GDPR、CCPA、およびクッキー法：あなたとあなたのモバイルアプリにとって何を意味するのか

データベース駆動型ウェブアプリとネイティブiOSおよびAndroidアプリ用のノーコードアプリビルダーであるAdaloを使用するアプリ開発者にとって、3つのプラットフォーム全体で1つのバージョンがApple App StoreおよびGoogle Playに公開されている場合、ユーザーデータを収集するアプリケーションを起動する前に、これらの法的要件を理解することは不可欠です。

このガイドでは、米国およびEUの規制から実装の実践的なステップまで、モバイルアプリのプライバシーコンプライアンスについて知っておく必要があるすべてをカバーしています。

モバイルアプリの一般的な法的要件

世界中のプライバシー法は、個人データを処理するアプリの共通要件を共有しています。以下を実行する必要があります：

• 包括的なプライバシーポリシーを通じて、データ処理活動に関する開示を行う
• 個人データを保護する効果的なセキュリティ対策を確保する
• ユーザーの同意を取得するか、その撤回を容易にする方法を実装する

同意とは、特定のイベントまたはプロセスに関与することについて、個人が知らされた上での自発的な合意を指します。 チェックボックス、テキストフィールド、トグルボタン、または確認メールの送信など、ユーザーが肯定的で検証可能なアクションを実行する必要がある任意の方法を使用して取得できます。

一般に、ユーザーは以下について通知を受ける必要があります：

• アプリ所有者の詳細と連絡先情報
• あなたのプライバシーポリシーの有効日
• ポリシー変更に対するあなたの通知プロセス
• どのデータが収集されているのか、そしてなぜか
• 第三者によるデータへのアクセス（第三者が誰であるか、および彼らが収集しているデータ）
• アクセス、修正、削除を含む、データに関する彼らの権利

これらの要件は、アプリの構築方法に関係なく適用されます。AdaloのAI支援構築ツールを使用している場合でも、従来の開発方法を使用している場合でも、法的義務は同じです。

米国、EU、国際：参照法の決定方法

一般に、特定の地域の法律が適用されるのは、以下の場合です：

• その地域に事業を置いている場合
• その地域に拠点を置く処理サービスまたはサーバーを使用している場合
• あなたのサービスがその地域のユーザーをターゲットにしている場合

これは事実上、その地域に位置しているかどうかに関わらず、地域の規制があなたおよび/またはあなたのビジネスに適用される可能性があることを意味します。 そのため、常に最も厳しい適用可能な規制を念頭に置いて、データ処理活動を処理することをお勧めします。

ここに簡単な経験則があります：

• 参照法： あなたが事業を置いている国の法律、および あなたのアプリがターゲットにしている国の法律に従う
• ドキュメントの言語： 法的ドキュメントは、ユーザーがそれらを理解できるように、アプリと同じ言語で記述する必要があります

Adaloで作成された300万以上のアプリと、グローバル市場にまたがるユーザーがいるため、ほとんどのアプリビルダーはUS規制とEU規制の両方を考慮する必要があります。それぞれの主な要件を見てみましょう。

米国法：CalOPPAおよびCCPA

米国では、現在、単一の包括的な全国的なデータ規制がありません。様々な州レベルの法律、業界ガイドライン、および特定の連邦法は、一連の要件を作成します。オンラインアプリアクティビティは1つの州に限定されることはめったにないため、カリフォルニアで実装されているもののような、最も厳しい適用可能な規制に従うことが常に最良です。

カリフォルニアオンラインプライバシー保護法（CalOPPA）

CalOPPAは、プライバシーポリシーを必須にした最初の州法でした。任意の人物または企業に適用されます ウェブサイトまたはアプリ カリフォルニア州の住民の個人データを処理します。上記の一般的に必要な開示に加えて、CalOPPAは以下を要求します：

• ウェブサイト/アプリのホームページにプライバシーポリシーを掲載する
• ユーザーが個人データへの変更をリクエストできるプロセスの説明を含める（そのようなプロセスが存在する場合）
• 「トラッキング拒否」リクエストがどのように処理されるかについての声明を含める
• 彼らのデータに影響を与えるセキュリティ侵害が発生した場合、影響を受けるユーザーに通知する

同意に関して、米国法は一般に、ユーザーに同意を撤回するための明確なオプション（オプトアウト）を提供することを要求しています。ただし、「機密データ」（健康情報、信用報告書、学生データ、または13歳未満の子どもの個人情報）を含む場合には異なるルールが適用されます。 そのような場合、ボックスをチェックするなどの検証可能なオプトインアクションまたは他の肯定的なアクションが必要です。

カリフォルニア州消費者プライバシー法（CCPA）

CCPAはCalOPPAを補完しますが、置き換えるものではありません。両方がまだ適用されます。2020年7月1日以来、完全に施行されているCCPAは、カリフォルニア州住民の消費者プライバシー権を強化します。

CCPAの下では、カリフォルニアの消費者をターゲットにするビジネスは、プライバシーポリシーに特定の開示を含める必要があります：

• 消費者権の説明
• 処理パートナーおよびその目的
• 収集されたデータソースおよびカテゴリ
• データの販売または共有に関する情報

カリフォルニア州のユーザーは、彼らのデータが売却される可能性について知らされる必要があります。ここで「売却」は「金銭的またはその他の利益のために第三者と共有される」と考えることができます。 この開示はホームページから見える必要があり、オプトアウト(DNSMPI)リンクを含める必要があります。

の詳細については、こちらをご覧ください CCPA.

EU法:GDPRおよび電子プライバシー指令(Cookie法)

GDPRは、個人データがどのように合法的に処理されるべきかを規定しており、あなたの会社がEUに拠点を置いているかどうかに関係なく、あなたに適用される可能性があります。あなたのアプリがEUユーザーによって使用される可能性がある場合(またはあなたがEUに拠点を置いている場合)、GDPRはあなたに適用されます。

GDPR同意要件

米国の規制と比較して、GDPRは同意に関してより厳格です。 GDPRに基づく同意は「明示的かつ自由に与えられた」ものである必要があります。 これは、同意を取得するためのメカニズムが明確である必要があり、明確な「オプトイン」アクションを含む必要があることを意味します。規制は特に、事前にチェックされたボックスと同様の「オプトアウト」メカニズムを禁止しています。

の詳細については、こちらをご覧ください GDPRの詳細.

電子プライバシー指令(Cookie法)

EUユーザーはCookieの使用について知らされ、同意または拒否する選択肢を与えられる必要があります。電子プライバシー指令では、ユーザーのデバイスにCookieを保存して追跡する前に、ユーザーの情報に基づいた同意が必要です。あなたのアプリ(またはあなたのアプリで使用される任意のサードパーティサービス)がCookieを使用する場合、インストール前に有効な同意を取得する必要があります。

これはあらゆるプラットフォーム上で構築されたアプリに適用されます。あなたのAdaloアプリをApp StoreおよびGoogle Playに公開するとき、これらのCookie同意要件はあなたのアプリと共に両方のストアに適用されます。

プライバシーポリシー要件

ほとんどの国の法律では、プライバシーおよびデータ処理活動に関連する詳細を開示することが必須です。モバイルアプリも例外ではなく、プライバシーポリシーを提供し、Cookieおよび同様の追跡技術を使用する場合はCookieポリシーも提供する必要があります。

コンプライアンスを達成するには、あなたのポリシーは以下である必要があります:

• 最新の 現在のデータプラクティスに関する
• わかりやすい 平易な言語で
• 明確な あなたが収集するデータとその理由についての
• 簡単にアクセス可能 アプリ全体で

あなたの参照法に応じて、ユーザー、第三者、および監督当局への追加の開示を行う責任がさらにある場合があります。

プライバシーポリシーがない場合、アプリストアでの却下のリスクがあります

両方の Apple App StoreおよびGoogle Play には、アプリが有効なプライバシーポリシーを持ち、適用法に従う必要があります。 これに違反すると、多額の罰金、アプリストアでの却下、訴訟の対象となる可能性があり、あなたのアプリの信頼性に悪影響を与える可能性があります。

これはAdaloのようなプラットフォームを使用して単一のコードベースから両方のアプリストアに直接公開するビルダーにとって特に重要です。あなたのプライバシーポリシーは、AppleとGoogleの要件を同時に満たす必要があります。

iOSアプリプライバシー要件

App Store Connectは、すべての新しいアプリとアプリアップデートのプライバシーポリシーを必須とします。 AppleのApp Store Review Guidelinesの第5.1条 Appleのプライバシーガイドラインおよびこれらの条件が満たされない場合の却下の根拠について概説しています。

データ収集とストレージに関する第5.1.1条 規定しています:

(i)プライバシーポリシー: すべてのアプリには、App Store Connectメタデータフィールド内およびアプリ内の簡単にアクセス可能な方法で、プライバシーポリシーへのリンクを含める必要があります。プライバシーポリシーは、明確かつ明示的に以下を行う必要があります:

• アプリ/サービスが収集するデータ(ある場合)、そのデータの収集方法、およびそのデータのすべての使用方法を特定する
• アプリがユーザーデータを共有する第三者(分析ツール、広告ネットワーク、サードパーティSDK、ならびに親会社、子会社、またはその他の関連エンティティを含む)が、アプリのプライバシーポリシーに記載されているのと同じまたはそれと同等のユーザーデータ保護を提供することを確認する
• データ保持/削除ポリシーを説明し、ユーザーが同意を取り消し、および/またはデータの削除をリクエストする方法を説明する

あなたのアプリのプライバシーポリシーリンクまたはテキストは、新しいバージョンのアプリを送信するときにのみ編集可能です。有料プランのAdaloの無制限のアプリアップデートにより、プライバシープラクティスが変わるたびに修正と再公開ができます。

について詳しく読む iOSアプリのプライバシーポリシー.

AndroidアプリプライバシーRequirements

Google Playは、アプリのストアリスティングページとアプリ内で以下の場合にプライバシーポリシーへのリンクが表示されることを明示的に必須とします:

• あなたのアプリは、個人またはセンシティブユーザーデータを処理します ユーザーデータポリシー (個人識別情報、財務および支払い情報、認証情報、電話帳または連絡先データ、マイクおよびカメラセンサーデータ、およびセンシティブデバイスデータを含む)
• ご使用のアプリは「ファミリー向けに設計」プログラムに登録されています（機密情報や データへのアクセスの有無を問わず）

ただし、プラットフォームの要件とは別に、カリフォルニア州の CalOPPA、CCPA、および GDPR を含む、ほぼすべての法域では、Google の特定の要件の有無にかかわらず、プライバシー通知が法的に必須であることに注意する必要があります。

Android アプリがアプリの機能と無関係な理由で個人データを処理する場合、この使用についての追加の目立つ開示を行い、必要に応じてユーザーの同意を取得する必要があります。

について詳しく読む Android アプリのプライバシー ポリシー.

Cookie、トラッカー、および類似のテクノロジー

多くのアプリ開発者は、使用統計情報からリマーケティング広告まで、あらゆることのためにアプリ内またはアプリのウェブサイト経由で Cookie を使用しています。非除外 Cookie（統計、広告、またはプロファイリング Cookie）を使用しており、EU ベースのユーザーがいる場合、Google や Apple などの法令遵守する第三者と同様に、ePrivacy 指令と GDPR に基づく法的要件に準拠する必要があります。

Cookie 法では、ユーザーのデバイスに Cookie を保存する前に、またはユーザーをトラッキングする前に、ユーザーの情報に基づいた同意が必要です。 EU ベースのユーザーがいる場合、またはご使用のアプリ（もしくはアプリが使用する第三者サービス）が Cookie、トラッカー、および類似のトラッキング テクノロジーを使用している場合：

• ユーザーに対してデータ収集活動について知らせ、それを許可するかどうかを選択するオプションを付与する必要があります
• これらの Cookie の設置前に情報に基づいた同意を取得する必要があります

Cookie に関する実務的要件

以下を行う必要があります：

• Cookie ポリシーを提供する
• ユーザーの最初のアクセス時に Cookie バナーを表示する
• ユーザーの同意を得る前に非除外 Cookie をブロックします（情報に基づいた同意が提供された後にのみ、それらをリリースします）

これは一般的に、有効な Cookie ポリシーと Cookie 同意管理ソリューションが導入されていることを意味します。

Cookie ポリシー要件

Cookie ポリシーは以下を含む必要があります：

• インストールされた Cookie の種類を示す（統計、広告など）
• Cookie をインストールする目的を詳細に説明する
• Cookie をインストールする、またはインストールする可能性のあるすべての第三者を、それぞれのポリシーと任意の オプトアウト フォームへのリンク付きで示す
• サービスが提供されているすべての言語で利用可能である

Cookie バナー要件

Cookie バナーは以下を行う必要があります：

• ご使用のアプリが使用する Cookie についてユーザーに知らせる
• これらの Cookie を実行する前にユーザーの同意を求める（どのアクションが同意を示すかを明確に述べます）
• 気づくのに十分に目立つものである
• さまざまな Cookie カテゴリと関連する第三者の目的を説明する Cookie ポリシーにリンクする

同意前の非除外 Cookie のブロック

GDPR および ePrivacy では事前の同意または情報に基づいたオプトインが必須のため、ユーザーが「同意する」ボタンをクリックなどの肯定的なアクションを通じて同意を与えるまで、非除外 Cookie をブロックするメカニズムが必要です。同意前は、除外 Cookie を除く Cookie をインストールすることはできません。

さらに、ご使用のアプリ アプリから収益化することもできます。 またはそのコンテンツがサードパーティ広告を実行することで収益化される場合、業界標準を満たすことを検討してください。 IAB の透明性と同意フレームワークを利用します。これにより、ユーザーは広告設定を設定でき、消費者の同意が参加している広告ネットワーク全体に伝わります。 そうしないと、広告ネットワークへのアクセスが制限され、最終的には広告収益が減少する可能性があります。

児童が使用するアプリの特別要件

ご使用のアプリが 13 歳未満の児童から個人情報を意図的に収集、使用、または開示している場合、米国法および EU 法を含む、ほぼすべての法域に基づいて、従う必要がある特別なガイドラインがあります。

米国：COPPA 要件

児童オンラインプライバシー保護法（COPPA）は、13 歳未満の児童の個人データと権利を保護する米国連邦法です。COPPA に基づいて、13 歳未満の児童を対象とした、または 13 歳未満の児童から個人情報を収集していることを実際に知っているウェブサイトまたはオンラインサービスの運営者は、以下を行う必要があります：

• 保護者に通知する
• 個人情報を収集、使用、または開示する前に検証可能な同意を得る
• 児童から収集した情報を安全に保つ

「検証可能」とは、児童が簡単に偽造することができず、成人が与える可能性が実証される同意の方法を使用することを意味します—たとえば、制御質問またはクレジットカード認証です。

この法律の中心的な要件は、 COPPA に準拠したプライバシー ポリシー が導入されていることです。

EU：児童向け GDPR 要件

EU GDPRの下では、同意は児童データを処理するための合法的な根拠の1つです。13歳未満の児童のデータ処理にこの根拠を使用する場合、提供するサービスが予防的またはカウンセリング サービスである場合を除き、親または保護者から検証可能な同意を得る必要があります。

同意を与えている人が実際にその児童に対する親権を有していることを検証するために、合理的な努力（利用可能な技術を使用して）を行う必要があります。さらに、13歳以上の児童をターゲットにしている場合は、彼らが何に同意しているかを理解できるように、明確で年齢に適切なプライバシー通知を作成する必要があります。

詳細について学習 児童が使用するアプリの法的要件.

数分であなたのアプリを準拠させる方法

アプリのプライバシー ポリシーの作成とクッキー同意の処理は、深刻な頭痛の種になる可能性があります。 iubendaの ソリューションが役立つ可能性があります。彼らのプライバシー ポリシー ジェネレーターとクッキー管理ソリューションにより、複数の法律とアプリ プラットフォーム要件への準拠が簡単になります。

彼らのソリューションは：

• 独立した開発者と小規模チーム向けの手頃な価格
• 国際的な法務チームによって作成されました
• あなたの特定のデータ慣行に完全にカスタマイズ可能
• 8言語で利用可能
• COPPA、CCPA、GDPRなどの主要な世界的規制に常に最新

訪問 iubenda.com/en/mobile プライバシー ポリシーを生成し、GDPR、CCPA、ePrivacy、および主要なアプリ ストア要件を満たすためにクッキー同意を管理します。

Adaloを使用したプライバシー準拠アプリの構築

AdaloのビルダーであるAdaは、あなたが何を望んでいるかを説明してアプリを生成することができます。Magic Startは説明からアプリの基盤全体を作成し、Magic Addは自然言語を通じて機能を追加します。

AdaloのAI搭載アプリビルダーにより、最初からプライバシー準拠をアプリに統合することが簡単になります。Magic Startを使用すると、説明から完全なアプリ基盤（同意管理をサポートするユーザー認証フロー）を生成できます。Magic Addを使用すると、「プライバシー ポリシー承認画面を追加」などの必要な機能を説明でき、プラットフォームが必要なコンポーネントを生成します。

プラットフォームのモジュラー インフラストラクチャは、数百万の月間アクティブユーザーを持つアプリにスケーリングでき、有料プランのデータベース レコードに上限はありません。つまり、プライバシー同意レコード、ユーザー設定、コンプライアンス ログは、ストレージ制限に達することなく増加する可能性があります。これは、他のプラットフォームでよくある制約です。

使用状況またはデータベース レコードに基づいて料金を請求するプラットフォームとは異なり、Adaloの有料プランには無制限の使用が含まれており、請求ショックはありません。ユーザー ベースが増加し、より多くの同意レコードが生成されても、予期しない料金に直面することはありません。

アプリを新たな高さに引き上げたいが、どこから始めればよいかわかりませんか？以下の世界クラスのチームから支援を受けてください。 Adaloエキスパート アプリの構築、デバッグ、コンプライアンス要件への適合を支援できます。専門家から1対1のコーチングを受けて、問題の解決を支援することもできます。詳細をご覧ください.

主な要点

• プライバシー ポリシーは必須です ほとんどの管轄区域でアプリ ストア承認と法的準拠のため
• 最も厳しい適用法に従ってくださいUS と EU の両方のユーザーをターゲットにしている場合、GDPRのオプトイン要件があなたのベースラインである必要があります
• クッキー同意は事前ブロッキングが必要です免除されないクッキーは、ユーザーが積極的に同意するまで実行できません

Adaloを他のアプリ構築ソリューションより選ぶ理由は何ですか？

Adaloは、単一のコードベースから真のネイティブiOSおよびAndroidアプリを作成するAI搭載アプリビルダーです。Webラッパーと異なり、ネイティブコードにコンパイルされ、Apple App StoreおよびGoogle Play Storeに直接公開されます。有料プランで無制限のデータベースレコードがあり、使用量ベースの料金がないため、予測可能な価格設定で請求ショックを回避できます——アプリの起動で最も難しい部分が自動的に処理されます。

Adaloに無料で登録してください。

AdaloのドラッグアンドドロップインターフェイスとAIアシスト構築により、数ヶ月ではなく数日でアイデアから公開アプリまでたどり着くことができます。Magic Startはシンプルな説明から完全なアプリ基盤を生成し、プラットフォームは複雑なApp Store送信プロセスを処理するため、証明書とプロビジョニングプロファイルではなく、機能とユーザーエクスペリエンスに集中できます。

Adaloのドラッグアンドドロップ インターフェースとAIアシスト ビルディングツールにより、数ヶ月ではなく数日でアイデアから公開アプリに進むことができます。Magic Startは説明から完全なアプリ基盤を生成し、プラットフォームは複雑なApp Store申請プロセスを処理するため、証明書とプロビジョニングプロファイルの代わりに機能に集中できます。

アプリをプライバシー法に簡単に法的準拠させることはできますか？

はい。Adaloはiubendaなどのソリューションと統合され、プライバシーポリシーを生成し、クッキー同意を管理できるため、法的専門知識を必要とせずにGDPR、CCPA、CalOPPA、およびアプリストアガイドラインの要件をアプリが満たすことが確保されます。

モバイルアプリのプライバシー ポリシーは必要ですか？

はい。Apple App StoreとGoogle Playの両方では、アプリに有効なプライバシー ポリシーが必要です。プラットフォーム要件を超えて、CalOPPA、CCPA、GDPRなどの法律は、個人データを収集するアプリのプライバシー ポリシーを法的に義務付けています。準拠したプライバシー ポリシーがなければ、アプリ ストアの却下、法的罰金、およびアプリの信頼性への損害のリスクがあります。

US と EU のプライバシー法要件の違いは何ですか？

CalOPPAとCCPAのようなUS法は、一般的にオプトアウト同意メカニズムとデータ慣行に関する特定の開示を要求しています。EUのGDPRはより厳格で、チェックボックスなどの明確な肯定的措置を通じた明示的なオプトイン同意を必要としています。アプリが両地域のユーザーをターゲットにしている場合は、より厳しいGDPR要件に従って、どこでも準拠を確保してください。

アプリのクッキー同意管理は必要ですか？

アプリがクッキー、トラッカー、または同様のテクノロジーを使用し、EUベースのユーザーがいる場合、eプライバシー指令（クッキー法）とGDPRに準拠する必要があります。これは、クッキーバナーを表示し、免除されないクッキーをインストールする前に情報に基づいた同意を取得し、収集するデータとその理由を説明する詳細なクッキーポリシーを提供することを意味しています。

アプリが児童によって使用される場合、どのような特別な要件が適用されますか？

アプリが13歳未満の児童からデータを収集する場合、US ではCOPPA に、EU ではGDPR規定に準拠する必要があります。どちらも、児童が簡単に偽造できない方法を使用して、児童のデータを収集する前に検証可能な親権者の同意を取得する必要があります。COPPA準拠のプライバシー ポリシーと年齢に適切なプライバシー通知も必要になります。

アプリをプライバシー準拠にするのに時間がかかりますか？

iubendaのプライバシー ポリシー ジェネレーターなどのツールを使用すると、数分で準拠したプライバシー ポリシーを作成できます。クッキー同意管理の実装には少し時間がかかりますが、通常は午後で完了できます。重要なのは早期に開始することです。最初からコンプライアンスをアプリに組み込むことは、後から改造するよりも簡単です。

アプリがプライバシー準拠していない場合はどうなりますか？

準拠しないと、アプリ ストアの却下につながる可能性があり、アプリがユーザーに到達するのを防ぎます。それを超えて、GDPR違反は€2000万または年間グローバル売上高の4%の罰金につながる可能性があります。CCPA違反は、意図しない違反ごとに$2,500、意図的な違反ごとに$7,500の罰金を伴います。プライバシー侵害による評判の損害も同様に費用がかかる可能性があります。

プライバシー要件はウェブアプリとネイティブモバイルアプリの間で異なりますか？

法的要件は本質的に同じです。GDPR、CCPA、その他のプライバシー法はプラットフォームに関係なく適用されます。ただし、App Store と Google Play に発行されるネイティブモバイルアプリは、追加のプラットフォーム固有の要件に直面します。Apple と Google は両方ともプライバシー ポリシーを義務付けており、承認のために満たす必要があるデータ収集開示に関する独自のガイドラインを持っています。