RAKUS Developers Blog | ラクス エンジニアブログ

株式会社ラクスのITエンジニアによる技術ブログです。

【スマホアプリ開発】今更聞けない「年度末自己分類報告書(Annual Self-Classification Report)」の書き方・出し方【永久保存版】

f:id:tech-rakus:20201014210342p:plain

はじめに

こんにちは、@rs_tukkiです。
突然ですが、皆さんはiOSでアプリをリリースする際、以下のような表示を見たことがあるでしょうか。

輸出コンプライアンス情報

Appには暗号化が使用されていますか?Appに使用されているのがiOSおよびmacOSの標準的な暗号化のみである場合も「はい」を選択します。

暗号化というと難しく聞こえますが、実は一般的なHTTPS通信もこの暗号化に含まれています。*1
そして、App StoreGoogle Playでリリースするアプリにこの暗号化が使用されている場合、「年度末自己分類報告書」というものを毎年作成し、提出する必要があります。
今回は、その書類の書き方・出し方を調べてみました。

なぜ「年度末自己分類報告書」の記載が必要なのか?

そもそも何故このような報告書を記載しなければいけないのかというと、
ざっくり言ってしまえば「アメリカの輸出規制の法律に対応するため」です。

App StoreGoogle Playでリリースするアプリはいずれもアメリカのサーバから配信されており、日本を対象としたアプリをリリースする場合、厳密にはアメリカから日本へ輸出されるものとみなされます。
暗号化の技術を使用した商品をアメリカ国外へ輸出する場合、それがどういうものなのかを記載し、アメリカ政府に報告する義務があると定められています。

報告書はその年の1月~12月までに作成された商品である場合、翌年の2月1日までに提出する必要があります。
特にスマホアプリの場合は、全く変更がなかったとしても毎年提出しなければなりません。

報告書の書き方

アメリカに出す報告書とあって記載内容は全て英語ですが、そこまで難しい内容ではないため身構える必要はありません。
アプリごとに、以下12の項目をcsvファイルに記載するのみです。(1行目にはこれらの項目名を記載します)

PRODUCT NAME
MODEL NUMBER
MANUFACTURER
ECCN
AUTHORIZATION TYPE
ITEM TYPE
SUBMITTER NAME
TELEPHONE NUMBER
E-MAIL ADDRESS
MAILING ADDRESS
NON-U.S. COMPONENTS
NON-U.S. MANUFACTURING LOCATIONS

  • PRODUCT NAME
    • 商品名。ストアで公開しているアプリ名を英語で記載すればOKです。
  • MODEL NUMBER
    • モデル番号。iOS, Androidどちらもアプリ固有のIDを記載すれば問題ないはずです。

App Storeの場合はこちら、

f:id:rs_tukki:20201014150740p:plain

Google Playの場合はこちらに記載されています。

f:id:rs_tukki:20201014150818p:plain

  • MANUFACTURER
    • アプリの主な提供社名。提出者本人が主な提供者であれば「SELF」と記載します。
  • ECCN
    • 輸出規制分類番号。スマホアプリは5D002もしくは5D992に分類されますが、HTTPS通信のみを行うアプリであれば5D992でOKです。*2
  • AUTHORIZATION TYPE
    • 暗号化認証タイプ識別子。ENCもしくはMMKTのどちらかですが、ECCNの項目が5D992の場合はMMKT(Mass Market)を選択するのが一般的のようです。
  • ITEM TYPE
    • 商品分類。スマホアプリの場合は「mobility and mobile applications n.e.s.」と記載します。
  • SUBMITTER NAME
  • TELEPHONE NUMBER
  • E-MAIL ADDRESS
  • MAILING ADDRESS
    • この辺りはそのまま、提供者名/電話番号/メールアドレス/住所を記載すればOKです。特に理由がなければ、ストアに登録したものを流用すればよいかと思います。
  • NON-U.S. COMPONENTS
    • アメリカ以外で作成された暗号化技術を使っているかどうか。HTTPS通信しか使用していないのであれば「NO」でOKです。
  • NON-U.S. MANUFACTURING LOCATIONS
    • アメリカ以外で作成されたアプリの場合、その場所を記載します。「Tokyo Japan」といった粒度の記載で大丈夫です。

報告書の出し方

さて、これで完成したcsvファイルですが、特に難しい手続きを行う必要はなく、以下2種類のメールアドレスに添付して送信すればOKです。

  • crypt-supp8@bis.doc.gov
  • enc@nsa.gov

Subject:Annual Self Classification Report

Dear Sir/Madam,

Thank you very much for your time reading this message.
Please find attached our report.
If you require any further information, let me know.

Best Regards,

まとめ

今回は、意外と気にしてない年度末自己分類報告書の書き方とその出し方について記事にしてみました。
分かってしまえば何のことはない内容ですので、ぜひこれを機に書いてみてください。

何か間違っている箇所があれば教えていただけると助かります(小声)

参考

輸出コンプライアンスの概要 - App Store Connect ヘルプ

アプリの公開に伴う年次自己番号分類報告の提出について – しろログ

米国輸出管理規則

iOSアプリ提出の輸出コンプライアンスで、通信にHTTPSを使っているだけの場合の解釈 - Qiita

§742 付則 No.8 暗号品目に対する自己番号分類報告

カテゴリー5-通信及び”情報セキュリティ”/パート 2-”情報セキュリティ”

アメリカ合衆国からの暗号の輸出規制 - Wikipedia

app store - Which ECCN should I use for iOS app which uses HTTPS? - Stack Overflow

*1:輸出コンプライアンスの概要 - App Store Connect ヘルプには「セキュリティで保護されたチャンネル (例:HTTPSSSL など) を使って電話をかける場合」が暗号化の使用にみなされるとの記載がある。

*2:参考:アメリカ合衆国からの暗号の輸出規制 - Wikipedia

Copyright © RAKUS Co., Ltd. All rights reserved.