると、

An annual self-classification report is a requirement for items exported under License Exception ENC - 740.17(b)(1), UNLESS a Commodity Classification (CCATS) has been submitted for the item.

↓Google翻訳

年間自己分類報告書は、許可例外ENC-740.17(b)(1)に基づいて輸出された品目の要件であり、商品分類(CCATS)が提出されている場合を除きます。

つまり以前はERNの申請/取得が必要でしたが、2016年9月から不要になり、その代わりに年度末自己分類報告(An annual self-classification report)を提出しましょう、ということになったようです。(つまり事後報告でいいから、伝えるようにということかと思われます)

そのためAppleは米国輸出管理規則に従って、そのような警告を促しているようです。

年度末自己分類報告の提出方法

米国輸出管理規則のHow to file an Annual Self Classification Reportに詳しく書いてあります。
sample annual self-classification reportというxlsxファイルへのリンクがあるので、それを参考にcsvファイルで提出するようにと書かれてあります。例に倣って記入し、メールにて送信することで良いのではないかと思います。輸出を行った(=リリースした)翌年の2月1日までに出しましょうとのことです。

さいごに

いろいろ難しいので、最終的には自己責任でお願いいしますm_ _m

 その他参考リンク