⬡ 開発ツール/2026-06-26上級

Rorkで作ったアプリの審査が、プライバシーマニフェスト不備で止まらないようにする

RorkのExpoアプリでApp Store審査が止まる原因になりがちなPrivacyInfo.xcprivacyとRequired Reason APIへの対応を、app.config.tsの設定とサードパーティSDKの確認手順つきで実務的に整理します。

Rork⁴⁵⁴ Expo¹⁰⁸ プライバシーマニフェスト App Store⁷² Required Reason API⁴

✦ プレミアム記事

アプリを提出して、もう通ったと思った頃に Apple から1通のメールが届く。「あなたのアプリは理由が宣言されていない API を使っています」という、あの ITMS で始まる警告です。私自身、個人開発で複数のアプリを App Store と Google Play に出していますが、この通知を最初に受け取ったときは、何を直せばいいのか見当がつかず手が止まりました。

Rork が出力するのは Expo（React Native）のアプリで、内部では多くのネイティブ API とサードパーティ SDK が動いています。Apple は2024年以降、一部の API について「使う理由」をプライバシーマニフェストで宣言することを必須化しました。宣言が無いと、いまは警告メールですが、いずれリジェクトに格上げされます。Rork のプロジェクトで、この対応を自分のコード側とSDK側の両面から進めていきます。

何が求められているのか

Apple が要求しているのは大きく二つです。

アプリが収集するデータの種類と用途を宣言する「プライバシーマニフェスト」（PrivacyInfo.xcprivacy）の同梱。
「Required Reason API」と呼ばれる特定の API について、なぜ使うのかを所定のコードで宣言すること。

Required Reason API は、ファイルのタイムスタンプ、ディスク空き容量、システム起動時刻、UserDefaults といった、フィンガープリンティングに悪用されうる API 群です。正規の用途で使っているなら、決められた理由コードを宣言するだけで通ります。問題は、これらを「自分では直接呼んでいないのに、依存ライブラリが呼んでいる」ケースが大半だという点です。

まず警告メールの読み方を押さえる

提出後に届くメールには、たとえば「NSPrivacyAccessedAPICategoryUserDefaults の理由が宣言されていません」といった形で、不足している API カテゴリが列挙されます。ここを読み飛ばさないことが対処の出発点です。

私が最初にやったのは、メールに並んだカテゴリ名をそのまま控え、それぞれが「自分のコード由来か、SDK由来か」を切り分ける作業でした。UserDefaults のようにアプリ本体でも使うものは自分側、広告 SDK が内部で触っているものは SDK 側、と仕分けると、直す場所が一気に明確になります。

✦

ここまでお読みいただきありがとうございます。

この記事の続きを読む

この先には、実装コードやベンチマーク結果など、実務でお役に立てる内容をご用意しています。このサイトは広告を掲載しておらず、サーバーや開発にかかる費用はメンバーの皆様のご支援で成り立っています。もしお役に立てていましたら、ご支援いただけますと大変ありがたいです。

この記事で得られること

✦提出後に届く「ITMS-91053」系のメール（理由未宣言API）の意味と、どのファイルを直せば消えるかを具体的に把握できる

✦自分のコードだけでなく、AdMobなどサードパーティSDK側のマニフェストまで確認する手順を手に入れられる

✦app.config.tsにプライバシーマニフェストを記述し、毎回のビルドで自動的に同梱される状態に作り込める

Stripe による安全な決済 · いつでもキャンセル可能

✦

この記事を購入する

この先の内容をすべてお読みいただけます。一度のご購入で、いつでも何度でもアクセスできます。このサイトは広告を掲載しておらず、皆さまのご支援がサーバー費用などの運営を支えています。

または

メンバーシップなら全記事が読み放題 →

app.config.tsにマニフェストを書く

Expo では、ネイティブの PrivacyInfo.xcprivacy を直接編集するのではなく、app.config.ts（または app.json）の iOS 設定に宣言を書くのが本筋です。こうしておくと、Rork のプロジェクトを再ビルドするたびにマニフェストが自動で同梱され、手作業の貼り直しが要りません。

// app.config.ts
export default {
  expo: {
    ios: {
      privacyManifests: {
        NSPrivacyAccessedAPITypes: [
          {
            NSPrivacyAccessedAPIType: "NSPrivacyAccessedAPICategoryUserDefaults",
            // C56D.1 = アプリ自身のための UserDefaults アクセス
            NSPrivacyAccessedAPITypeReasons: ["CA92.1"],
          },
          {
            NSPrivacyAccessedAPIType: "NSPrivacyAccessedAPICategoryFileTimestamp",
            // C617.1 = 自アプリ内ファイルのタイムスタンプ参照
            NSPrivacyAccessedAPITypeReasons: ["C617.1"],
          },
          {
            NSPrivacyAccessedAPIType: "NSPrivacyAccessedAPICategorySystemBootTime",
            NSPrivacyAccessedAPITypeReasons: ["35F9.1"],
          },
        ],
      },
    },
  },
};

理由コードは Apple が定義した一覧から、自分の用途に合うものを選びます。たとえば UserDefaults をアプリ自身の設定保存に使っているなら CA92.1、ファイルのタイムスタンプを自アプリ内のファイルに対して読むだけなら C617.1 です。ここで実態と違うコードを選ぶと、それはそれで虚偽申告になりますので、用途を確認してから選ぶことを強く推奨します。

サードパーティSDK側の確認を省かない

ここがいちばん見落とされる落とし穴です。自分の app.config.ts をいくら整えても、AdMob や解析 SDK が自前のプライバシーマニフェストを持っていなければ、警告は消えません。

対処の手順はこうです。

使っている SDK のバージョンを上げる。多くの主要 SDK は、対応版でマニフェストを同梱済みです。AdMob（Google Mobile Ads SDK）も、ある時期以降のバージョンで対応しています。
SDK の更新で対応しきれない場合は、その SDK が触っている API カテゴリを、自分のマニフェストに追記して理由を宣言します。
ビルド後の .app の中に各 SDK の .xcprivacy が含まれているかを確認します。

私の場合、警告が消えなかった原因は古い解析ライブラリの取り残しでした。SDK を1つ上げただけで2件の警告が同時に消えたので、まず依存の更新から当たるのが効率的だと感じています。

提出前に自分で検証する

提出してから警告を待つのは時間の無駄です。私はアーカイブを書き出したあと、ローカルで同梱状況を確かめてから提出するようにしています。ビルド成果物の中を覗いて、アプリ本体と主要 SDK のそれぞれにプライバシーマニフェストが入っているかを目視します。

# 書き出した .app の中のマニフェストを一覧する
find MyApp.app -name "*.xcprivacy" -print
# 例: MyApp.app/PrivacyInfo.xcprivacy
#     MyApp.app/Frameworks/GoogleMobileAds.framework/PrivacyInfo.xcprivacy

ここで自分のアプリ本体のマニフェストが出てこなければ、app.config.ts の記述がビルドに反映されていません。SDK 側のものが無ければ、その SDK が未対応か、バージョンが古いということです。この一手間を入れてから、私は警告メールをほぼ受け取らなくなりました。