App StoreやGoogle Playでアプリを公開する時に、「アプリの中でデータの暗号化を行っているものはアメリカの輸出規制なんだが大丈夫か」的なことを聞かれる。

該当のアプリはいわゆる「暗号品目」というやつであり、App StoreやGoogle Playからアプリを配布することはアメリカからの輸出に当たるので、米国輸出規制法に従っているかチェックしておかなければならないということである。

その辺のことを調べた時のことをログとしてまとめることにする。ただのログであり、何かの結論を提供するものではありません。また、間違っている可能性があるのでご自身でもよく調査されてください。

今回のアプリの前提

HTTPSでWebサーバにデータを送ったり受け取ったりするアプリ。iOS版とAndroid版とがある。

iOSの方はSDKで用意されている標準のAPI(NSHTTPRequestとかそんなやつ)を使っている。

Androidの方はOSSのvolleyを使っている。volleyは実行環境のOSのバージョンに合わせて最適なAPIを選んで叩いてくれるライブラリ。

※調査したのは2014年9月ごろであり、時間が経つと法律の内容も変わる可能性がある。

関連する情報

• 本家：http://www.bis.doc.gov/index.php/policy-guidance/encryption/registration
  • 条文なども全文PDFで公開されている。
• 日本語訳： http://www009.upp.so-net.ne.jp/kgm1_ear/cipher2/Encryption_Registration.htm
  • 大変ありがたい日本語訳のサイト。原文と合わせて読みながら参考にさせていただいた。
• HTTPS を使ってるアプリを AppStore や Android Market で配信するときの輸出手続きについて - むらかみの雑記帳
  • 本件関連のキーワードでぐぐると最初に出てくる日本語のページ。どこをどう読めばいいかわかりやすくまとめており、最初にすごく参考にさせていただいた。4+1部構成。
• DSAS開発者の部屋:スマホアプリと米国輸出規制に関するメモ
  • 本件関連のキーワードでぐぐると出てくる日本語のページその２。今回は本件と直接関係する内容ではなかったものの、該当規制法の理解のために大変参考にさせていただいた。2部構成。

気になったこと

3つ目のページの説明は前提が本件とよく似ているので最初は信じていたんだけど、しばらく考えたあと思い直すことにした。 その理由は、

• 742.15(b)(4)(ii)は米国からの輸出には適用できないというように判断されているが、原文には明記されていない。それに対し、740.17(b)(4)には原文に「米国からの輸出には適用できない」と明記されている。
  • 740.17(b)(4)は暗号貨物のうち、届出が必要ないものに関して言及した条項、742.15(b)(4)はマスマーケット製品である暗号品目のうち、届出が必要ないものに関して言及した条項
  • 740.17(b)(4)の最初に「米国からの輸出には適用できない」云々の文言がある以外、2つの条項の文面はほぼ同じ
  • 742.15(b)(4)にはなぜ「米国からの輸出には適用できない」と書いていないのか。米国からの輸出にも適用されるから？それぞれ背景が違うので742.15(b)(4)には明に書かなくても「米国からの輸出に適用できない」ことになる？

マスマーケット製品でないものっていわゆるB2Bのソフトとかシステムのことなんじゃないかと思うが、そういうものが国外で作られた後、国内に入ってきてそのまま輸出するってのに規制をかけるのは何となく分かる。なんでアメリカ通すのかわからないし。

結局？

何かの結論を出したいところだけど、英語どころか日本語ですら長文を読むのが億劫なメンタリティでありこのままだとアプリどころかこのエントリですら永遠に日の目を見ることはないというのがなんとなく悲しいので、誠に無責任ですがここまで考えたことを一旦公開します。つらみ。

でもうまく言えないけど自分の中で納得出来ないんだよね。