2022年11月から対応必須!Apple審査での暗号化機能の輸出コンプライアンス書類の準備手順!

iOS
2022.11.23

2022年11月の中旬から、突如「輸出コンプライアンス書類のアップロード」の提出が必須になりました。

事前のアナウンスもなくあまりにも唐突だったので、困ったiOSアプリ開発者は多いのではないでしょうか。私もその一人で、輸出コンプライアンスの対応を行わないとアプリ更新ができず、とても焦りました。

一通りの作業を行ってみたので、必要な書類の準備手順についてまとめました。

手順がとても多いので、非常に長い記事になってしまいました。

私は法律について全くの素人なので、解釈を間違えている可能性があります。

記事の内容を参考にする場合は、全て自己責任でお願いします。

(追記: 2022/12/21 に輸出コンプライアンス書類がAppleに承認されたので、手順について間違っている可能性は低いとは思います)

簡単な時系列まとめ

記事が長すぎるので、実際に行った作業について時系列でまとめてみました。

No.日付内容
12022/11/19輸出コンプライアンス書類の申請方法について調査
22022/11/19SNAP-R のアカウント申請
32022/11/23SNAP-R のアカウントの Invitation メールを受信。アカウント登録完了
42022/11/24SNAP-R で Classification Request 提出
52022/12/03「COMMODITY CLASSIFICATION FOR CASE: xxxx」のメールを受信。CCATS レスポンスの文書を入手。ゲームアセットの暗号化は「非免除暗号」ではなく免除対象だったことが判明。

6		2022/12/03App Store Connect で輸出コンプライアンス書類として CCATS レスポンスの文書をアップロードして申請。審査待ち。
72022/12/08輸出コンプライアンス書類の審査が長すぎるのでAppleのサポートに連絡。「どれぐらいで完了するのかは回答できない」という残念な回答。
82022/12/14輸出コンプライアンス書類の審査待ちになってから10日以上経過。待っていられなくなり、 ‘App Uses Non-Exempt Encryption’ を ‘NO’ に設定してアプリ更新
92022/12/18審査から2週間経過して「Apple Export Compliance」のチームからメール受信。「暗号化についての情報が不足しているから説明が必要」とのことなので、BISに提出した「Supplement No.6 to Part 742 – Technical Questionnaire for Encryption」のPDFをメール添付して返信
102022/12/21「Apple Export Compliance」のチームから「PDFが開けない。再度送ってくれ」とメール返信がきたので、PDFの各ページのスクリーンショット画像を貼って再度メール返信
112022/12/21「Thank you! The app has been approved.」とメールがきてようやく輸出コンプライアンス書類が承認された。

輸出コンプライアンス対応とは?

従来から、暗号化が使用されているアプリの場合、アプリをアップロードした際に「輸出コンプライアンスがありません」という画面が表示され、「輸出コンプライアンス情報」の質問に回答する必要がありました。

参考ページ:

iOSアプリ提出の輸出コンプライアンスで、通信にHTTPSを使っているだけの場合の解釈 - Qiita
※免責:私は開発者であり、法律の専門家ではありません。これは私個人が調査し、解釈している内容のため正確性を保証するものではありません。これらの情報をあなたが利用することによって生ずるいかなる損害に対…
qiita.com
TestFlightで毎回表示される「輸出コンプライアンスがありません」の設定を省略する方法 - Qiita
目次1.やりたいこと2.解決策3.まとめ1. やりたいことAppStoreでTestFlightをアップロード後、毎回「輸出コンプライアンスがありません」が表示され、下記のような質問事項…
qiita.com

App に暗号化が使用されていますか?Apple のオペレーティングシステム内の標準的な暗号化のみが App に使用されている場合も「はい」を選択します。

App は、米国輸出管理規則の第2部、カテゴリ5に記載の免除資格をすべて満たしていますか?

従来はこの2つに「はい」「はい」で回答すれば済んでいました(実際には「年度末自己分類報告」を米国政府に提出する必要がありました)。

ところが、新たな画面が2022年11月中旬ぐらいから突如として出現し、 https://help.apple.com/app-store-connect/#/dev63c95e436 にある通り、以下の場合には書類の提出が必須となりました。

  • 独自の暗号化アルゴリズム、または国際標準化団体(IEEE、IETF、ITUなど)の標準化認定を受けていない暗号化アルゴリズム
  • 標準的な暗号化アルゴリズム(Appleのオペレーティングシステム内の暗号化を使用したり、それにアクセスをしていないアルゴリズム。ただし、これを標準的な暗号化アルゴリズムと併用している場合も含む)

たとえばゲームに含まれる画像やデータファイルを抽出されるのを防ぐために独自の軽い暗号をかけている場合は該当することになります。

以前の「輸出コンプライアンスの情報」の画面では、これらの用途は以下に該当することになるので、免除対象でした。

  • (b) 知的財産および著作権保護に限定
  • (c) 認証、デジタル署名、またはデータやファイルの読解に限定

書類については https://help.apple.com/app-store-connect/#/devc3f64248f で説明があります。

App は、Apple Operating System では提供していない、産業標準アルゴリズムを使用しています。

に該当する場合は

App Store Connect で暗号化に関するフランス向け申告フォームをアップロードしてください。

が、

App は、国際標準団体 (IEEE、IETF、または ITU) には承諾されていない、独自の暗号化アルゴリズムを使用しています。

に該当する場合は

アップロード対象書類は以下を参照してください。

  • 米国商品分類自動追跡システム (CCATS)
  • 暗号化に関するフランス向け申告フォーム (App Store Connect 経由)

が必要とのことです。

このページからリンクが貼られている「輸出コンプライアンスの概要」のページは https://help.apple.com/app-store-connect/#/dev88f5c7bf9 では以下の記載があります。

米国において輸出管理規制を確認し、App が CCATS (Commodity Classification Automated Tracking System、米国商務省産業安全保障局 (BIS) が割り当てた公式の分類番号) を必要とする暗号化技術を使用しているかを判断する責任は、デベロッパにあります。輸出規制について間違った解釈を行った、あるいは誤って免除対象であると判断した結果に伴う法的責任はすべてデベロッパにあります。暗号化輸出管理の詳細は、米国商務省産業安全保障局 (BIS) の Web サイトで、暗号化ポリシーを検索の上ご確認ください。フランスにおいても、国内で配信される暗号化機能搭載 App の輸出入は、政府による管理が行われています。政府の管理対象となる App は主に、セキュアストレージ、セキュア通信、セキュリティやアンチウイルスなどの App で、バンキングや医療関連の App は対象外となっています。フランスでの管理に関して詳しくは、The Agence nationale de la sécurité des systèmes d’information (ANSSI) をご覧ください。

要するに輸出規制についてちゃんと内容を把握して正しい判断をし、然るべき対応をしなさいということですね。「はい」「はい」と答えるだけで十分だったの時代から比べると、ハードルの上がり具合が半端ないです。

フランスにもアプリを配信している場合は、フランスでの管理についても対応が必要です。個人でアプリ開発している人にとっては、ものすごい負担になります。

私はGDPR対応を回避するため最初からフランスには配信していないので、米国向けの対応だけを行うことになりました。

(もしフランスにいままで配信していたとしても、この対応だけを理由にフランスを配信国から除外するというのはありな気がしますね)

米国の暗号化輸出管理について

上でも書きましたが、https://help.apple.com/app-store-connect/#/dev88f5c7bf9 の「輸出コンプライアンスの概要」では、しれっと以下の様なことが書いてあります。

米国において輸出管理規制を確認し、App が CCATS (Commodity Classification Automated Tracking System、米国商務省産業安全保障局 (BIS) が割り当てた公式の分類番号) を必要とする暗号化技術を使用しているかを判断する責任は、デベロッパにあります。

暗号化輸出管理の詳細は、米国商務省産業安全保障局 (BIS) の Web サイトで、暗号化ポリシーを検索の上ご確認ください

当然全部英語なのでそれだけでだいぶ辛いのですが、分量も多く内容の理解がとても大変です。

とはいえ、きちんと理解していないと何をしてよいのか、つまり必要な書類が何で、どのように取得するのかがさっぱり分からない状態だったので、私はとりあえず一通り全部に目を通してみることにしました

自動翻訳を使いましたが、「Cat. 5, Part2」の部分が「猫。」に翻訳されて意味不明になったりするのが頻発するので、色々工夫が必要です。あと、テキストではなく画像だけになっているページがあってGoogleレンズを使う必要があったりするケースもありました。こういうとき、英語ができる人は強いですね…。

読むべきドキュメント

輸出管理規制 がトップページ的なものになっているので、順番に読んでいくことになります。列挙すると以下の通りです。

自動翻訳を通して雑な翻訳になっても、雰囲気だけはつかめるので一通りをざっと読むことをおすすめします。

頭に入ってこない場合は時間をおいて何度か読んでみるとかすると良いかもしれません。

ドキュメントを読んだ結果の解釈

私の方で一通り目を通して解釈した結果は以下の通りです。

冒頭にも記載しましたが、私は法律について全くの素人なので、解釈を間違えている可能性があります。内容を参考にする場合は、全て自己責任でお願いします。

「独自の暗号化アルゴリズム」に該当する部分について

3-license-exception-enc-and-mass-market/d-740-17-b-3 の「740.17(b)(3)(ii)」に以下の記載があります。

–    Products that provide or perform “non-standard cryptography”.
      o    “Non-standard cryptography”  Means any implementation of “cryptography” involving the incorporation or use of proprietary or unpublished cryptographic functionality, including encryption algorithms or protocols that have not been adopted or approved by a duly recognized international standards body (e.g., IEEE, IETF, ISO, ITU, ETSI, 3GPP, TIA, and GSMA) and have not otherwise been published.

これがまさにAppleのサイトの文言とぴったり一致します。

https://help.apple.com/app-store-connect/#/dev38f592ac9 に貼ってある画像 https://help.apple.com/app-store-connect/ja.lproj/GlobalArt/export_compliance_encryption.png

Encryption algorithms thar are proprietary or not accepted as standard by international standard boddies (IEEE, IETF, ITU,etc.)

や、 https://help.apple.com/app-store-connect/#/devc3f64248f

App は、国際標準団体 (IEEE、IETF、または ITU) には承諾されていない、独自の暗号化アルゴリズムを使用しています。

の部分ですね。

そのため、独自暗号を使っているケースは 740.17(b)(3) に該当すると判断して良さそうです。

740.17(b)(3) に該当する場合に対応すべき内容

同じく 3-license-exception-enc-and-mass-market/d-740-17-b-3 に以下の記載があります。

After an encryption classification has been submitted, all items under 740.17(b)(3) may be immediately exported to countries listed in Supplement No. 3 to Part 740.

自動翻訳すると以下です。

暗号化分類が提出された後、740.17(b)(3)のすべての品目は、Part 740の補足No.3に記載されている国へ直ちに輸出することができます。

つまり逆に言えば、 4-reports-and-reviews/c-encryption-review-ccats に従って encryption classification 【暗号化分類】の提出が必要ということですね。

documents/new-encryption/1655-flowchart-2-1/file にも以下の赤枠の記載があり、これとも一致しますね。

4-reports-and-reviews/c-encryption-review-ccats を見ると以下の記載があります。

Below are the steps to take to submit a Classification Request to BIS via BIS’s electronic filing system called SNAP-R. This is assuming you have already registered an account in SNAR-R.

SNAP-R というシステムで Classification Request を提出するようです。アカウントがすでに登録済みという前提のようです。

ちなみに「SNAR-R」と書いている部分もありますが、これはtypoですね。「SNAP-R」が正しいです。

ということで、SNAP-R のアカウントを作成し、上記ページの各Stepに従っていけば良さそうです。

Appleに提出する書類は何か?

SNAP-Rで Classification Request を提出して満足するだけではダメで、もともと欲しかったのはAppleに提出する書類です。

4-reports-and-reviews/c-encryption-review-ccats の Step 3 のところに以下の記載があります。

Block 22(j): Provide a brief technical description including the basic purpose of the encryption item (e.g., XYZ is a PDA used for …). Comments such as “See letter of explanation” or “See brochure” are NOT sufficient. The information identified in this block is printed on the CCATS response issued by BIS.

「The information identified in this block is printed on the CCATS response issued by BIS.」(このブロックで特定される情報は、BISが発行するCCATSレスポンスに印刷されています。)

とあるので、Classification Request が完了すると、BISが「CCATSレスポンス」というのを発行してくれるようです。

このCCATSレスポンスをAppleに提出すればよいはずです。

SNAP-Rのアカウント登録

4-reports-and-reviews/c-encryption-review-ccats に SNAP-R で登録するよう指示がありましたが、SNAP-R のページへのリンクは貼られていないようです。

ググってみたら以下のようです。

BIS SNAP-R Exporter Web Application
snapr.bis.doc.gov

WARNING WARNING と圧がすごいですがあまり気にせず、「Register online for a SNAP-R account」のリンクをクリックして登録画面に行きましょう。

住所を英語表記する必要がありますが、これはまあ適当にググれば分かると思います。

Company Nameは、会社登記してないのであれば個人なので Individual としておけばよいと思います。

Phone は日本の場合は「+81」を付けるはずなのですが、「+」を入れるとエラーになった気がします。

自分は以下のような感じで登録しました(一部伏せてます)。

Certifications の内容を読んでチェックを入れて、画面下部の「Submit My Registration」を押すと以下の画面になりました。

なぜか 「The address you typed in has failed out verification.」と表示されて不安になりますが、「Continue」のリンクを押すと以下の画面になります。

ここでも「Although the address you typed in FAILED out verification,」と言われてますが、何が原因かよくわかりません。いたずら登録防止の為でしょうか?

しばらくすると「SNAP-R Registration Conformation – <Company Name>」という件名の自動メールが来ます。いくら待ってもメールが来ないという場合は、迷惑メールフォルダに入っていないかなどチェックしたほうが良いかもしれません。

メール文面にあるリンクをクリックすると以下の画面になり、ひとまず登録完了です。

Please allow up to five business days to process your SNAP-R registration.

とあるので、最大で5営業日ぐらいかかるようです。

数日待っていれば、「SNAP-R Account Invitation」という件名のメールが届くはずです。

自分の場合は 2022/11/19 の21時頃に登録し、11/21の23時過ぎに Invitation のメールが届きました。

メールのリンクをクリックすると「Login ID and Password Setup」 の画面になります。

入力して「Activate」を押すと以下の画面になります。

「login to SNAP-R」のリンクをクリックします。

Login ID、Password、CIN (Application ID) を入力します。CIN (Application ID) は Invitation メールに記載されていたものです。

「Login」を押してログインすると、以下のWelcome画面になります。

ここまでくれば、あとは必要事項を記入していくだけです。

Classification Request の作成

4-reports-and-reviews/c-encryption-review-ccats の各 Step に従って作業します。上から順番に見ていきます。

Step1

Step 1: Prior to making you submission it is extremely helpful to understand the ECCNs under Cat. 5 Part 2 and whether the products you want to export are described by either Section 740.17(b)(1)(b)(2) or (b)(3) of the Export Administration Regulations (EAR).

これは前述の通り 740.17(b)(3) に該当するのを確認済みです。

Note: Items described under 740.17(b)(1) do not require a classification be submitted to BIS, rather a self-classification report can be done, however, if a classification is completed by BIS for an item, that item does not need to be reported in a self-classification report.

740.17(b)(1) には該当しないので、これはスルーでOKです。

Step2

Step 2: If you are not the manufacturer or producer of the products, determine whether the manufacturer or producer has filed a License Exception ENC classification request. If the manufacturer or producer has filed an ENC classification, then you may export based on the manufacturer’s classification and ENC authorization for  the product. If you are the manufacturer or producer, or if you cannot obtain the manufacturer’s classification information, then follow the steps below.

これはアプリ開発してるのは自分なので、自分が producer という扱いでよいかと思います。

Step3

Step 3: Go to the main SNAP-R screen and select Classification Request, then check the encryption checkbox. Block instructions:

ここからが SNAP-R への入力内容の指示になります。

Work Item の作成

まず、SNAP-R にログイン後の「Welcome to Snap-R」の画面で、左のメニューから「Create Work Item」を選択し、Work Itemを作成します。

Type は「Commodity Classification Request」を選択します。

Reference Number は任意の7文字の英数字です(Numberと言いつつ英文字もOK)。

入力したら「Create」を押すと、「Edit Commodity Classification Request」の画面になります。

Conatct Informationには登録済みの内容で自動入力されるはずです。

Block 9

「9. Special Purpose」は

Block 9: A pulldown list will appear in the Special Purpose block. Select “License Exception ENC.”

に従って「License Exception ENC」を選択します。「then check the encryption checkbox. 」という指示が Step3. のところであったのでチェックボックスをONにします。

Block 14, 15

14. と 15. は

Block 14-15: Be sure the information in these blocks is complete and correct, because this is where the official response from BIS will be sent. If both blocks are filled in, the official response will be sent to the individual or entity identified in Block 15.

に従います。通常は 14. が自動入力済み、15. が空欄でOKなはずです。代理入力している場合などはヘルプを参照したりして確認してください。

Block 22

「22(a) ECCN」は

Block 22(a): Enter 5A002, 5A003, 5A004 or 5A992.c for hardware, 5D002 or 5D992.c for software, or 5E002 or 5E992 for technology.

に従うのですが、リストからどれを選択するのかを確認する必要があります。

hardware ではなく software なので「5D002 または 5D992.c」 のどちらかのはずです。

documents/new-encryption/1652-cat-5-part-2-quick-reference-guide/file を見ると、5D002 の記載内容は該当しなさそうです。

一方、5D992 の箇所には

Mass market items (5A992.c or 5D992.c) that are described by 740.17(b)(3)(i), (ii), or (iv) can also be authorized by this section.

と記載されており、3-license-exception-enc-and-mass-market/d-740-17-b-3

Mass market items (5A992.c or 5D992.c) that are described by 740.17(b)(3)(i), (ii), or (iv) can also be authorized by this section.

の記述とも矛盾しないので、5D992 で良さそうです。

「22(b) APP」は https://snapr.bis.doc.gov/snapr/docs/fieldHelp.html#exportItem のヘルプを見る限り、

APP
You must enter the “Adjusted Peak Performance”(“APP”) in the Block if your license application or commodity classification Work Item includes a digital computer or equipment containing a computer as described in Supplement No. 2 part 748 of the EAR. Instructions on calculating the APP are contained in a Technical Note at the end of Category 4 in the CCL.

とあるので不要そうです。

「22(c) Product/Model Number」は

Block 22(c): Enter the product name with model number, if available.

に従うと iOS の英語版のアプリ名で良さそうです。

「22(d) CCATS Number」はヘルプに

CCATS Number
If the exporter received a classification for the item from BIS, provide the Commerce Classification and Tracking System (CCATS) number shown on the classification issued by BIS.

と記載があるので、空欄で良さそうです。

「22(i) Manufacturer」は

Block 22(i): Enter the name of the manufacturer. If you will sell the product under your company’s label, then enter the name of your company in the manufacturer block.

に従うと iOS の英語版アプリの Copyright のところに入れてる名前で良さそうです。

「22(j) Technical Description」は

Block 22(j): Provide a brief technical description including the basic purpose of the encryption item (e.g., XYZ is a PDA used for …). Comments such as “See letter of explanation” or “See brochure” are NOT sufficient. The information identified in this block is printed on the CCATS response issued by BIS. All other blocks or block portions appropriate for review requests should be completed in accordance with Part 748 of the EAR.

に従って「簡潔な技術的説明」を記載することになります。

暗号化の目的などもきちんと説明が必要とのことで多少面倒。

自分が記入した内容を参考までに書いておきます(XXXX の部分はアプリ名)。

XXXX is game application for smartphone(Google Android and Apple iOS).
This game application contains several game assets such as image data, parameter table data, etc.
These data should be protected from cracking or attacking, such as extraction of data for analysis for cheating game.
For this purpose, this game application employs original non-standard cryptography, implemented by developer of this game.
This original non-standard cryptography is light-weight and simple but strong.
Game application is required about high performance, so this game didn't adopt high cost algorithm such as OpenSSL feature for encryption or decryption of game assets.
This original non-standard cryptography is used only for this game asset and can't be used from outside of this game.

Step4

Step 4: Attach Support documents
–    For items described in 740.17(b)(2) or (b)(3), there are two support documents required:
     o    Supplement No. 6 to Part 742 Encryption Questionnaire: If the classification request if for an item described under 740.17(b)(2) or (b)(3) be sure to prepare a PDF document containing the information in Supplement No. 6 to Part 742 of the EAR. Complete all questions. Be sure to address question number 11 and 12  as to whether and how the item meets the criteria set forth in 740.17(b)(2) and (b)(3), respectively.
     o    Data sheet, technical specifications, or marketing brochures for the product(s).

–    For items not described in 740.17(b)(2) or (b)(3), the Supplement 6 information is not required, however, you must provide sufficient documentation of the product’s features in order for BIS to make an accurate determination. Typically this includes a data sheet and information on the encryption functionality of the product.

–    Other information that is not required but can be  helpful:
     o    Cover letter or Letter of Explanation: to provide the licensing officer with information on the product and how it uses encryption functionality.
     o    ECCN: Include what you think is the appropriate ECCN with an explanation of why.
     o    Mass Market Explanation: Supporting material such as Mass market support is also appropriate.

740.17(b)(3) に該当するので、2つのサポートドキュメントを添付しないといけないようです。

1つ目は「Supplement No. 6 to Part 742 Encryption Questionnaire」、日本語にすると「暗号化質問票」ですね。

2つ目は「Data sheet, technical specifications, or marketing brochures for the product(s)」、日本語にすると「マーケティングパンフレット」でしょうか。(データシートや技術仕様書は不要なはず)

暗号化質問票

 Supplement 6 のリンク先を見ると非常に長いドキュメントになっています。

「No. 6 to Part 742」で検索すると、記載箇所が見つかります(No. の後ろにスペースが必要なので注意)。

リンクが貼られていて別URL https://www.ecfr.gov/current/title-15/subtitle-B/chapter-VII/subchapter-C/part-742/appendix-Supplement%20No.%206%20to%20Part%20742 で表示できます。

これまた設問数が多いのですが、これに回答する必要があります。

大項目は

(a) For all items:
(b) For classification requests and other submissions, provide the following information
(c) For classification requests for hardware or software “encryption components” other than source code (i.e., chips, toolkits, executable or linkable modules intended for use in or production of another encryption item) provide the following additional information:
(d) For classification requests for “encryption source code” provide the following information:

となっているので、(a) と (b) だけ該当しますね((c) はハードウェア、(d) 暗号のソースコード)。

回答フォームのテンプレなどは用意されていないようです。PDFにして提出が必要ということなので、私は Google ドキュメントを用意してそこに記載し、「ファイル > ダウンロード > PDFドキュメント」でPDF化することにしました。

ごちゃごちゃしそうなので、元の設問を黒文字、回答を青文字で書くようにして作成しました。

以下、イメージです(内容読めないレベルに縮小したもの)。

ざっと書いた内容についてメモしておきます。

  • (a)
    • (1) Name/Description はアプリのタイトル/説明。Brochure は別途PDF添付すると記載。
    • (2) 「No prior classification」と記載
    • (3) 何の目的で何のデータを暗号化しているか説明
    • (4) 「Not encryption products」と記載
    • (5) 「Any “encryption source code” isn’t provided.」と記載
  • (b)
    • (1) 暗号方式について事細かに説明
    • (2) 鍵をどう管理してるか、アルゴリズムはどういうものかとかを記載
    • (3) ここが一番大変。テキストでのアルゴリズムの説明と、ソースコードを添付。ソースは実際のアプリのコードからコピーしてきて本質的な部分だけに削って整理
    • (4) 「No pre-processing methods are used.」と記載
    • (5) 「No post-processing methods are used.」と記載
    • (6) 「Using SSL for https networking.」と記載
    • (7) 暗号アルゴリズムや鍵管理や鍵スペースがユーザにいじられないようにどうやっているか説明
    • (8) 使ってる third-party 暗号ライブラリについて説明
    • (9) ビルドに使ってるコンパイラバージョンをコピペ
    • (10) 開発拠点(=住んでいる地域)を記載
    • (11) 「Not meet 740.17(b)(2)」と記載
    • (12) 「Yes, meets 740.17(b)(3), by using “non-standard cryptography”.」と記載
    • (13) 「Not incorporate an “open cryptographic interface”.」と記載
    • (14)
      • (i) 「No IPSec capabilities. No implementation about these.」と記載
      • (ii) 「No IPSec capabilities. Not using IKE.」と記載

マーケティングパンフレット

いわゆる製品のパンフレットということですがそんなものは用意してないので、App StoreのページのスクリーンショットをPDF化してやることにします。

Googleドキュメントを新規作成して、スクリーンショット貼り付けて、「ファイル > ダウンロード > PDFドキュメント」を選択するだけです。こっちはとても簡単ですね。

ファイルをアップロード

「Edit Commodity Classification Request」の画面の下の方、

の「View and Manager Supporting Documetns」をクリックするとアップロード画面が表示されます。

ドキュメントが2つあるので、アップロードを2回行うことになります。

Title はそれぞれ以下にしました。

  • 「Supplement No.6 to Part 742 – Technical Questionnaire for Encryption」
  • 「Brochure of XXXX」 (XXXX はアプリ名)

Author Name は自分の名前です。

Document Type はどちらも「Other」にしました。(「Encryption Registration Supp. No. 5 to Part 742」というのがあって一瞬これを選びそうになりましたが、No. が違っています)

Document Creation Date は、日本時間で入れると「Creation Date can not be a future date」のエラーが出た気がします。USと日本は最大で17時間ぐらい時差があるので、US時間で未来の時間にならないような日付を指定します(昨日とかにすればOKなはず)。

Keywords はあとで探すときの自分用のメモということらしいですが、ハイフンで繋げておかないと、単語で勝手にバラバラにされて登録されて意味不明な内容になるようなので注意が必要です。

ファイル名についても「The document name may be any character a-z, A-Z, 0-9, an underscore “_”,a space ” “, or a hyphen “-“.」とのことなので従います。

無事にアップロードできると、以下のようになります。

Step 5, 6, 7

Step 5:. You may include up to six items on a classification. Supplement 1 to Part 748 provides general multipurpose application instructions.

Step 6: Submit the application to BIS electronically through SNAP-R. You will obtain an Application Control Number that begins with the letter Z. Use this number in all communications with BIS about your classification request.

Step 7: Export items described by Section 740.17(b)(2) or (3) immediately if you obtained a classification request from the producer, or thirty (30) days after the submission of a classification request to BIS in accordance with Section 740.17(d). Items submitted for classification may be immediately exported to countries listed in Supplement No. 3 to Part 740.

Step 5 は6個まで一緒に登録的な話なので、スルーでOKです。

Step 6 はSNAP-RでSubmitしなさい、その後 Z で始まる Control Number が手に入るから今後の問い合わせはそれを使いなさい、という指示です。

Step 7 はすぐ輸出していいですよ、という話ですね。

今回はAppleに提出する書類をゲットするのが最終目的なので、まずは Submit をします。

SNAP-R の Submit

ファイルのアップロードも完了すると、「Edit Commodity Classification Request」の画面の下の方、画面の一番下がこうなっているはずです。

「Check For Erros」を押してエラーが無いか確認します。問題がなければ以下のように「All party addresses have passed our verification process.」と表示され、「Preview Work Item to Submit」のボタンが表示されます。

「Preview Work Item to Submit」を押すと、「Submit Commodity Classification Request」の画面になります。画面一番下に以下が表示されます。

「Submit」を押すと「Submit Work Item」画面になります。

ヘルプを参考に記入して「Submit Work Item」押せば、ようやくSubmitが完了し、「Thank You」画面になります。

Acknowledgement の通知を受け取る

しばらくしてから SNAP-R Home を見ると、Acknowledgement の通知が来てるはずです。

リンクを開くと以下のような画面になり、「Status: ACCEPTED」となっているはずです。

「Z」で始まる Control Number が通知されているので、確認しておきます。

「Content」のところに

TO CHECK THE STATUS OF YOUR CLASSIFICATION REQUEST, GO TO HTTPS://SNAPR.BIS.DOC.GOV/STELA
AND ENTER YOUR CLASSIFICATION CONTROL NUMBER ZXXXXXXX

と Stela のURLが書かれており全部大文字になってしまっていますが、実際のURLは小文字で https://snapr.bis.doc.gov/stela/ になります。

https://snapr.bis.doc.gov/stela/
snapr.bis.doc.gov

このページで 「ACN or Case Number」のところに、「Z」で始まるControl Number を入れてSubmitすると、承認状況が確認できるとのことです。

私の場合は Request を Submit してからすぐ確認したためか「No work item was found that matched the provided information」が出てしまいました。

またここでしばらく待つことになりそうです。

これが完了になっていると、Appleに提出が必要な書類である「CCATSレスポンス」が手に入るはず、です。

(追記: 2022/11/24 03:05)

再度STELAで確認したところ、「No work item was found that matched the provided information」は表示されず、以下の画面が表示されました。

「Review Status」が「PENDING」になっていますが、ヘルプによると

Status: PendingPending status indicates that the application is still under review and final action has not been taken.

とのことのようです。

review 中ということなので、手続きは進んでいるようで一安心です。

また更新が確認でき次第、続きを書こうと思います。

(追記: 2022/12/02 00:13)

その後一週間以上経過しましたが、未だにPENDINGのままです。結構時間かかるようです。このまま気長に待ちたいと思います(もし手順間違ってたらどうしよう?と少し不安になり始めてます…)。

(追記: 2022/12/03 15:00

2022/12/03 15時頃に「COMMODITY CLASSIFICATION FOR CASE: xxxx (REF: xxxx)」のメールが来ました。

リンクにあるように SNAP-R のサイトにログインすると、New Message が届いていました。

CCATS レスポンスの文書を入手

Subjectが「COMMODITY CLASSIFICATION FOR CASE: xxxx (REF: xxxx)」になっているリンクを開くと、「Validation_<Z-number>.pdf」というファイル名のPDFがダウンロードされ、無事にCCATS レスポンスの文書を入手できました。

しかし、ECCNを「5D992」で申請したはずなのですが、「EAR99」になっています。

EAR99は https://www.bis.doc.gov/index.php/regulations/commerce-control-list-ccl に記載があります。

If your item falls under U.S. Department of Commerce jurisdiction and is not listed on the CCL, it is designated as EAR99. EAR99 items generally consist of low-technology consumer goods and do not require a license in many situations. However, if you plan to export an EAR99 item to an embargoed country, to an end-user of concern, or in support of a prohibited end-use, you may be required to obtain a license.

「 EAR99 items generally consist of low-technology consumer goods and do not require a license in many situations.」とあるので、申請不要だった模様…?

どうやら App Store Connect の「サービス > 暗号化 > 輸出コンプライアンス書類」の箇所で「+」を押して出てくる以下の画面のせいで、自分が勘違いしていたということのようです。

実は「非免除暗号化を使用」かどうかを先に判断し、ITSAppUsesNonExemptEncryption を NO にする だけにするのが正しかったようです。

Add the ITSAppUsesNonExemptEncryption key to your app’s Info.plist file with a Boolean value that indicates whether your app uses encryption. Set the value to NO if your app—including any third-party libraries it links against—doesn’t use encryption, or if it only uses forms of encryption that are exempt from export compliance documentation requirements. Otherwise, set it to YES.

https://developer.apple.com/documentation/security/complying_with_encryption_export_regulations?language=objc

今回は書類入手まで進んでしまったので、せっかくなのでこのまま書類提出まで突き進むことにします…。

輸出コンプライアンス書類の提出

CCATSレスポンスの書類を入手できたので、App Store Connect の「サービス > 暗号化 > 輸出コンプライアンス書類」のところでPDFをアップロードします。

アップロードボタンを押すと「Appの目的」の入力画面になるので入力します。

該当する項目にチェックを入れます。

「ファイルを選択」を押し、CCATSレスポンスのPDFファイルを選択します。

これで保存すると書類が登録され、「処理中」という表示になります。

しばらくしてから見ると、「審査中」になっていました。

これで審査が完了するのを待つだけです。

(追記: 2022/12/08 17:30)

4営業日以上経過した 2022/12/07 時点でも審査中だったので、サポートに連絡しました。

しかし、「どれぐらいで完了するのかは回答できない」という残念な回答が来ました。

待つしか無いようです。

(追記: 2022/12/13 23:45)

輸出コンプライアンスの書類を提出してから10日経過しましたが、未だに「審査中」のままです…。長い…。

(追記: 2022/12/14 21:40)

もはやこれ以上待てないので、↓の記事の通りアプリ更新しました。輸出コンプライアンス書類の審査状態とは無関係のようです。

App Store Connect で輸出コンプライアンス書類の審査中にアプリ更新ができるか試してみた
別の記事 で書いたように、輸出コンプライアンス書類を提出したのに中々審査が終わらず困っていました。そもそも「非免除暗号」ではなく免除対象であることが判明して、無駄に書類を提出してしまった状態でした。ずっとアプリ更新できてな...
roguefactory.blog
2022.12.14

(追記: 2022/12/18 01:39)

輸出コンプライアンス書類を提出してから2週間経過したタイミングで、「Apple Export Compliance」からメールが来ました(通常は2営業日で終わるらしいですが)。

「文書が不足している。暗号化についての情報が足りてないから説明しろ」とのこと。

…。

色々思うところはありますが、面倒なのでBISに提出した「Supplement No.6 to Part 742 – Technical Questionnaire for Encryption」をそのままメールに添付して返信しました。

(追記: 2022/12/21 01:30)

「Supplement No.6 to Part 742 – Technical Questionnaire for Encryption」をそのままメールで送ったところ、返信が来ました。

「PDFが開けない。再度送ってくれ」とのこと…。

再度PDFを添付してメール送ったのですが、また「見れない」とか言われそうだったので、PDFの全ページのスクリーンショットの画像をベタベタ貼って再度送りました。

(追記: 2022/12/21 10:00)

PDFのスクリーンショット画像をメールに貼って送ったあと、数時間で「Thank you! The app has been approved.」というメールがきて、ようやく承認されました。

以下の通り、ようやく「承認済み」となりました。長かった…。

Xcode に設定する「キー値」を入手することができました。続きの作業は以下の記事に書きました。

App Store Connect の輸出コンプライアンス書類の承認後に行うべき作業
別の記事 で書いた通り、App Store Connect の輸出コンプライアンス書類がようやく承認されました。さらに別の記事 で書いた通り、免除対象の暗号なので 'App Uses Non-Exempt Encryption' ...
roguefactory.blog
2022.12.22

コメント

  1. googletest より:
    2024年1月22日 01:57

    Excellent blog post. I absolutely love this site.
    Keep it up!

    返信
タイトルとURLをコピーしました