当初6月に発表された「Sign in with Apple」(Appleでサインイン)のサービスと、子ども向けのアプリのカテゴリに関するルールを含むApp Storeポリシーの変更に、さらに修正の手が加えられた。新しいアプリは、ただちに修正後の条件に準拠する必要があるが、既存のアプリについては、2020年の初頭まで新ルールへの適合が猶予される。
今年6月のApple(アップル)のWWDCでアナウンスされた変更は、重大なものだった。それだけに、デベロッパーの間に懸念を抱かせることになった。子ども向けのアプリの世界では、広告収入に頼らずにビジネスを展開することは厳しいため、その新しいルールがデベロッパーの動きを制限することになる可能性があると考えられたからだ。
Appleのフィル・シラー(Phil Schiller)氏は、TechCrunchとの短いインタビューで、6月に発表したルール変更に関して、デベロッパー、分析会社、広告会社の意見を聞くための時間を設け、それを受けて変更内容に修正を加えたことを明らかにした。
今回の修正について、事前に概要の説明を受けた子ども向けアプリの擁護団体や、広告プロバイダーからは、その内容を強く支持するという声明が寄せられているという。今回の修正は、米国時間9月12日の朝に、Appleのデベロッパー向けガイドラインとして公表された。
「実際の施行が近付く中、私たちはデベロッパー、分析会社、広告会社と、よく話し合いました」と、シラー氏は述べた。「将来を見通した意見を持ち、良いアイデアも温めていて、この分野を引っ張っていくような人たちでした」。
シラー氏によれば、彼らからのフィードバックを受けて、ガイドラインを修正し、彼らがより広範囲のシナリオに対応できるようにしたという。シラー氏が掲げる目標は、デベロッパーが適応しやすいガイドラインを作成すると同時に、保護者も納得できる良識あるポリシーをサポートすること。特に子ども向けアプリのカテゴリに関して追加されたガイドラインは、COPPA(Children’s Online Privacy Protection Act、児童オンラインプライバシー保護法)やGDPR(General Data Protection Regulation=一般データ保護規則)でも、想定していないようなシナリオを提示していると、シラー氏は胸を張る。
次のような2つの大きな修正が加えられた。
子ども向けアプリに関する修正
変更に対する修正が加えられた1つめの領域は、子ども向けアプリについての条項だ。セクション1.3、および5.1.4には、Appleがこの2、3カ月の間、デベロッパーや広告会社、分析サービスなどと、彼らが抱いている懸念について話し合った結果を反映して修正が加えられた。
これらの条項には、いずれも、サードパーティによる広告や分析などのサービスに関する文言に微妙な修正が施された。6月には、Appleは、これらのルール変更に関して、非常に強硬なバージョンを発表していた。基本的に、すべてのサードパーティによる広告、および分析ソフトウェアを違法なものとし、サードパーティに対するデータ送信も禁止するというものだった。修正が加えられたルールでは、アプリにそうした機能を組み込む余地が、デベロッパーには引き続き残されている。ただし、そこには明確な制約が設定された。
大きな修正は、子ども向けカテゴリのデータの安全性に関するセクション1.3にも加えられた。Appleは、サードパーティの広告または分析を組み込むことに関する明確な制限を削除したのだ。この制限は、デベロッパーが自らのビジネスモデルを実現する上で、大きな打撃となるものだった。
その代わりAppleは、アプリのデベロッパーに対して、なかなか微妙な提案を示している。もう少し具体的に言うと、アプリにはサードパーティの分析や広告を含めるべきではないとしつつも、暗黙的には、App Store上でのデータの安全性を確保しながら、そうしたサービスを提供する方法があることを認めている。
Appleは、限られた条件では、子ども向けカテゴリのアプリでも、サードパーティ製の分析機能が許されるとしている。その条件とは、アプリが個人を特定できる情報や、デバイスのフィンガープリント情報をサードパーティに対して送信しないというもの。その情報としては、IDFA(広告主のデバイスID)、名前、生年月日、電子メールアドレス、位置情報など、個人を特定できる情報が含まれる。
コンテキストに応じたサードパーティの広告が許可される場合もある。ただし、広告を提供する企業が広告に関する慣行とポリシーを文書で公開していて、広告の製作者についての人間によるレビューを提供している場合に限られる。 そうすることで、確かに広告の選択肢は減るだろう。特にプログラムによって広告を提供するサービスは制限されることになる。
セクション5.1.4は、子ども向けアプリにおけるデータの取り扱いに主眼を置いたもの。COPPAやGDPR、その他、地域ごとの規制に準拠していることに加え、Appleはいくつかの明確なガードレールを設けている。
まず最初に、サードパーティの広告と分析についての表現が「してはならない」(may not)から「すべきでない」(should not)に変更された。Appleとしては、そうしたものを組み込むことを思いとどまらせたいが、「限られたケース」では、サードパーティの分析と広告が許可されることを認めている。それは、新しいルールのガイドライン1.3を遵守している場合に限られる。
子ども向けカテゴリのアプリから、あらゆるデータをサードパーティに送信することを明確に禁止する条項は削除された。このような条項の存在は、すべての子ども向けアプリメーカーにとって、爆弾を抱えているようなものだった。
追加された条項として、App Storeの子ども向けカテゴリ以外のアプリでは、アプリのメタデータの中で「子ども向け」や「児童用」といった用語を使用しないよう、デベロッパーに念を押すものがある。
SuperAwesomeは、子ども向けアプリに対して、安全な広告を配信するサービスを提供する会社だ。CEOのDylan Collins(ディラン・コリンズ)氏は、当初、Appleが提案した変更に対して批判的だった。すべてのサードパーティ製アプリを締め出してしまうと、子ども向けアプリのカテゴリ自体が死に絶えてしまうというのだ。
「Appleは間違いなく、子ども向けアプリと、デジタルサービスの標準を制定することに、非常に真剣に取り組んでいます」と、コリンズ氏は、Appleが公開した新しいルールを検討した後、TechCrunchに意見を述べた。「Appleは、多くの時間をかけて、デベロッパーや子ども向けアプリの関連会社と話し合い、デジタル世界のプライバシーと安全性を確保したうえで、子ども向けのデジタル体験を創造できるようなポリシーとツールを準備したのです。これは、他のすべてのIT業界のプラットフォームが従うべきモデルです」。
すべての新規のアプリは、ガイドラインに従わなければならない。既存のアプリには、現状のままで、あと6ヶ月の猶予が与えられているが、2020年の3月3日までには新しいガイドラインに準拠しなければならない。
「Appleが、子供たちのプライバシーを保護し、子供たちが、データ駆動型の、パーソナライズされたマーケティングのターゲットにならないようにするために、Appleが真の一歩を踏み出したことを称賛します」とCCFC(Campaign for a Commercial-Free Childhood、子供に広告を見せないキャンペーン)の事務局長、Josh Golin(ジョシュ・ゴーリン)氏は述べている。「子供を個人として特定できる情報を、マーケティング会社や、その他のサードパーティとけっして共有すべきでないことを、Appleは正しく認識しています。また、規制当局に呼びつけられてではなく、Appleが自らこうした変更に踏み切ったことも高く評価しています」。
CCFCは最近、FTC(Federal Trade Commission、米連邦取引委員会)がYouTubeに、COPPAに違反したとして1億7000万ドルの罰金を課したと発表したことにより、大きな勝利を収めた。
Appleでサインインに関する修正
修正の2つ目は、Sign in with Appleのサービスに関するものだ。
Sign in with Appleは、アプリのデベロッパーによって実装可能な一種のソーシャルログインサービス。Appleによって管理されるアカウントをその場で作成し、ユーザーのプライバシーの保護を強化するもの。すでに、その内容はTechCrunchでも詳しく取り上げているが、新しいガイドラインでは、いくつかの点をより明確にし、ポリシーも追加している。
アプリが、Twitter、Google、LinkedIn、Amazon、Facebookなどの、サードパーティ製のソーシャルログイン機能を提供する場合には、Apple製のSign in with Appleも必ず提供しなければならない。アプリ独自のサインイン機能のみを提供し、例えば、電子メールとパスワードなど、ユーザーがそのアカウントでしかログインできない場合はSign in with Appleは必須ではない。
ここまでは変わらないが、いくつかの場合にわけて、条件がより明確に定義された。以下の条件を満たす場合には、Sign in with Appleは必須ではない。
- アプリが、メーカー独自のアカウント設定とサインインシステムのみを使用する場合。
- アプリが、教育機関、エンタープライズ、または企業固有のものであり、ユーザーは既存の教育機関、またはエンタープライズのアカウントでサインインする必要がある場合。
- アプリが、政府または業界が支援する市民識別システム、または電子IDを使用してユーザーを認証する場合。
- アプリが、特定のサードパーティによるサービスのクライアントであり、ユーザーがそのコンテンツにアクセスするには、そのサードパーティのメール、ソーシャルメディア、またはその他のアカウントに直接サインインしなければならない場合。
こうした条件は、いずれも想定される範囲ではあったものの、6月の発表時には明確にされていなかった。特に最後の1つについては、私自身、どうなるものかと注目していた。この条件は、例えばiOS用のGmailアプリや、Tweetbotのようなアプリに当てはまる。後者は、ツイートを表示するだけのものだが、そのためにはTwitterにログインする必要がある。
アップデート
この記事に対するいくつかの反応を見て、もっとはっきりと明らかにしておくべきことを、ここに追記しておいた方がいいと考えた。独自のログイン機能に加えて、ソーシャルログイン機能を備えたアプリは、必ずSign in with Appleもサポートしなければならない。この点は、Appleの元のガイドラインから変更されていない。
米国時間の9月12日以降、App Storeに提出されたアプリで上記の要件のうちのどれにも当てはまらない場合、Sign in with Appleを実装する必要がある。現在のアプリを更新する場合は、2020年4月までに対応すればいい。
これらの修正は、いずれも、デベロッパーやアプリメーカーが懸念を表明した後に発表されたもの。さらに、大手ハイテク企業に対する独占禁止法についての議論が渦巻く中、ルール変更が突然で、あまりにも厳格だという声に応えた形となっている。Appleは、相変わらず綱渡り的なApp Storeの運営を強いられている。ユーザーのデータ保護を強化するためにはルールを引き締め、規制当局による査察を避けるためには可能な限り平等主義を貫いているように見せなければならないのだから。
[原文へ]
(翻訳:Fumihiko Shibata)