※筆者は法律の専門家でもなんでもないので、本記事は自己責任でご参照ください。
また、各種フォーマットやルールは適宜変更される可能性がありますので、ご注意ください。

App Storeでアプリを審査に提出する時、暗号化云々を聞かれると思います。
ここ、うやむやにしてる人も多いかと思いますが、アプリ内でATSやHTTPSを使用している場合には、暗号化処理を含んでいるものとして扱われるようです。

独自にファイルを暗号化している場合はもちろん、httpsでAPIを叩いていたり、Firebase(アクセス解析等)やAdMob(広告配信)などサードパーティ製のSDKもhttps通信をしているので、こういったSDKを含んだアプリも該当します。

これらのアプリをApp Storeなどで公開する場合、それらは「アメリカ(のサーバー/サービス)から配信されている」=「アメリカから輸出されている」ということになるので、アプリが日本向けオンリーでも、アメリカからの輸出品となるようです。
(同じ理屈でApp Storeに限らずGoogle Playなどで配信するAndroidアプリも同様です)

そのため、暗号化を含んだ商品を輸出するのであれば、輸出した年度内に自己番号分類報告を提出してくださいね、というのが促されているわけです。
(ちなみにApp Storeでの暗号化の有無についての回答は、特にアメリカ当局に提出されているとかではないようです)

以下、アプリを自分自身が日本で作成し、アプリ内で単純なhttps通信をしている場合を想定したレポート提出の例です。

具体的に何をすべきかと言うと、
・決められたフォーマットのCSVファイルを作成して
・公開した年の次の年の2月1日までに
・ crypt-supp8@bis.doc.gov と enc@nsa.gov 宛てのメールに添付して提出する
だけです。
変更が無くても毎年行うようです。

この辺は、
年次自己番号分類報告の提出方法
が参考になります。

CSVの中身は、

PRODUCT NAME,
MODEL NUMBER,
MANUFACTURER,
ECCN,
AUTHORIZATION TYPE,
ITEM TYPE,
SUBMITTER NAME,
TELEPHONE NUMBER,
E-MAIL ADDRESS,
MAILING ADDRESS,
NON-U.S. COMPONENTS,
NON-U.S. MANUFACTURING LOCATIONS

(便宜上カンマの後を改行してます)
となっていて、

(アプリ名),
(App StoreのSKU),
SELF,
5D992,
MMKT,
Mobility and mobile applications n.e.s.,
(あなたの名前),
(あなたの電話番号),
(あなたのメールアドレス),
(あなたの郵便番号・住所),
NO,
(制作場所 例:Tokyo Japan)

を、アプリの数だけ入力すれば良いようです。カッコ部分を自分用に書き換えます。

回答例は
BIS Year-End Self Classification Report
を参考にしました。

記事ではECCNを 5D992.c としていますが、

Part742 付則8

の(a)(4)によると 5A002, 5B002, 5D002, 5A992, 5D992 から一つ選べ、となっているので、 .c は取ってみました。

ちなみにこの英数字の一つ一つに意味があるので、気になったら調べてみましょう。
5D002ではなく5D992なのは配布方法によるものとかなんとか・・

まあ、このレポートも今の所は提出しなくても罰則とか無いようですが、なんとなくきっちりしたい、という場合には出しておきましょう。
(いや本来出さないといけないんですが)

※とんでもない間違いをしてるというのがあったら info@hakoniwa.net までご一報いただければ幸いです。

■参考
How to file an Annual Self Classification Report (英語)
BIS本家。ここのページでレポートのサンプルをDLできます。

米国の輸出規制
米国の輸出規制の和訳。とても役に立つ。

スマホアプリと米国輸出規制に関するメモ
2014年の記事なのでちょっと古いけど、細かく書いてある。