🍎HIGざっくりまとめ Patterns編 vol. 1 Accessing private data（個人情報へのアクセス）

2023年1月4日 17:23

アプリやゲームを信頼してもらうためには、プライバシーに関連するデータやリソースが必要で、それらをどのように使っているのかを透明にしておく必要があります。
人々は非常に個人的な方法でデバイスを使用しており、アプリが自分のプライバシーを保護するのに役立つことを期待しています。人々を追跡したり、データやデバイスリソース（広告識別子を含む）にアクセスする許可を要求することに加え、アクセスを許可されたデータを保護することが不可欠です。

許可申請

アクセスするために許可を求めなければならないものの例

位置情報、健康情報、財務情報、連絡先、その他個人を特定できる情報を含む個人情報
電子メール、メッセージ、カレンダーデータ、連絡先、ゲームプレイ情報、Apple Musicアクティビティ、HomeKitデータ、オーディオ、ビデオ、写真コンテンツなどのユーザーが作成したコンテンツ。
Bluetooth周辺機器、ホームオートメーション機能、Wi-Fi接続、ローカルネットワークなどのリソースを保護します。
カメラやマイクなどのデバイス機能
アプリのトラッキングを可能にする端末の広告識別子

アプリがデータやリソースへのアクセスを明らかに必要とする場合にのみ、許可を求めます。
個人情報やデバイスの機能へのアクセスを要求されると、特にその必要性が明らかでない場合は、不審に思うのは当然です。理想的には、アクセスを必要とするアプリの機能を実際に使用するまで、許可を求めるのを待つことです。たとえば、位置情報ボタンを使って、位置情報を必要とする機能にユーザーが興味を示した後に、位置情報を共有する方法を提供することができます。
アプリが機能するために必要なデータやリソースでない限り、起動時に許可を要求することは避けましょう。
起動時のリクエストは、その理由が明らかであれば、人々はあまり気にしないものです。例えば、ナビゲーションアプリが位置情報へアクセスするなど。
要求している能力、データ、またはリソースをアプリがどのように使用するかを明確に説明するコピーを書いてください。
簡潔かつ完全な文章で、わかりやすく、具体的で、理解しやすいものを目指します。能動的な文章で書く。

🙆‍♀️ 「夜間にアプリで録音し、いびき音を検出します。」
　　→ データを収集する方法と理由を明確に記述した能動的な文章

🙅‍♀️「より快適にご利用いただくために、マイクの使用が必要です。」
　　→ 曖昧で定かでない正当な理由を述べる受動的な文章

🙅‍♀️「マイクアクセスをオンにする。」
　　→正当な理由を示さない命令文

ロケーションボタン

iOS 15、iPadOS 15、およびwatchOS 8から、Core Locationはボタンを提供し、タスクが必要とする瞬間に、位置情報にアクセスする一時的な権限をアプリに付与できるようになりました。

アプリを開いて位置情報ボタンを初めてタップすると、システムは標準的なアラートを表示します。このアラートは、ボタンを使用することでアプリによる位置情報へのアクセスが制限されることを理解させ、共有開始時に表示される位置情報インジケータを思い出させるものです。

（初期アラート出現以降）位置情報ボタンをタップすることで、位置情報へのアクセス許可をアプリに一度だけ与えることができます。この1回限りの許可は、アプリの利用を停止すると失効しますが、ボタンの動作に対する理解を再確認する必要はありません。

注：アプリに認証ステータスがない場合、位置情報ボタンをタップすると、標準のアラートで［一度だけ許可］を選択したときと同じ効果があります。[アプリを使用している間]を選択した場合、位置情報ボタンをタップしても、アプリのステータスは変更されません。

位置情報ボタンはカスタマイズ可能。UIと調和させることができます。
位置情報ボタンを認識し、信頼してもらうために、ボタンの色など特定の部分以外の視覚的属性はカスタマイズできないようになっています。

プレアラート画面

追加の詳細を提供することが不可欠な場合、システムアラートが表示される前にカスタム画面を表示することができます。

ボタンは1つだけにして、それがシステムアラートを開くものであることを明確にします。
カスタム画面の単一ボタンのタイトルには、「次へ」などの用語を使用し、そのアクションがこれからシステム・アラートを開くことであることを明確にする。（「許可」などの用語だとアラートの許可ボタンと似てしまい、紛らわしくなる）
カスタム画面には、追加のアクションを含めないでください。
例えば、システムアラートを表示せずに画面を閉じる、またはキャンセルするオプションを提供するなどはしないでください。

トラッキングのリクエスト

アプリのトラッキングはデリケートな問題です。場合によっては、トラッキングの利点を説明するカスタム画面を表示することが理にかなっているかもしれません。
アプリを起動すると同時にアプリのトラッキングを実行したい場合、トラッキングデータを収集する前に、システムが提供するアラートを表示する必要があります。

🙅‍♀️拒否の原因となる、カスタム画面の禁止デザイン

要求を許可するためのインセンティブを提供しない
システムアラートの機能を真似したようなカスタム画面を表示しないようにしましょう。
標準的なアラートの画像を表示し、それを何らかの形で変更しない（アラートのスクショ画像に丸印を付けた表現など）
システムのアラートの［許可］ボタンに人々の注意を引くような視覚的な合図（矢印など）を描かないでください。

データの保護

人々の情報を保護することは、最も重要なことです。ローカルでの情報の保存、特定の操作に対するユーザーの承認、ネットワーク上での情報の転送など、システムが提供するセキュリティ技術を活用することで、アプリケーションのセキュリティに信頼を与え、ユーザーのプライバシーを保護することができます。

🧞‍♂️ここでは、ハイレベルなガイドラインを紹介します

認証にパスワードのみを使用することは避けてください
指紋で認証できるTouch IDのような他のテクノロジーを活用しましょう。
機密情報をキーチェーンに保存
パスワードやその他の安全なコンテンツをプレーンテキストのファイルに保存しないでください
ファイルのアクセス権を使用してアクセスを制限している場合でも、機密情報は暗号化されたキーチェーンに保管する方がはるかに安全です。
独自の認証方式を作らないようにする
アプリで認証が必要な場合は、「Sign in with Apple」や「Password AutoFill」など、システムが提供する機能を使用することをお勧めします。

プラットフォームへの配慮

macOS

有効なDeveloper IDでアプリに署名してください。ストア外でアプリを配布する場合、Developer ID でアプリに署名すると、Apple の開発者であることがわかり、アプリが安全に使用できることが確認されます。デベロッパーのガイダンスについては、Xcode のヘルプを参照してください。

アプリのサンドボックス化で人々のデータを保護します。サンドボックス化により、アプリケーションはマルウェアから保護されながら、システムリソースやユーザデータにアクセスできるようになります。Mac App Storeに提出されるすべてのアプリケーションには、サンドボックス化が必要です。デベロッパーのためのガイダンスについては、macOS App Sandboxの設定を参照してください。

誰がサインインしているかを推測することは避けてください。ユーザー切り替えが速いため、同じシステムで複数の人がアクティブになっている可能性があります。

感想

個人情報の取り扱いやアクセスのリクエストはデリケートですね。
実害だけでなく、不信感などアプリやサービスへの好感にも大きく影響しそうです。許可のリクエストの表現についてはいわゆるダークパターン的な事をしないように厳しく審査されるようですね。
故意じゃなくとも、許可してほしいし「わかりやすいように」と思ってやってしまわぬよう気をつけねば。

許可を求めるための文章の例もすごくわかりやすかったです。
データを収集する方法と理由を明確に記述した能動的な文章を意識しよう🖋

この記事が気に入ったらサポートをしてみませんか？