なるようになるかも

力は多くの場合、その人の思いを超えない。

iTunes Connectの変更の話。

TechCrunchの記事(というかその翻訳)が酷かったので。

原文タイトルは「Apple Developers Must Now Agree To Ad Identifier Rules Or Risk App Store Rejection」。

Appleデベロッパーは今後広告識別子の規則に同意しなければ、AppStoreからリジェクトされるだろう」という話。

職業訳者ならばもっとこなれた日本語にするのでしょうけれど、「同意が必要となった」を「規則遵守が義務化」という頭痛が痛い表現にはしないだろうし、間違ってもリスクを「違反者は拒絶される」と超訳したりはしないでしょう。

Apple悪帝国」というシナリオの文脈で翻訳したのだと思うんだけど、別に今回の件はそういう話じゃないと思うんだよね。

iTunes Connectの変更点

具体的に何が変更されたのかといいますと、

  • Advertising Identifierとは何か?の説明
  • Advertising Identifierを利用しているか?ONにした場合、以下の追加項目

が追加されました。利用用途については現在の典型的な、ユーザーのプライバシー保護を考える上で容認される利用法をカテゴライズしたものです。

このアプリがAdvertising Identifierを利用する目的 (当てはまるもの全てを選択)

  • このアプリ内で広告を提供するため
  • 提供された広告によって、このアプリがインストールされるため
  • 提供された広告によって、このアプリでアクションを実行するため

2、3番目はいわゆる「リワード広告」を指しています。

Advertising Identifierを使ってどの広告からアプリがインストールされたのか検知したい場合、いわゆるCPI広告を組み込む場合には2番目をチェックする必要があります。3番目のユースケースが具体的にどういう状況かは良く分かりません。

そしてこれらの選択肢の後には次の文が続いています。

If you think you have another acceptable use for the Advertising Identifier, contact us.

「もし他に許容される広告識別子の利用があると考えるのであれば、我々にご連絡下さい」とあります。

連絡すると個別対応が行われるんでしょうか。しかし「許容される利用用途の範囲」であり、特例措置が取られるわけではないと読み取れます。

iTunes Connect更新の真意

Advertising Identifierは広告のみに利用すること、取得した情報の利用範囲の定義については、Developerプログラムライセンスの利用規約の3.3.12項と3.3.13項で明文化されています。

ライセンスを保持している時点で、この規約を読んで同意しているはずで、今回新たに義務や契約が発生したということはないです。

ではなぜ更新が行われたのでしょう?

サードパーティライブラリであっても、アプリ開発者の責任になるよ 」という点に、明示的に同意を求めなければならないほど、状況が悲惨だったからでしょう。

開発者の責務

Advertising IdentifierはUDIDを代替するスーパークッキーを意図して設計されているため、利便性と危険性を伴います。用途が広告のみに限定されているのはそのためです。

実際のところ、開発者自身が用途の限られているAdvertising Identifierを取得するのは稀だと思います。組み込んだ広告SDKが利用しているケースがほとんどでしょう。

そのため、アプリ開発者はAdvertising Identifierが何に利用されているのか以前に、その存在そのものを知らないということがありえました。

今回、開発者に対して、取得の意図をチェックさせる変更を加えたのは、実質的にはAdvertising Identifierの存在と存在意義を開発者に対して周知し、そして サードパーティのポリシーを確認したことを表明させるため でしょう。

Advertising Identifierの十全性

「広告型追跡を制限」の尊重について、チェックボックスがあるのはなぜでしょう?

Advertising Identifierは実際のところ完璧ではないためです。

例えばユーザーがAdvertising Identifierをリセットしたとしても、以前のAdvertising Identifierと紐付けることで、半永続的に個人を一意特定することができますし、ユーザーが「広告型追跡を制限」の設定を有効にしたにも関わらず、これを無視して端末内部に保持したAdvertising Identifierを使い続けることが可能です。

もちろん、これらの行為は禁止されています。

しかし広告ライブラリはソース非公開のため、evilな動作を行っていないと証明することはできません。

これからはアプリ開発者は自身が利用しているブラックボックスなライブラリも含めて、Advertising Identifierを規則に沿って利用していることを誓約する必要があるのです。

で、結局どーなるのか。

先に述べた通り、「同意しなければリジェクトされるリスクを負う」だの「義務化され違反者は追放される」というような表現が正しいとは思えません。ライセンスを持った時点で既に義務は背負っているはずですし、サードパーティーの無理解に伴うリジェクトラッシュはむしろ峠を越えた頃じゃないでしょうか。

この確認事項の追加によって、開発者のこれまでの、「ライブラリのせいだから自分のコードは悪くない」という意識が変わり、コンバージョンだけでなく、セキュリティを尊重した広告SDKを選択しようという動きへ変わっていくのではないでしょうか。

一方、広告SDKを提供する側は、開発者に対してAdvertising Identifierの利用ポリシーを遵守していることを表明しなければなりません。evilな広告業者は淘汰され、コンシューマサイドから見ると平和に収束していくと考えられます。…やや楽観的過ぎるかもしれませんが。

もっともiTunes Connectの確認事項がそれほど重要視されていないのは、戦略物資である暗号について適当な解答をしてもどーにかなってる辺りでお察し下さい。外国為替及び外国貿易法とかEARとか気にしてる人、そんなにいないでしょう。