iOSDC Japan 2021 Day1 09/18 15:50〜 Track D
プロポーザル:https://fortee.jp/iosdc-japan-2021/proposal/cb27f5b5-dd66-47ee-a224-afcc97d979b6
僕たちが『Appのプライバシーに関する質問への回答』そして『ATT』に対応するまでの物語iOSDC Japan 20212021/09/18 15:50〜 Track Dpixiv.inc@FromAtom
View Slide
• pixiv Sketch / pixiv Sketch LIVE• アプリ分野テックリードしています• 好きなSwiftは guard@FromAtom
このトークで話さないことこのSDKを使っている場合は、こういう回答が正解🚫ATTモーダルの実装方法や、許可されやすいノウハウ🚫ATTに対応したデータ基盤の設計🚫
アジェンダApp StoreでのAppのプライバシーに関する詳細情報の表示 編AppTrackingTransparency 編
App StoreでのAppのプライバシーに関する詳細情報の表示編
長いので今日は「Appプライバシー表示」と呼びます。
Appプライバシー表示• アプリが収集しているデータの種類• そのデータの利用目的• そのデータは個人に紐づくか• そのデータをトラッキングに利用するか画像引用:https://developer.apple.com/jp/app-store/app-privacy-details/
データの種類|32種類• おおよその位置情報• 機密情報• 連絡先• Eメールまたはテキストメッセージ• 写真またはビデオ• オーディオデータ• ゲームプレイコンテンツ• カスタマーサポート• その他のユーザーコンテンツ• 閲覧履歴• 検索履歴• ユーザーID• デバイスID• 購入履歴• App内の操作• 広告データ• その他の使用状況データ• クラッシュデータ• パフォーマンスデータ• その他の診断データ• その他の種類のデータ• 名前• メールアドレス• 電話番号• 物理的な住所• ユーザーのその他の連絡先情報• 健康• フィットネス• 支払情報• クレジット情報• その他の財務情報• 詳細な位置情報
データの使用目的• サードパーティ広告• デベロッパの広告やマーケティング• アナリティクス• 製品のパーソナライズ• Appの機能• その他の目的
ユーザーに紐付けられるデータ• 各種データがユーザーの識別情報に紐付けられているか• 識別情報の非識別化や匿名化を実施している場合は除く• サービスのIDに紐づく事が多いので、当てはまることが多い
トラッキング• Appで収集したデータを使用してトラッキングしてるか• 対象は自分もしくはサードパーティ‣ 自分がしてなくてもサードパーティがトラッキングしてたら該当‣ 広告SDK・広告効果測定SDKなどが該当しやすい
実際の流れ|メールアドレスデータを収集しているか調べる
実際の流れ|メールアドレスデータを収集しているか調べる利用目的を調べる
実際の流れ|メールアドレスデータを収集しているか調べる利用目的を調べる個人に紐付くか調べる
実際の流れ|メールアドレスデータを収集しているか調べる利用目的を調べる個人に紐付くか調べるトラッキングに利用するか調べる
実際の流れ|メールアドレスデータを収集しているか調べる利用目的を調べる個人に紐付くか調べるトラッキングに利用するか調べる• おおよその位置情報• 機密情報• 連絡先• Eメールまたはテキストメッセージ• 写真またはビデオ• オーディオデータ• ゲームプレイコンテンツ• カスタマーサポート• その他のユーザーコンテンツ• 閲覧履歴• 検索履歴• ユーザーID• デバイスID• 購入履歴• App内の操作• 広告データ• その他の使用状況データ• クラッシュデータ• パフォーマンスデータ• その他の診断データ• その他の種類のデータ• 名前• メールアドレス• 電話番号• 物理的な住所• ユーザーのその他の連絡先情報• 健康• フィットネス• 支払情報• クレジット情報• その他の財務情報• 詳細な位置情報
各アプリチームで調査お願いしますー。
各アプリチームで調査お願いしますー。サーバサイドのログ収集も含まれますか?
各アプリチームで調査お願いしますー。サーバサイドのログ収集も含まれますか?収集したデータを別チームが使ってる場合はどうなります?
各アプリチームで調査お願いしますー。サーバサイドのログ収集も含まれますか?あ、これ実は大変なやつだ収集したデータを別チームが使ってる場合はどうなります?
Icons made by Pixel perfect from www.flaticon.com
Icons made by Pixel perfect from www.flaticon.comBigQuery
Icons made by Pixel perfect from www.flaticon.comBigQuery広告レコメンド分析
Icons made by Pixel perfect from www.flaticon.comBigQuery広告レコメンド分析※個人情報は分離
課題アプリエンジニアだけでは収集されるデータを把握できない🤨誰でもデータ分析可能なため、利用用途が簡単に網羅できない🤨データの流れを完璧に把握した超人はいない🤨
困ったらCTOに聞こう💡
どうしたらいいもんですかね
どうしたらいいもんですかねCTO地道に調べるしか無いですね
どうしたらいいもんですかねCTO地道に調べるしか無いですねですよねー
銀の弾丸はないのだ🔫
調査手順収集されるデータを調べる🔍データの利用用途を調べる🔍
収集されるデータを調べる🔍• アプリサイドで送信しているデータを洗い出す‣ アプリエンジニアに調査依頼‣ 利用SDKや通信を洗い出す • サーバサイドで収集しているデータを洗い出す‣ CTOとデータ基盤の担当者に調査依頼‣ BigQueryやLookerに集約しているデータを洗い出す
データの利用用途を調べる🔍• CTO、データ基盤の担当者と調査• BigQuery、Lookerの利用チームや権限範囲を調査‣ 利用しているチームにヒアリング• 弊社サービスのプライバシーポリシーも利用
CTOこのトラッキングというのは?
広告や広告効果測定に使ってるかどうかですね。CTOこのトラッキングというのは?
広告や広告効果測定に使ってるかどうかですね。CTOこのトラッキングというのは?CTOなるほど。
広告や広告効果測定に使ってるかどうかですね。CTOこのトラッキングというのは?CTO自社の広告で使いそうなデータはチェック入れときましょう。なるほど。
一ヶ月ほどかけて無事に調査完了☺
AppTrackingTransparency編
AppTrackingTransparency (ATT)• 下記をする時にユーザーの許可が必要‣ 広告識別子を取得する‣ ユーザーをトラッキングする引用:https://developer.apple.com/jp/app-store/user-privacy-and-data-use/
ATTによって広告識別子(IDFA)が取れなくなるよ!📰
ほーん、なるほどな。ATTによって広告識別子(IDFA)が取れなくなるよ!📰
ほーん、なるほどな。広告識別子を利用しているチームは、ATT対応お願いします。ATTによって広告識別子(IDFA)が取れなくなるよ!📰
ATT対応(だとおもってたもの)完了広告SDK・広告効果測定SDKの更新😌ATT Frameworkでのアラート実装😌iOS 14.5リリース時には心穏やかにリリース見守り😌
iOS 14.5リリースから一ヶ月後📆
トラッキング目的でデータ収集してるのに、 許可モーダル出してないからリジェクトです。
このアプリ、広告識別子使って無いのに、どういう事?トラッキング目的でデータ収集してるのに、 許可モーダル出してないからリジェクトです。
ATT Frameworkで許可が必要な場合広告識別子を取得するユーザーをトラッキングする12
広告識別子を取得する• 許可モーダルでユーザーが許可すると広告識別子が取得可能• 広告識別子の利用目的がトラッキングかどうかは別1
• Appのプライバシー表記で「トラッキング」にチェックをいれたデータ• データの収集自体はATT関係なくしてもよい• ユーザーが許可してないデータのトラッキング利用は禁止ユーザーをトラッキングする2
リジェクトされたアプリの場合• 広告SDKや広告効果測定SDKは未使用• 自社広告で利用しそうなデータの「トラッキング」をチェック
リジェクトされたアプリの場合• 広告SDKや広告効果測定SDKは未使用• 自社広告で利用しそうなデータの「トラッキング」をチェックこのデータ取得時にATTで許可モーダルを出す必要がある
リジェクトされたアプリの場合• 広告SDKや広告効果測定SDKは未使用• 自社広告で利用しそうなデータの「トラッキング」をチェックこのデータ取得時にATTで許可モーダルを出す必要があるやっちまったぜ
モーダル実装して、ATTで許可されたデータだけ使おう😊
これが分かると良い• iOSアプリで収集されたか• 収集されたデバイスはiOS14.5以降 or 未満• 許可モーダルのステータスは許可, 未許可, 拒否のどれか
これが分かると良い• iOSアプリで収集されたか• 収集されたデバイスはiOS14.5以降 or 未満• 許可モーダルのステータスは許可, 未許可, 拒否のどれかiOSアプリで収集された全てのデータにATT許諾ステータスを付与
Icons made by Pixel perfect from www.flaticon.comBigQuery広告レコメンド分析時間がかかりすぎる
どうしよう😰
どうしよう😰自社の広告で使いそうなデータはチェック入れときましょう。
Appleのトラッキング定義を確認🥸
「トラッキング」とは、 ターゲット広告や広告効果測定を目的として、 Appで収集した特定のエンドユーザーまたはデバイスに関するデータ(ユーザーID、デバイスID、プロファイルなど)を サードパーティのデータと紐付ける行為や、 Appで収集した特定のエンドユーザーまたはデバイスに関するデータを データブローカーに渡す行為を指します。
自社サードパーティ
自社サードパーティこれを広告・広告効果測定で利用するとトラッキング
自社 これはトラッキングじゃない
サードパーティこれはサードパーティによる
あれ?自社広告ってトラッキングじゃないのでは?🤔
調査手順アプリが利用するサードパーティライブラリを調査🔍トラッキングに該当する利用法があるか調査🔍
アプリが利用するサードパーティライブラリを調査🔍• 広告・広告効果測定に限定せず全てを調査• 公式ドキュメントを読む‣ 多くの場合、ATT対応に関するヘルプが用意されている• 問い合わせする• ウェビナーに参加する
トラッキングに該当する利用法があるか調査🔍• CTO、データ基盤の人、広告チームに協力依頼• 下記のようなデータ利用をしてないか調査‣ サードパーティの広告効果測定データを社内データと紐付ける‣ 社内の広告の効果測定結果を社外のデータに紐付ける‣ 社内データを利用して、サードパーティで広告を出す‣ サードパーティで収集されたデータを利用して、自社で広告を出す
調査結果トラッキングに該当するサードパーティデータとの紐付けはなかった✅自社の広告は自社で収集したデータのみ活用していた✅リジェクト理由になったデータは実はトラッキング利用ではなかった✅
Appプライバシー表記を修正すれば大丈夫そう!🎉
リジェクトされたアプリの対応Appプライバシー表記を修正レビュアーにAppプライバシー表記を修正した旨を連絡審査通過!🎉
社内への情報共有• ドキュメントの作成‣ Appプライバシー表記とATTについて解説‣ 注意すべきデータの利用方法を解説• 全社に向けて周知• 広告関係のチームには重点的に説明
今後の課題• 様々な状態を考慮したデータ基盤への改修‣ ATT以外にもデータのステータスはドンドン増える‣ データ利用するたびに相談していてはスピードが落ちる
こうして無事にAppプライバシー表記とATT対応が終わりました🥰
次回
New safety section in Google Play
まとめ• Appleの公式資料はちゃんと読みましょう‣ 複数回読み直すとわかり始めます• 特にATTは難しいので、調査やお問い合わせを駆使しましょう• データ基盤を作るときは様々なデータのステータスを考慮すると吉
fromatom
cer
smt7174
mot_techtalk
zakky21
tanakahisateru
niftycorp
cmnakamurashogo
brn
kazupon
uhooi
vanstee
dougneiner
paigeccino
akosma
skipperchong
palkan
cromwellryan
stephaniewalter
cherdarchuk
colly
tanoku
sugarenia