読者です 読者をやめる 読者になる 読者になる

むらかみの雑記帳

Android とか iOS とかソフトウェア開発に関するネタ帳

HTTPS を使ってるアプリを AppStore や Android Market で配信するときの輸出手続きについて

iPhone Android

'12/11/24: このブログの内容をもとに Amazon Kindle ストアで電子書籍を出版しました。

スマートフォンアプリ配信の輸出管理

スマートフォンアプリ配信の輸出管理


AppStore でアプリ配信をしようとして iTunes Connect にアプリをアップロードしようとすると、「暗号使ってるかい?」(Export Complianceのところ)という質問がされますよね?皆さん、あそこちゃんと答えてますか?

ほとんどのサイトは No でいいよ、と書いてあります。が、これは間違い。アプリが暗号関連でなくても、アプリ内に暗号コードが入ってなくても、iOS の暗号を使っている場合はここは Yes と答えないといけません

具体的には、HTTPS を使ってる場合は結構ありますよね。Twitter 連携なんかで OAuth 使う場合は https を使いますし、そもそも Web View なんか使って https なサイトにアクセスする場合は暗号を使ってます。

ちゃんと解説しているサイトが皆無なので、簡単にまとめておこうと思います。

そもそもなんで輸出許可が必要になるケースがあるのか?

AppleGoogle は米国企業であり、AppStore や Android Market のサイトはすべて米国内にあります。ここにアプリをアップロードすることは日本からの輸出にあたり、またこのサーバから各国にアプリを配信する場合は米国からの輸出にあたります。

普通、アプリケーションの配布の場合に問題になるのは暗号関連です(それ以外もあるけど)。

日本からの輸出に関しては外為法(外国為替及び外国貿易法)で規制されますが、アプリ内に暗号のコードが入ってない限り基本的に規制はかかりません。仮に入ってたとしても、オープンソースの暗号ライブラリなどの場合は特例があったりするので無許可で輸出ができる場合があります。どういうモジュールを組み込んでいるのでどの特例の対象になっているか、はきちんと把握する必要がありますが。(←コメントいただいたので訂正しました)

米国からの輸出は、EAR (Export Administration Regurations) で規制されます。これは 1) 米国からの輸出、2) 米国製品or米国製品を含む製品の「米国外」からの再輸出(例えば日本から中国への輸出など)、の2つを規制しています。後者に関しては、米国製品の組み込み比率が低ければ許可不要になるルール(de minimis rule)があったりするのですが、前者にはそういうものがなく100%米国外製品であっても規制対象になります。で、AppStore とか Android Market 配布の場合は 1) の扱いになる (米国を経由する)ため、100% 米国外製品であっても規制対象になるわけです。

EAR の暗号規制は、日本の外為令の規制よりもはるかに厳しいです。何が厳しいかというと、アプリが暗号を使用しているだけで規制対象になる (OS標準の暗号を使っているだけであっても!)という点です。そんなわけで、AppStore はアプリ登録前に確認してくるわけです (Android Market は何も聞いてこないけど、あれは Google が不親切なだけです)

これをきちんと理解するためには、EAR をある程度理解しておく必要があります。

EAR についての資料

EAR はもちろん英語で書かれていますが、読むのは結構しんどいです(法律関係なので余計)。日本語の翻訳をしてくださっている方がいるので、そちらのサイトをまず見るのがよいと思います。

以下に、EAR 翻訳されているサイトと、特に良く読む箇所をリンクしました。

、、、長くなってきたので、今回はここまで。

アプリが暗号規制対象になるかどうかのやり方については、次のエントリで書こうと思います。

'2012/6/1 : リンク修正。