Appleがフォーカスするプライバシーの柱

こんにちは プライバシーエンジニアリングチームの ローレンです ”Appleがフォーカスする プライバシーの柱” へようこそ Appleでは プライバシーは 基本人権だと考えています 私たちのデバイスは エンターテイメントと 人々のコネクションという 重要な役割があります 特にお互いに離れている場合 それが重要です その経験の中で 何を共有するかは 個人次第であるべきです 個人のデータによって 何が起こるのかを理解し 管理できれば あなたのAppに より関わるようになり ユーザーの生活の上でAppが 信頼できる一部となるでしょう 素晴らしい機能と プライバシーが トレードオフになるべきでは ありません 簡単ではありませんが iOS 15とmacOS Montereyで 喜ばれるAppを作りつつも プライバシーを守れる 革新的なツールを 皆さんに提供します ここではAppleの プライバシーに対する アプローチと 人々の選択を尊重しつつ 新機能の構築を容易にする 新技術を紹介します

Appのプライバシー保護を 向上させるのは 高尚なゴールに見えるため どこから始めるべきかを判断するのが 難しいかもしれません ですので Appをデザインする上で いくつかの原則と 自身に尋ねることのできる質問で プライバシーに対するエンジニアリングを シンプルにしました

プライバシーにどう アプローチするべきか？ Appleではプライバシーに関する ４大柱があります まず データの極小化です 必要なデータのみを リクエストし使用します ２つ目は オンデバイス処理です サーバーに送ることなく デバイスで データを処理します ３つ目は透明性と管理 データの使用に関して ハッキリとした理解と コントロールを 提供することです 最後は機密保持で プライバシーの保護を 徹底します このガイドラインに基づいて Appに関して自問できます データの極小化において Appの機能を素晴らしくするのに このデータが必要かどうか？ オンデバイス処理では なぜサーバーは このデータが必要なのか？ 透明性と管理では このデータをどう使い それをどう人々に伝えるか？ 最後に機密保持では 転送中と最終地点でどう データが保護されるか？ これからガレットと共に 必要なデータだけを集め それらのデータを守り プライバシーに対する 新しい機会となる 機能や技術をご紹介します そしてエリオットが Private Relayにおける ４大柱の適用について お話しします まず iOS 15の データ極小化についてです 訪れる場所から人々の生活を 垣間見ることができます あなたのAppに 位置情報により 活かされる機能が あるとします でもユーザーは そのデータの即座の共有に 懐疑的かもしれません

iOS 13では “一度だけ許可”により Appでの位置情報の共有を 簡単に試せる機会を 提供しました しかしプロンプトが 何度も表示されてしまいます iOS 15ではいつ位置情報を 共有するか選択を与えつつ スムーズに利用体験に 溶け込ませることができる 新しい位置情報の 取り込み方法があります “現在地情報を共有” ボタンを 使用することができます これがタップされると そのセッションの間に 位置情報を 受け取ることができます “一度だけ許可”と同様です 位置情報への依存が 限定的である場合 このボタンを 使用することにより 必要時だけの アクセスを提供し ユーザーの信頼を 得ることができます このボタンを 初めてタップすると 使用目的が表示され 正確な位置かおおよその位置への アクセスを選択できます

ロケーション矢印が 画面左上に現れ 位置情報の共有を通知します 次回 ボタンをタップすれば プロンプトは 表示されません この許可は セッションベースで Appの使用終了まで 有効です “１度だけ許可”と 動作は似ていますが 非常にシームレスで “使用中のみ許可”の 代わりとなります “使用中のみ許可”と比べ このボタンは 位置情報サービスを より少ないコミットで 試しやすくなります Appのデザインと 調和するよう CLLocationButtonの プロパティを設定し カスタマイズできます カスタマイズできる 要素としては バックグラウンドカラー テキストと矢印の色 そして角丸があります これらの ロケーションボタンは 押した時点での 位置情報の共有のためにあり 一貫した文字列とアイコンで 簡単に認識でき コントラストやサイズ 形のリミテーションにより 見やすくなっています つまりiOSは直接 ボタンのタップを 確認できるのです ロケーションボタンは watchOS iOS iPadOS そしてmacOSの Catalystで使用できます ユーザーはしばしば Appを立ち上げた直後に 位置情報の決定を せねばなりません ロケーションボタンは 情報の共有を 正確に管理でき ユーザー体験も シームレスです ロケーションボタンと 同じ技術を使い セキュアペーストも ボタンのタップを 確認します OSはユーザーが 実行したペーストと Appによって 実行されたペーストを 識別できます

iOS 14ではAppが ペーストボードに アクセスすると 通知が表示されました Appに含まれるSDKが 不意にペーストボードに アクセスした時にも 表示されたはずです

編集メニューから ペーストした場合 この通知は もう必要ありません 編集メニュー及び キーボードを通して ユーザーがペーストを 行わなかった時のみ この通知が表示されます 体験向上のため ユーザー起動の ペーストのみを使用するよう 移行することをお勧めします ペーストボードに アクセスが必要なら データにアクセスする前に ペーストボードの コンテンツが適切か データディテクターで 確認できます 次はオンデバイス処理です オンデバイス処理は Face IDやQuickType 血液酸素の測定などの コアとなる基盤です 一番の恩恵は ユーザーの機密データを サーバーに送ることなく Appに利用できることです

iOS 15ではこの原理を Siriに取り入れました Siriは業界を率先する プライバシーを内蔵した 素晴らしい機能の例です 開発当初からSiriは プライバシーを守るように デザインされました 録音された音声は デフォルトで保存されません リクエストは Apple IDではなく ランダム識別子と関連づけられます 個人情報は デバイスから外に出ないように しています しかしSiriで使われるような 大きな機械学習モデルは いくつものサーバーが 必要です しかしiOS 12を リリースした頃 Apple Neural Engineを ハードウェアに追加しました それにより より多くの Siriのコンポーネントを オンデバイスに 移行できたのです

iOS 13ではSiriの音声を オンデバイスで 作成できるようになりました つまりリクエストに対する Siriの応答を デバイス内に留められる ようになったのです

iOS 14ではオンデバイス 音声入力が登場しました これはオンデバイスで 初めての 高品質な音声認識モデルです ユーザーの不安要素の一つは 音声アシスタントにおける 不必要な音声録音です この不安を解消するため Siriの自動音声認識モデルを すべてオンデバイス処理に 移行します そうすることで デフォルトで リクエストの音声は iPhoneやiPadから 外に出ることはありません このイノベーションは オンデバイス処理への 正しき一歩です Siriの自動音声認識処理を オンデバイスで行うことで プライバシーに加え さらなる新機能を 可能にします オンデバイス処理で Siriが高速になります サーバーにリクエストを送ることなく オンデバイスで処理するため Siriの返答が高速になるのです またオフラインでも リクエストが可能になります

Apple Neural Engineが ここでは大きな役割を 果たしています iOS 15では皆さんも Apple Neural Engineを ご利用いただけます iOS 15の新機能として Create MLフレームワークで iPhoneやiPad上で モデルをトレーニングできます Appを使用する人それぞれに 合わせられ 写真のような機密データを デバイスの残したままにできます 機械学習チームの ”Create MLフレームワークを使った ダイナミックなiOS Appの構築”を ご参照ください 次にガレットがiOS 15と macOS Montereyの 透明性と管理について お話しします ありがとう ローレン ハッキリとした透明性と 理解しやすい管理によって ユーザーの信頼を 得ることができます メールや写真 ヘルスデータの使用方法や 誰と共有するかを 伝えることで ユーザーが Appの機能を探求し 心地よくAppを使えるようになります 今日は透明性と管理における プラットフォーム上での 数々の例をご紹介し 取るべきステップを ご理解いただけるようにします

まずはメールに関する 透明性と管理の機能です

メールアドレスの入力を ためらったことが おありでしょう Appのユーザーも同じです 情報を共有されたり 購入･行動データを Appやサイトをまたいで 紐付けされる 不安があります iOS 13でAppleで サインインが登場し AppやWebサイトに サインインする新しい方法として 名前やメールを 隠せるようになりました

iOS 15ではこれらの機能を “iCloud+でメールを非公開” 機能を使って利用できます Safariでは フォームに入力時に そしてメールでは 新しいメールの作成時に 簡単にランダム メールアドレスが作れます

他のチャンネルでも可能です メールアドレスを 受け取る場所であれば “メールを非公開”を 使用できます ユーザーが “メールを非公開”を使った場合 あなたのメールは 正しく受信トレイに届きます ユーザーの決定を尊重し 名前など他の情報は 必要な時以外は 求めないようにします メールをリッチな表現にして 人を引き込むために リモートにホストされた 画像がよく使われます これらのメールが メールAppに表示されると リモートの画像が取得され いつどこで どのデバイスでメールを 開いたかが明らかになります 多くの広告メールには ユニークなイメージURLや 見えないピクセルが 含まれており メールを開いた時に この情報を ユーザーと紐付けします このためプライバシーを 重視して テキストだけの メールを選ぶか 情報共有覚悟でフルメールかを 選択せねばなりません iOS 15ではメールプライバシー 保護が追加されます メールでのアクティビティを隠すため iOSがリモートコンテンツを 非公開で取り入れるのです 非常にクールな機能です 皆さんにとっても いい知らせです 皆さんが選んだ画像を 含んだメールがより 多くの人に読まれるのです リモートの画像を使って データを分析していたなら いくつかの変更があります メールの配信後にコンテンツが 自動的にロードされるため メールの閲覧時刻は 正確ではなくなります またIPアドレスが 非公開なので メールを読んだ場所や デバイスの種類などの情報は 明らかになりません そして実際に 読んでいなくても 読んだと表示されます 続いては集中モードと インジケータについてです

iOS 15の新機能として コミュニケーションAppなら おやすみモードなどを 使用中のユーザーに ステータスへのアクセスを リクエストし App内でそれを 共有することができます ステータスのリクエストには AppのInfo.plistにある NSFocusStatus UsageDesriptionキーが必要です またXcodeの User Notifications Communication機能をオンにしてください 集中モードに関するさらなる詳細は “コミュニケーション通知と 即時通知の送信”をご参照ください macOS Montereyでは カメラインジケータランプに 録音インジケータを 補足しました 内蔵マイクや W1･H1オーディオデバイスが 音声を拾っている場合 ステータスバーにオレンジの 丸印が表示されます 信頼を得るために 乱用は避けましょう 道理に叶うときのみ マイクを使用しましょう 例えばAppに ミュートボタンがあれば ミュート時に音声の受信を ストップさせます macOS Montereyで Appをテストし ユーザーの期待通り 機能するか確認しましょう また第三者のSDKが 不意にも 音声を拾っていないか 確認しましょう 次に最近使ったAppの 行動に関する 透明性についてです

Appプライバシーレポートは 毎日使うAppで何が起きているかを 理解することができ 今後のソフトウェアアップデートで 使用できるようになります 位置情報や写真･電話帳など データやセンサーに Appがいつアクセスしたかを 知ることができます またAppが 誰とデータを共有したか アクセスしたドメインの リストから知ることができます またApp内で アクセスしたWebサイトの ドメインも閲覧できます

これは プライバシー設定内にあり インストールしたAppについて 理解するために 役に立ち ユーザーが有効化できます これらの使用履歴は オフにすれば消去されます プライバシーレポートは Safariのプライベート ブラウズなどWebKitの エフェメラルなセッションは 記録しません

iOS 15のApp活動記録は Appの挙動を理解するため エクスポート機能を 追加しました iOS 15ベータで App活動を記録し プライバシーレポートで ユーザーの得る情報を 確認することをお勧めします App活動を保存を選ぶと iOSがJSONファイルを 作成します このJSONファイルを参照して Appが期待通りの挙動かどうか 確認してください

では 見てみましょう JSONには 位置情報やカメラなど ユーザーデータやセンサーに アクセスする毎の ストリームディクショナリー リストがあります 一回のアクセスの例です まずAppのすべての バイナリーの バンドルIDのインスタンスを 検索します そこからタイムスタンプで ソフトウェアの動作に結びつけます

セクションマーカーの下に コンタクトしたドメインが 一覧されます ディクショナリー があります 各Appの実行ファイルに対し １ディクショナリーで バンドルIDを キーとして使います そこからすべての ドメインコンタクトと 時刻及び Appかユーザーのどちらが 発動したかの情報が確認できます

ではAppと Webサイトによる 接続の違いを見てみます SafariViewControllerと ASWebAuthentication Sessionsは Webサイトによる接続として 自動的に記録されます 第三者のコンテンツで Appのコア機能でない場合 Webサイトによる接続だと 手動で記録することもできます

標準レイヤーでの接続を 手動で記録するため 属性の列挙型を 追加してあります .userとして明示する必要があります 明示しなければ 接続はAppトラフィックと 記されます NSMutableURLRequestsに 列挙型があり MainDocumentURLを ネットワークフレームワーク のNWConnectionと ソケットに提供します 他のApple フレームワークでも LinkPresentationや AVFoundationなど コンビニエンスメソッドを 使用できます WKWebViewには NSURLRequestを渡す 新しいメソッドが 追加されました 詳細は ”WKWebViewの 追加機能の詳細”をご覧ください

Appプライバシーレポートは Appの行動に透明性を 提供するためにあります App活動記録は 後のアップデートで どのような プライバシーレポートが 表示されるかの確認に 最適です データアクセスは ユーザーが予期する データとタイミングに限るべきです これはユーザーの 信頼を築くチャンスです あなたのAppを より理解してもらえるからです またApp活動記録は Appに使用している SDKの行動を 理解するのに最適で あなたの方針に沿うか 確認できます App活動記録を QA過程に加え App活動のJSONに 予定通りのデータしか 現れないことを確認します

最後に 透明性と管理に関し よく質問のあるエリアを カバーしたいと思います

2020年後半 プライバシーラベルの使用が 始まりました このラベルは透明性を 一目で確認できるように なっています Appがデータを どう使用するかで ユーザーのAppに対する 信頼度を得られるわけです プライバシーの構築は難しく それが目に 見えないこともあります そのあなたの努力を このラベルで 見せることができます

ラベルはすべての実行･機能 そしてOSバージョンを 含まねばならず AppTrackingTransparency に沿ったものであることが必要です それが次のトピックです AppTrackingTransparency はWWDC 2020で発表され 2021年春のiOS 14.5から 必須になりました AppとWebサイトでの トラッキングの有無を ユーザーが選択できるのです これで既存はもちろん 新しいAppを 信頼しやすくなりました 許可を求めるには トラッキングする理由を 説明せねばなりません プロンプトの前に さらなる説明を 加えることもできます このアプローチの場合 注意すべきことがあります 例えばYes Noといった プリプロンプトは出せません これらの詳細は Human Interface Guidelines を参照ください では 覚えておくことが 少しあります トラッキングは広告及び データ収集目的で AppとWebサイトをまたがって データに紐付けすることです ユーザープライバシー と データの使用 で 詳細をご確認ください AppTrackingTransparencyは 広告識別子 IDFA 以上のものです AppTrackingTransparencyは IDFAを使ったものだけではなく あらゆるトラッキングにおいて 許可が必要です Appの機能上 名前や メールアドレスなど 収集するかもしれません これらにデータによって 紐付けするのも トラッキングとみなされます いくつかの情報を集め デバイスを識別する Fingerprintingも たとえユーザーの 許可が得られても デベロッパー契約上 禁止されています

トラッキングの許可を 得られなくても Appは機能せねばなりません AppTrackingTransparencyの 使用が ラベルに反映されるように してください

再実装を避けたり 便利さから他社のSDKを 組み込む方も 多いことでしょう SDKの行動に 注意してください あなたにはApp全体として 責任があります もしSDKが データを集めれば それをラベルに 記す必要があります もしSDKが トラッキングするなら メソッドをコールする前に 許可を得る必要があります 多くのSDKには プライバシーラベルと 関連する資料があります また 直接尋ねても いいでしょう デベロッパーにとって 広告は重要です ですのでプライバシーを 維持したまま 広告がアトリビューションできる 技術を開発中です Appで広告を流したり 顧客ベース拡大のため 広告を出したり 広告エコシステムに 直接関わっている方の場合 こちらが改善点になります

コンバージョン値と ソースAppを追加 詐欺対策を強化 別の広告フローに クレジットを提供 プライバシー維持のWeb アトリビューションの追加 ロストコンバージョンに アカウンティングを提供 さらに プライバシー保護を強化し iOS 15では pingバックを追加し 広告ネットワークの 助けなしに 広告キャンペーンの状況を 評価することができます これらに関する詳細は “プライバシーを保護した 広告アトリビューションについて”を参照ください

以上が 透明性と管理の柱における Appでの 必要なアクションです

最後はセキュリティーです セキュリティーは このプラットフォームで 最も知られている機能で iMessageした相手しか メッセージを読めないのが その例です セキュリティーでプライバシーを 実現する例として iMessageのプライバシーは エンドツーエンドの暗号化で 守られています CloudKitを使った場合 新しいセキュリティーが ストアに施されています これまでいつでも CKAssetsを 自動的に暗号化できました

iOS 15では 他のデータタイプも 機能を作動させ 同様の強い暗号化で 保護できるようになります つまり これまで 自分で行っていた ユーザーデータの暗号化は iCloudのデータすべてで 我々が暗号化や管理を 提供するということです 文字列･数字･日付 CLLocationや配列を サポートします そして実に簡単です encryptedValues APIで key-valueを設定し CKModifyRecordsOperationで 保存します 暗号化された値を 呼び戻すには 同じencryptedValues プロパティで CKFetchRecordsOperationを 使います

それではエリオットが Private Relayと プライバシーの柱の 関連についてお話しします ありがとう ガレット 我々は生活を通じて 意見を述べたり 仕事や学校へのアクセス また食事を注文したり デベロッパ会議への参加に インターネットを使用します ホテルのWi-Fiや セルラー通信 家庭のインターネットなど どこであれ どのネットワークであれ プライバシーは これまで以上に重要です では クパチーノに最近越してきた 僕の日曜の朝を 見てみましょう コーヒーを飲んだ後 壊れたソファに座り 新しいのを買おうと決めます Apple Parkのソファが 好きなので 僕のMacを開きSafariで 家具屋のサイトに行き 似たものを探します サイトを開けばすぐ 家具屋のサイトは 僕のIPアドレスを得ます そこから 住んでいる町が識別され 僕の活動プロファイルに クパチーノ市が追加されます 見えないところで この家具屋のサイトは 他のサイト同様 情報をデータブローカーと 共有します

家具屋のサイトは ソファ検索のデータを供給し IPアドレスを使って あちこちから収集された 他のデータと 結び付けられます そして僕のWeb活動の 包括的プロファイルが できるのです

これらすべてを合わせると 僕の人間像と 現在の生活の概観が そのプロファイルから わかるのです プロファイルには メールアドレスや 家具の配達のため 提供した住所など プライベートな詳細も 含まれます 意図的に提供したり 共有されたくない情報も 多く含まれています これらの履歴は消去できず 自分のデバイスにも 保存されていません このデータは僕が使う 他のサイトの 広告に使われるだけでなく 僕の行動に影響しかねません

日曜の午後 芝刈り機のサイトで 芝刈り機を調べます IPアドレスと 僕のプロファイルを使い 先程見ていたソファの広告が 掲示されます その二日後 家具屋から ソファのカタログが 郵送されてきました トラッキングは インターネットに留まりません 詳細なプロファイルで トラッキングは物理空間まで 移行するのです トラッキングは信頼を失い Webサイトの利用の 制限につながります ネットワークと機器製造社も 情報を収集可能で WebサイトやAppから 行動パターンを 発見するかもしれません

TLSやencrypted DNS などの技術は ネットワークプロバイダから 行動パターンや ユーザーデータを守ります これらを組み込むべきです インターネット プライバシーを Appに組み込んで 保護することに関する詳細は ＷＷDC 2020の これらのビデオを ご参照ください iOS 15とmacOS Montereyに iCloud Private Relayが 新しく登場します Private Relayは iCloud+に含まれ すべてのインターネット 接続を暗号化し Safari上のWebサイトに IPアドレスによる 認識や位置情報を 提供しません さらにPrivate Relayの ユニークなデザインで Appleを含む誰にも あなたが誰でどのサイトを 利用するかわかりません

Private Relayの機能を 先程の買い物を例に 見てみましょう まず 家具屋のサイトに 接続するとき Private Relayネットワーク のプロキシオペレーターが ２つランダムに選ばれ これにより １つのオペレーターに 全情報は伝わりません インターネットから 接続を受けるプロキシは Ingressプロキシと 呼ばれます Ingressプロキシは 他のサーバーから IPアドレスを隠し 通信を暗号化して プロバイダから 情報を隠します インターネットへの返信は Egressプロキシで行われ 接続しているWebサイトは Ingressプロキシから 見えません

Private RelayはRSA Blinded Signaturesを使い アカウント情報などの 必要なしで ネットワークアクセスを 管理します デバイス上で行われる RSAブラインド署名は アカウント情報や 接続情報を提供せずに ネットワークアクセスを 可能にします

トークンサーバーからの 公開鍵で Private Relayプロキシは パーミッションを 素早く認証します

接続前にPrivate Relayの アクセストークンサーバーが トークンの束を デバイスに手渡します これにより必要であれば プロキシオペレーターを 選ぶことができます

プロキシ間での 情報分離のため 何層にもなる 暗号化を通して 接続されます 接続が通過するとともに プロキシが 一層一層除去されます 家具屋のサイトへの アクセスを知るために 各層を解読できるのは デバイスだけです

接続するとき Egressプロキシがランダムに IPアドレスを選びます これによりソファの検索の 芝刈り機の検索や テーブルの配達への リンキングを防ぎます Private Relayの接続は IPアドレスの トラッキング防止と パフォーマンス向上のため 自動的に作られ 再利用されます Private Relayが IPアドレスを 隠す利点はもう一つあります 自宅のIPアドレスは 荒い位置情報として使えるため Ingressプロキシは その情報を僕と共有します それによりEgressプロキシに どのIPアドレスを使うか 指示できます これは素晴らしい機能と プライバシーの例です 自分の正確な位置を 隠したまま ローカルなコンテンツを 閲覧できます

IPアドレスを見れるのは Ingressプロキシだけです Ingressプロキシは それを同地域内の IPアドレスに転換して 芝刈り機のサイトに伝達し それに応じたものが 閲覧できます この例では Ingressプロキシが カリフォルニア州 ベイエリアを選択し Egressプロキシが その地域の 適切なIPアドレスを 選びます この地域性IPアドレスで サイトは近くの 店を見つけられるのです では絵で見てみましょう 接続すると両サイトとも 地域に振り当てられた IPアドレスを感知します 地図の点は Private Relayによって その地域のみんなで 共有されている IPアドレスを表示しています

iCloudインターネット プライバシー設定で “国と時間帯を使用” オプションを設定すると Egressプロキシに 情報は伝わりません つまり Ingressプロキシが持つ さらに広大な地域の ランダムIPアドレスを 選ぶのです その結果 Webサイトは さらに広範囲からの 接続として見えることになります この範囲の人々全員が IPアドレスを共有します

設定が広範囲のため 芝刈り機のサイトは ランダム化された場所 クパチーノの代わりに ロサンゼルスを 選ぶかもしれません Private Relayと Hide My Emailを 同時に使うとWebサイトが IPとメールアドレスを使い トラッキングするのを 防ぐため さらにプライバシーが 強まります このように iCloud Private Relayは プライバシーの柱の概念を 取り入れています データの極小化は ネットワークアクセスの リンキング不可のトークンで 実現し Private Relay接続で 暗号化層の処理･解読は デバイスでしかできません IPアドレスの保護で トラッキングの管理が高まり 各層の暗号化と保護で インターネットの ブラウジングコンテンツの 管理の強化が可能です iCloud Private Relayの デザインは プライバシーの柱を 基本にしています ローレン どうぞ ありがとう エリオット 素晴らしい機能と プライバシーは 共に取り掛かることで 達成できます iOS 15の新しい機能と Private Relayのような プライバシーを取り入れた プロダクトが Appを開発する上で 革新への機会の 助けとなればと願っています 人々のデータ保護のため CloudKitでアセットを暗号化し シームレスな位置情報機能に 現在地共有ボタンを使用 App活動記録ログで Appプライバシーレポートの 準備をし プライバシーラベルに 反映させましょう Appleは プライバシーを念頭に 素晴らしいAppを 開発できるよう ツールを開発しています データの使用方法を 管理しながら 新しいAppや機能を 楽しめるような エコシステムを作り出すのは 我々の努力次第です iOS 15とmacOS Montereyは これまで以上の管理と識見を 提供します　皆さんが何を 開発されるか楽しみにしています [明るい音楽]