Appleがユーザーの許諾無く位置情報を無断で第三者に送信しているアプリの取り締まりを開始し、違反しているアプリをApp Storeから取り下げ、違反箇所を改善するよう開発者にメールを送信しているようです。
目次
審査ガイドライン5.1.1及び5.1.2の違反通達
App Storeから取り下げられた“ユーザーの位置情報を許諾無く無断で第三者に送信しているアプリ”の開発者には、ユーザーの許諾無く位置情報を第三者に送信するのは禁止されており、審査ガイドライン5.1.1及び5.1.2の違反にあたるとの通達が送られています。
Legal – 5.1.1 & Legal 5.1.2
The app transmits user location data to third parties without explicit consent from the user and for unapproved purposes.
App Storeの審査ガイドライン5.1.1と5.1.2を確認すると、いずれもデータの収集や使用方法に関するガイドラインとなっていますが、今回のケースは特に「5.1.2 データの使用と共有」の違反が主となりそうです。
5.1.2 データの使用と共有
(i)深度測定ツールやフェイスマッピングツール(ARKit、Camera API、Photo APIなど)で収集したデータ、「匿名化」されたデータ、「集積」されたデータ、または個人を識別できないその他の方法で収集されると説明されたデータに基づいて、ユーザーの識別やユーザープロファイルの再構築を行おうとしたり、助長したり、それを他者に促したりすることは許可されません。事前にユーザーの許可を取り、どこでどのようにデータを使用するかに関する情報を提示しない限り、ユーザーの個人データを使用または送信することはできません。
(ii)アプリケーションで収集したデータは、ユーザーエクスペリエンスの向上、アプリケーションの機能に関連するソフトウェアまたはハードウェアのパフォーマンスの向上、「Apple Developer Program License Agreement」に従った広告の提示以外の目的で使用したり他社と共有したりすることはできません。
今回の件でアプリがApp Storeから取り下げられた場合、位置情報を第三者に送信するコードやフレームワークを削除し、改めてApp Storeに提出する必要があります。
App Storeの審査も完璧ではない
Appleの審査も完璧とは言い切れず、次々とリリースされる新規アプリの中にはガイドラインに違反しているアプリも珍しくはありません。
例えばアプリを起動した時点で位置情報を要求されるものの、拒否した場合に具体的にどんな機能が制限されるか等の説明が省略されているアプリもガイドライン的にはアウトです。
もちろん中にはガイドラインを遵守し、ユーザーデータの具体的な使用目的や拒否した場合の制限を説明したスライドと共に、ユーザーデータの使用許可を求めるボックスを表示する良心的なアプリもあります。
5.1.1 データの収集および保存
(i)ユーザーまたは使用状況に関するデータを収集するアプリケーションでは、データ収集に関するプライバシーポリシーを明示し、ユーザーからの同意を得る必要があります。これには、HealthKitまたはその他の健康および医療テクノロジーを実装するアプリケーション、ARKit/Camera API/Photo APIを実装するアプリーケーション、またはフェイスマッピング情報の深度を測定するソフトウェア、HomeKit、Keyboard Extension、Apple Pay、ステッカーとiMessage Extensionを実装するアプリケーション、ログイン、デバイスからのユーザーデータへのアクセスを実行するアプリケーションが含まれます(これらに限定されません)。アプリケーションの説明の中で、アプリケーションが要求するアクセスの種類(位置情報、連絡先、カレンダーなど)や、アクセスを許可しない場合はどのような機能が動作しなくなるかをユーザーに明確に示す必要があります。
「App Storeで配信されているから大丈夫」「審査に合格したアプリだから大丈夫」と考えて、要求されたユーザーデータ(位置情報や連絡先など)を全て提供するのでは無く、アプリや開発元が信頼できるかどうかも含め、自身の個人情報を本当に提供しても良いのか熟考することも大切です。
参考:Apple Removing Apps From the App Store that Send Location to Third-Parties(iPhone Hacks)
コメントを投稿する(承認後に反映)