GoalHack プライバシーポリシー

最終更新日: 2026年5月26日

第1条（基本方針）

1. けんとLib（以下「当方」といいます）は、スマートフォンアプリケーション「GoalHack」（以下「本アプリ」といいます）を提供するにあたり、利用者のプライバシーを尊重し、個人情報の保護に最大限の注意を払います。

2. 本プライバシーポリシー（以下「本ポリシー」といいます）は、本アプリにおいて、当方がどのような情報を収集し、どのように利用・管理するかについて定めるものです。

3. 本アプリを利用することにより、利用者は本ポリシーに同意したものとみなされます。本ポリシーに同意いただけない場合は、本アプリを利用することはできません。

4. 本ポリシーは、「個人情報の保護に関する法律」（以下「個人情報保護法」といいます）、米国の「児童オンラインプライバシー保護法」(COPPA)、その他の関連法令を遵守します。

5. 本アプリは、目標達成を支援するためのゲーミフィケーションアプリです。利用者が作成・入力するデータ（クエストや進捗記録等）は、Supabase（BaaS: Backend as a Service）を通じて外部サーバーに保存され、複数デバイス間で同期されます。また、AI機能を利用する場合、目標の内容がAnthropic社のClaude APIに送信されます。

6. 本アプリの利用には、メールアドレス・パスワード、Appleアカウント、Googleアカウント、またはゲストとしてのアカウント登録が必要です。

---

第2条（収集する情報）

本アプリが収集する情報は、以下のとおりです。

2-1. アカウント情報

本アプリの利用には、以下のいずれかの方法でアカウントを登録する必要があります。ログイン方法によって収集する情報が異なります。

(1) メールアドレス・パスワード登録

• メールアドレス
• パスワード（bcrypt等で暗号化して保存。当方を含む第三者が平文で閲覧することはできません）
• 表示名（ユーザー名）

(2) Appleでサインイン

• Appleリレーメールアドレス（Appleが発行する匿名メールアドレス。実際のApple IDメールアドレスは当方に送信されません）
• 表示名（ユーザーがアプリ内で設定）

(3) Googleでサインイン

• Googleアカウントのメールアドレス
• Googleアカウントの名前
• 表示名（Googleアカウントの名前が初期値として設定され、アプリ内で変更可能）

(4) ゲストログイン

• Supabase匿名ユーザーID（ランダムに生成された識別子。個人を特定する情報は含まれません）
• 表示名（任意。ユーザーがアプリ内で設定）

保存場所: Supabase（米国Supabase, Inc.のサーバー）

利用目的:

• アカウント認証・ログイン
• パスワードリセット（メールアドレス・パスワード登録ユーザーのみ）
• 本人確認
• ユーザーサポート

2-2. サーバーに保存されるユーザーデータ

以下の情報は、Supabaseのデータベースに保存され、複数デバイス間で同期されます。

(1) クエスト（目標）情報

• クエストタイトル・説明
• 難易度（Easy/Medium/Hard/Epic）
• 進捗状況（0-100%）
• 期限日
• 通知日時
• 作成日時・更新日時・完了日時
• フェーズ情報
• ミッション情報
• メニュー情報

(2) ユーザー進捗情報

• レベル
• 経験値（EXP）
• 連続日数（ストリーク）
• 統計情報（完了クエスト数、完了ミッション数等）
• 最終アクティブ日時
• ゴル残高（アプリ内通貨）

保存場所: Supabase（米国）

削除方法: アカウント削除により完全に削除されます（第8条参照）

重要: これらのデータは、当方およびSupabaseの従業員が技術的にアクセス可能ですが、正当な理由（サポート対応、不正利用調査等）がない限りアクセスしません。

2-3. AI機能利用時に送信される情報

本アプリは、オプション機能として、Anthropic社のClaude APIを使用したAI目標分解機能を提供しています。この機能を利用する場合、以下の情報がAnthropic社のサーバー（米国）に送信されます。

(1) 送信される情報

• 利用者が入力したチャット文（例: "3ヶ月で英語力を上げてTOEIC800点を取りたい"）

(2) 送信されない情報

• 氏名やメールアドレス等の個人を直接特定できる情報
• アカウントID

利用目的:

• 目標を適切なクエストとフェーズ、メニュー、ミッションに分解

データの保持期間:

• Anthropic社のデータ保持ポリシーに準拠（詳細: https://www.anthropic.com/legal/privacy）
• AIモデルの学習には使用されません（2024年3月時点のポリシー）

オプトアウト: AI機能は任意であり、利用しない場合は情報送信は発生しません。

Anthropic社のプライバシーポリシー: https://www.anthropic.com/legal/privacy

2-4. サブスクリプション管理のために収集される情報

本アプリは、有償プランのサブスクリプション管理のために、RevenueCat, Inc.（以下「RevenueCat」といいます）のサービスを利用しています。

RevenueCat経由で収集される情報

• 匿名のApp User ID
  • 利用者を識別するためのランダムに生成されたID
  • 氏名やメールアドレス等の個人情報とは紐付けられません
• 購買履歴
  • サブスクリプションの購買日時
  • サブスクリプションプラン
  • 購買状況（アクティブ・期限切り等）
  • 購買プラットフォーム（iOS/Android）
• デバイス情報
  • デバイスの種類
  • OSバージョン
  • アプリバージョン

重要: RevenueCat は、当方の指示に基づいて上記情報を処理する「データ処理者」（Data Processor）の立場にあります。RevenueCat は、氏名やメールアドレス等の個人を特定できる情報にアクセスすることはありません。

RevenueCat のプライバシーポリシー: https://www.revenuecat.com/privacy

2-5. 通知機能のために収集される情報

本アプリは、時間ベースの通知機能を提供するために、以下の情報を使用します。

• プッシュ通知トークン
  • Apple Push Notification service（iOS）が発行する、デバイス識別用トークン
  • 通知の送信先を特定するためにのみ使用されます
• 通知スケジュール設定
  • 利用者が設定した通知時刻
  • デバイス内にのみ保存され、外部には送信されません

重要: 通知トークンは、通知送信の技術的な要件として必要なものであり、個人を特定する情報ではありません。

2-6. デバイス内にキャッシュされる情報（新設）

サーバーから取得したデータは、オフライン利用のために、デバイス内（SwiftData）に一時的にキャッシュされます。

• キャッシュされるデータ: クエスト、ユーザー情報
• 保存場所: デバイス内（iOSのSwiftDataストレージ）
• 削除方法: アプリのアンインストール

2-7. 収集しない情報

当方は、以下の情報を一切収集しません。

• 氏名・住所・電話番号・メールアドレス等の個人を直接特定できる情報
• GPSによる詳細な位置情報
• 連絡先・写真・カメラ・マイク等へのアクセス
• 他のアプリの利用履歴
• Twitter/X、Facebook、Instagram等のソーシャルメディアアカウント情報（Apple・Googleは認証目的でのみ使用されます）
• 本アプリ内で利用者が作成・入力するデータ（ルーティンや習慣の記録、メモ等）

---

第3条（情報の利用目的）

当方は、収集した情報を以下の目的でのみ利用します。

3-1. サービスの提供・運営

• 本アプリの基本機能の提供
• 通知機能の提供
• サブスクリプション状態の管理・確認
• ユーザーサポートへの対応
• アカウント認証・管理
• 複数デバイス間でのデータ同期
• AI機能による目標分解支援
• アプリ内通貨（ゴル）の管理・付与・消費処理

3-2. サービスの改善・開発

• 本アプリの利用状況の分析
• 新機能の開発・既存機能の改善
• ユーザー体験の向上
• バグの検出・修正

3-3. アプリの安定性・セキュリティの向上

• クラッシュやエラーの検出・分析
• アプリの動作安定性の改善
• セキュリティ上の脅威の検出・対処

3-4. 統計データの作成・分析

• 匿名化された統計データの作成
• 利用傾向の分析
• マーケティング施策の検討

重要: 当方は、利用者が作成・入力したデータ（クエスト等）に技術的にアクセス可能ですが、以下の場合を除きアクセスしません。

• 利用者からのサポート依頼に対応する場合
• 不正利用や規約違反の調査が必要な場合
• 法令に基づく開示請求を受けた場合
• システムの保守・障害対応に必要な場合

3-5. 法令遵守

• 法令や裁判所の命令その他法的義務の履行
• 違法行為や不正利用の防止・調査

3-6. 利用目的の変更

1. 当方は、上記の利用目的を変更する場合、変更後の利用目的を本ポリシーに記載し、利用者に通知または公表します。

2. 変更後の利用目的が変更前と関連性があると合理的に認められる範囲を超える場合、あらためて利用者の同意を取得します。

---

第4条（情報の第三者提供）

4-1. 第三者提供の原則

1. 当方は、利用者の個人情報を、利用者の同意なく第三者に提供することは原則としてありません。

2. 本アプリで収集される情報は、匿名化された統計データまたはサブスクリプション管理に必要な最小限の情報に限定されており、個人を特定できる情報は含まれません。

4-2. 第三者提供の例外

当方は、以下のいずれかに該当する場合に限り、利用者の同意なく情報を第三者に提供することがあります。

1. 法令に基づく場合

   • 法令や裁判所の命令その他法的義務の履行のための要請に基づく場合
   • 人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難である場合

2. 公衆衛生・児童の健全育成のために必要な場合

   • 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難である場合

3. 国・地方公共団体等への協力

   • 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることによって当該事務の遂行に支障を及ぼすおそれがある場合

4-3. 外部サービスへの情報提供

本アプリは、第5条に記載した外部サービスを利用しています。これらのサービスに提供される情報は以下のとおりです。

1. Supabase（Supabase, Inc.）

   1. 提供情報: アカウント情報（メールアドレス、表示名等）、ユーザーデータ（クエスト、進捗等）
   2. 提供目的: データベース・認証サービスの提供
   3. 個人特定可能な情報: 含まれます（メールアドレス等）
   4. データ処理者としての位置づけ: Supabaseは「データ処理者」（Data Processor）であり、当方の指示に基づいてのみデータを処理します

2. Claude API（Anthropic, Inc.）

   1. 提供情報: 利用者が入力したチャット情報（AI機能利用時のみ）
   2. 提供目的: AIによる目標分解
   3. 個人特定可能な情報: 原則として含まれません（メールアドレス等は送信しない）
   4. オプトアウト: 利用しない場合は情報送信なし

3. RevenueCat（RevenueCat, Inc.）

   1. 提供情報: 匿名のApp User ID、購買履歴、デバイス情報
   2. 提供目的: サブスクリプション管理
   3. 個人特定可能な情報: 含まれません

4. Apple Push Notification service（Apple Inc.）/ Firebase Cloud Messaging（Google LLC）

   1. 提供情報: プッシュ通知トークン、通知内容
   2. 提供目的: 通知送信
   3. 個人特定可能な情報: 含まれません

5. Apple Authentication Services（Apple Inc.）

   1. 提供情報: OAuthトークン（認証処理のみ）
   2. 提供目的: Appleでサインインによるユーザー認証
   3. 個人特定可能な情報: 含まれません（リレーメールアドレスはAppleが生成する匿名メールです）
   4. オプトアウト: Appleでサインインを使用しない場合は情報送信なし

6. Google Identity Services（Google LLC）

   1. 提供情報: Googleアカウントのメールアドレス、名前、OAuthトークン
   2. 提供目的: Googleでサインインによるユーザー認証
   3. 個人特定可能な情報: 含まれます（Googleアカウントのメールアドレス）
   4. オプトアウト: Googleでサインインを使用しない場合は情報送信なし

4-4. ユーザーによるSNSシェア

利用者が本アプリのSNSシェア機能を使用した場合、以下の点にご留意ください。

1. シェア機能はiOSのシステム共有機能を使用しており、当方はシェア先のSNSプラットフォームに情報を直接送信しません
2. シェアコンテンツ（クエスト名、進捗、レベル等）は利用者の操作によって生成・送信されるものであり、利用者自身の選択に基づく情報提供です
3. シェア先プラットフォームにおける情報の取り扱いは、当該プラットフォームのプライバシーポリシーに準拠します
4. 当方は、シェア先プラットフォームでの情報の取り扱いについて責任を負いません

4-5. 事業譲渡の場合

1. 当方が事業の全部または一部を第三者に譲渡する場合（事業譲渡、合併、会社分割その他の事由による場合を含みます）、当該事業に関連する情報が事業譲渡の対象に含まれることがあります。

2. この場合、譲渡先に対して本ポリシーの遵守を義務付けるものとします。

3. ただし、本アプリで収集される情報は匿名化されたデータが中心であり、またユーザーデータはデバイス内にのみ保存されているため、実質的に譲渡される個人情報は限定的です。

4-6. 統計データの公表

当方は、個人を特定できない形式に加工した統計データ（アプリの利用者数、機能の使用率等）をマーケティング資料やプレスリリース等で公表することがあります。

---

第5条（外部サービスの利用）

本アプリは、以下の外部サービスを利用しています。各サービスにおける情報の取り扱いについては、各事業者のプライバシーポリシーをご確認ください。

5-1. Supabase（新設）

提供事業者

• 名称: Supabase, Inc.
• 所在地: 970 Toa Payoh North #07-04, Singapore 318992
• プライバシーポリシー: https://supabase.com/privacy

収集される情報

• アカウント情報（メールアドレス、パスワード（暗号化）、表示名、アバターURL）
• ユーザーデータ（クエスト、進捗、統計情報等）
• ログイン履歴、アクセスログ

利用目的

• アカウント認証・管理
• データの保存・同期
• アプリの機能提供

データ処理者（Data Processor）としての位置づけ

• Supabaseは、当方の指示に基づいてデータを処理する「データ処理者」であり、当方が「データ管理者」（Data Controller）として責任を負います
• Supabaseは、収集されたデータを当方の指示以外の目的で使用することはありません

セキュリティ対策

• 転送中のデータ暗号化（TLS/SSL）
• 保存データの暗号化
• SOC 2 Type II準拠
• ISO 27001認証取得

GDPRおよびCCPA等への対応

• SupabaseはEU一般データ保護規則（GDPR）やカリフォルニア州消費者プライバシー法（CCPA）等に準拠しています
• Data Processing Agreement（DPA）を提供: https://supabase.com/privacy

データの保存場所

• 主にシンガポールまたは米国のデータセンター
• 利用者が選択したリージョンに応じて異なる場合があります

5-2. RevenueCat

提供事業者

• 名称: RevenueCat, Inc.
• 所在地: 1032 E BRANDON BLVD #3003 BRANDON, FL 33511, USA
• プライバシーポリシー: https://www.revenuecat.com/privacy
• Data Processing Addendum (DPA): https://www.revenuecat.com/dpa

収集される情報

• 匿名のApp User ID
• サブスクリプション購買履歴
• 購買プラットフォーム（iOS/Android）
• デバイス情報（機種、OSバージョン等）

利用目的

• サブスクリプション状態の管理・検証
• 複数デバイス間での購買状態の同期
• 不正購買の防止

データ処理者（Data Processor）としての位置づけ

RevenueCat は、当方の指示に基づいて上記情報を処理する「データ処理者」の立場にあり、当方が「データ管理者」（Data Controller）として責任を負います。RevenueCat は、収集されたデータを当方の指示以外の目的で使用することはありません。

個人情報の取り扱い

RevenueCat が収集する情報は、匿名のApp User IDに紐付けられており、氏名やメールアドレス等の個人を特定できる情報にはアクセスしません。

GDPRおよびCCPA等への対応

RevenueCat は、EU一般データ保護規則（GDPR）、カリフォルニア州消費者プライバシー法（CCPA）、ブラジル一般データ保護法（LGPD）等に準拠しています。

5-3. Claude API / Anthropic

提供事業者

• 名称: Anthropic, PBC
• 所在地: San Francisco, California, USA
• プライバシーポリシー: https://www.anthropic.com/legal/privacy

収集される情報

• 利用者が入力した目標文
• APIリクエストのメタデータ（タイムスタンプ等）

利用目的

• AIによる目標の分解
• 自然言語処理

個人情報の取り扱い

• 氏名やメールアドレス等の個人を直接特定できる情報は送信しません
• 送信されるデータは、AIモデルの学習には使用されません（2024年3月時点のポリシー）

データの保持期間

• Anthropicのデータ保持ポリシーに準拠
• 詳細: https://www.anthropic.com/legal/privacy

オプトアウト

• AI機能は任意であり、利用しない場合は情報送信は発生しません

5-4. Apple Push Notification service (APNs)

提供事業者

• 名称: Apple Inc.
• 所在地: One Apple Park Way, Cupertino, CA 95014, USA
• プライバシーポリシー: https://www.apple.com/legal/privacy/

収集される情報

• プッシュ通知トークン（デバイス識別用）
• 通知内容（利用者が設定した通知テキスト）

利用目的

• iOSデバイスへの通知送信

個人情報の取り扱い

通知トークンは技術的な識別子であり、個人を特定する情報ではありません。

5-5. Firebase Cloud Messaging (FCM)

提供事業者

• 名称: Google LLC
• 所在地: 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
• プライバシーポリシー: https://policies.google.com/privacy

収集される情報

• プッシュ通知トークン（デバイス識別用）
• 通知内容（利用者が設定した通知テキスト）

利用目的

• Androidデバイスへの通知送信

個人情報の取り扱い

通知トークンは技術的な識別子であり、個人を特定する情報ではありません。

5-6. Google Identity Services（Google Sign-In）

提供事業者

• 名称: Google LLC
• 所在地: 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
• プライバシーポリシー: https://policies.google.com/privacy

収集される情報

• Googleアカウントのメールアドレス
• Googleアカウントの名前
• OAuthトークン（認証処理のみ）

利用目的

• ユーザー認証（Googleでサインイン）
• アカウントの識別

個人情報の取り扱い

• 取得した情報はSupabaseを通じてアカウント管理にのみ使用します
• 氏名やメールアドレス以外の情報（検索履歴、位置情報等）は収集しません

オプトアウト

• Googleでサインインを使用しない場合は情報送信は発生しません

5-7. Apple Authentication Services（Apple Sign-In）

提供事業者

• 名称: Apple Inc.
• 所在地: One Apple Park Way, Cupertino, CA 95014, USA
• プライバシーポリシー: https://www.apple.com/legal/privacy/

収集される情報

• Appleリレーメールアドレス（Appleが発行する匿名メールアドレス）
• OAuthトークン（認証処理のみ）

利用目的

• ユーザー認証（Appleでサインイン）
• アカウントの識別

個人情報の取り扱い

• Appleリレーメールアドレスは、Appleが発行する匿名メールアドレスです。実際のApple IDのメールアドレスは当方に送信されません
• 氏名は取得しません（Appleでサインインでは名前の提供を要求しません）

オプトアウト

• Appleでサインインを使用しない場合は情報送信は発生しません

5-8. 外部サービスの変更

1. 当方は、本アプリの改善・運営のために、上記以外の外部サービスを利用する場合、または上記サービスの利用を停止する場合があります。

2. 新たな外部サービスを利用する場合で、個人情報の取り扱いに重要な変更が生じる場合は、本ポリシーを更新し、利用者に通知します。

5-9. 外部サービスの責任範囲

1. 各外部サービスにおける情報の取り扱いについては、各事業者のプライバシーポリシーおよび利用規約が適用されます。

2. 当方は、外部サービスの提供停止・仕様変更・セキュリティ侵害等により利用者に生じた損害について、当方に故意または重過失がある場合を除き、責任を負いません。

---

第6条（13歳未満の児童に関する特別条項）

本アプリは全年齢向けに提供されており、13歳未満の児童も利用可能です。当方は、日本の個人情報保護法に基づき、13歳未満の児童のプライバシー保護に特に留意します。

6-1. 保護者の同意

1. 13歳未満の児童が本アプリを利用する場合、必ず保護者（親権者または法定代理人）の同意を得てください。

2. 保護者の方は、本ポリシーおよび利用規約の内容を十分にご確認の上、お子様による本アプリの利用を許可してください。

3. 保護者の同意なく13歳未満の児童が本アプリを利用していることが判明した場合、当方は当該利用を停止するよう求めることがあります。

6-2. 13歳未満の児童から収集する情報

本アプリが13歳未満の児童から収集する情報は、以下のとおりです。

(1) サーバーに保存される情報（外部通信あり）

• アカウント情報（メールアドレス、表示名等）
• クエスト情報
• 進捗・統計情報

重要: これらの情報は、Supabaseのサーバー（主にシンガポールまたは米国）に保存されます。

(2) デバイス内にキャッシュされる情報

• サーバーから取得したデータの一時的なキャッシュ

(3) 匿名で外部送信される情報

• サブスクリプション情報（RevenueCat経由、保護者が購入した場合のみ）
• プッシュ通知トークン

重要: これらの情報は匿名化されており、氏名・住所・電話番号・メールアドレス・写真・音声等、児童を直接特定できる情報は含まれません。

6-3. 収集した情報の利用目的

13歳未満の児童から収集した情報は、以下の目的でのみ利用します。

1. 本アプリの基本機能の提供（習慣記録、通知機能等）
2. アプリの改善・バグ修正
3. サブスクリプション管理（保護者が購入した場合のみ）
4. 複数デバイス間でのデータ同期
5. （保護者が許可した場合）AI機能による学習支援

当方は、児童から収集した情報をマーケティング目的、第三者への販売、児童のプロファイリング等の目的で使用することは一切ありません。保護者の方へ: AI機能を利用すると、お子様が入力した目標の内容がAnthropic社（米国）に送信されます。AI機能の利用は任意であり、無効化することが可能です。

6-4. 保護者の権利

保護者の方は、お子様に関する以下の権利をお持ちです。

(1) 情報の確認

お子様がデバイス内に保存されるデータ（ルーティンや習慣の記録等）は、お子様のデバイス上でいつでも確認できます。保護者の方は、お子様と一緒に、またはお子様の許可を得て、これらの情報を確認することができます。

(2) 情報の削除

• デバイス内のデータ削除: お子様のデバイスから本アプリをアンインストールすることで、デバイス内に保存されているすべてのデータが完全に削除されます。
• 匿名統計データ: Firebase Analyticsによって収集された匿名統計データの削除を希望される場合は、第12条に記載のお問い合わせ窓口まで、ご連絡ください。ただし、匿名化されたデータであるため、特定のお子様のデータのみを削除することは技術的に困難です。
• サーバー保存データ: アカウント削除により完全に削除されます（第8条第8-3項参照）
• デバイスキャッシュ: アプリのアンインストールにより削除されます

(3) 追加情報収集の停止

保護者の方がお子様からの追加的な情報収集を停止させたい場合は、以下の方法をご利用いただけます。

• アプリをアンインストールする
• 通知機能を無効化する（デバイスの設定から）
• 将来的に実装予定のFirebase Analyticsオプトアウト機能を利用する

(4) サブスクリプションの解約

保護者の方がお子様のために有償プランを購入した場合、いつでもApp StoreまたはGoogle Playの管理画面から解約できます。

6-5. 学校や教育機関での利用

本アプリが学校や教育機関において、教育目的で利用される場合:

1. 学校または教育機関は、保護者に代わって本アプリの利用に同意することができます（COPPAに基づく学校の同意権限）。

2. この場合、収集される情報は教育目的に限定され、学校の利益と教育活動のためにのみ使用されます。

3. 学校または教育機関は、保護者に対して本アプリの利用について適切に通知する責任を負います。

6-6. 13歳未満の児童に関する保護者からのお問い合わせ

保護者の方からの以下のお問い合わせに対応いたします。

• お子様から収集している情報の種類についての質問
• お子様の情報の確認依頼
• お子様の情報の削除依頼
• お子様からの追加的な情報収集の停止依頼
• その他、お子様のプライバシーに関する質問

お問い合わせ先: 第12条に記載の窓口までご連絡ください。

---

第7条（データの保管・セキュリティ）

7-1. データの保管場所

1. サーバー保存データ 利用者が本アプリで作成・入力したデータ（アカウント情報、クエスト、進捗等）は、Supabase, Inc.が提供するデータベースサービスに保存されます。保存場所: 主にシンガポールまたは米国のデータセンター
2. デバイス内キャッシュ サーバーから取得したデータは、オフライン利用のためにデバイス内（SwiftData）に一時的にキャッシュされます。
3. 外部サービスのデータ RevenueCat等によって収集されたデータは、各サービス事業者のサーバー（主に米国）に保存されます。

7-2. セキュリティ対策

(1) サーバー保存データの保護

暗号化

• 転送中: TLS 1.2以上による暗号化
• 保存時: AES-256による暗号化

アクセス制御

• 認証されたユーザーのみが自身のデータにアクセス可能
• 役割ベースのアクセス制御（RBAC）

パスワード保護（メールアドレス・パスワード登録ユーザーのみ）

• bcrypt等の業界標準アルゴリズムによる暗号化
• 当方を含む第三者が平文で閲覧不可

定期的なセキュリティ監査

• SupabaseはSOC 2 Type II準拠、ISO 27001認証取得

(2) デバイス内キャッシュの保護

1. デバイス内に保存されるデータは、OSが提供するセキュリティ機能（サンドボックス、アプリ間のデータ隔離等）によって保護されます。

2. 当方は、アプリの設計・開発において、セキュリティのベストプラクティスに従うよう努めますが、デバイス自体のセキュリティ（パスコード設定、生体認証、紛失対策等）については、利用者の責任において管理してください。

3. デバイスが第三者の手に渡った場合、デバイスのロックが解除されている場合、またはOSの脆弱性が利用された場合等には、データが閲覧される可能性があります。

(3) 外部サービスのセキュリティ

外部サービス（RevenueCat等）におけるデータの保護については、各事業者が責任を負います。各サービスは、以下のセキュリティ対策を実施しています。

• RevenueCat:
  • 転送中および保存時のデータ暗号化
  • SOC 2 Type II準拠
  • 定期的なセキュリティ監査
  • 詳細: https://www.revenuecat.com/security-and-compliance
• Supabase:
  • SOC 2 Type II準拠
  • ISO 27001認証取得
  • 詳細: https://supabase.com/security

7-3. データ漏洩時の対応

1. 万が一、外部サービスにおいてデータ漏洩が発生した場合、当方は、各サービス事業者からの通知を受け次第、速やかに以下の対応を行います。

   • 影響範囲の調査
   • 必要に応じた利用者への通知
   • 再発防止策の検討・実施

2. デバイス内に保存されているデータについては、当方のサーバーに保存されていないため、当方のシステムを経由した漏洩のリスクはありません。ただし、デバイスの紛失・盗難やマルウェア感染等によって、データが第三者に渡るリスクがあります。

3. Supabaseにおいてデータ漏洩が発生した場合、個人情報保護法等の関連法令に基づき、速やかに監督官庁への報告および利用者への通知を行います。

7-4. データの保持期間

(1) サーバー保存データ

• アクティブアカウント: アカウントが有効な間、保持されます
• アカウント削除後: 削除依頼から30日以内に完全削除
  • ただし、法令に基づく保持義務（税務記録等）がある場合は例外
• 非アクティブアカウント: 最終ログインから2年間活動しない場合、事前通知の上、アカウントを削除することがあります

(2) デバイス内キャッシュ

• 利用者がアプリをアンインストールするまで、デバイス内に保持されます。
• アプリをアンインストールすると、すべてのデータが完全に削除されます。
• OSのアップデートやデバイスの初期化によって、データは削除されます。

(3) サブスクリプションデータ（RevenueCat）

• サブスクリプション終了後、不正購入の防止、税務・会計上の要件、法令遵守等の目的で一定期間保持されます。
• 詳細: https://www.revenuecat.com/privacy

7-5. データのバックアップ

1. サーバー保存データ

   1. Supabaseによって自動的にバックアップされます
   2. バックアップは暗号化され、安全に保管されます
   3. ただし、利用者の誤操作（クエスト削除等）に対するバックアップからの復元は保証されません

2. デバイス内キャッシュは、当方によるバックアップは行われません。 利用者が重要なデータを保護するためには、以下の方法を推奨します。

   1. スクリーンショットの保存
   2. デバイス全体のバックアップ（iCloudバックアップ）

3. ただし、デバイス全体のバックアップから本アプリのデータが復元できるかは、OSの仕様やバックアップの設定によって異なります。当方は、バックアップからの復元を保証することはできません。

7-6. デバイス紛失時の対応

デバイスを紛失または盗難された場合、以下の対応を推奨します。

1. 直ちにデバイスをリモートロックまたはリモートワイプ（データ消去）する

   • iOS: 「探すアプリ」から「紛失モード」または「iPhoneを消去」
   • Android: 「デバイスを探す」から「デバイスをロック」または「デバイスのデータを消去」

2. デバイスが未認可の第三者の手に渡った場合でも、デバイスロックが有効であれば、データへのアクセスは困難です。

7-7. アカウント削除時のデータ処理

利用者がアカウント削除を申請した場合、以下の処理が行われます。

(1) 即時削除されるデータ

• 個人を特定できる情報（メールアドレス・Appleリレーメールアドレス・Googleメールアドレス等、表示名等）
• クエストデータ
• 進捗・統計情報

(2) 一定期間保持されるデータ

• サブスクリプション関連データ（税務・会計上の要件により最大7年間）
• 不正利用防止のための最小限のログ（匿名化、最大1年間）

(3) 削除されないデータ

• 完全に匿名化された統計データ（個人特定不可能）

---

第8条（ユーザーの権利）

8-1. データへのアクセス権

1. サーバー保存データ: 利用者は、本アプリ内またはアカウント設定画面で、いつでも自身のデータ（アカウント情報、クエスト等）を閲覧できます
2. 匿名統計データ: Firebase Analyticsによって収集された匿名統計データは、個人を特定できない形式であるため、個別の利用者が自身のデータにアクセスすることは技術的に困難です。
3. サブスクリプションデータ: 利用者は、App StoreまたはGoogle Playの管理画面から、自身の購買履歴を確認できます。

8-2. データの訂正・更新権

1. サーバー保存データ: 利用者は、本アプリ内またはアカウント設定画面で、いつでも自身のデータを編集・更新できます
2. メールアドレスの変更: メールアドレス・パスワード登録ユーザーのみ、アカウント設定画面から変更可能（再認証が必要な場合があります）。AppleでサインインおよびGoogleでサインインのユーザーは、各プラットフォームのアカウント設定で管理されるため、アプリ内からの変更はできません。ゲストユーザーはメールアドレスを持ちません
3. 外部サービスのデータ: 匿名統計データやサブスクリプションデータについては、自動的に収集・更新されるため、利用者による訂正は想定されていません。

8-3. データの削除権（消去権）

(1) サーバー保存データの削除

新設: 利用者は、以下の方法でサーバー保存データを削除できます。

個別データの削除:

• クエストの削除: アプリ内で個別に削除可能

アカウント全体の削除:

• アカウント設定画面の「アカウント削除」機能を使用
• 削除依頼から30日以内に、すべてのデータが完全に削除されます
• 重要: アカウント削除は取り消せません。削除前に必要なデータをエクスポート（スクリーンショット等）してください

(2) デバイス内キャッシュの削除

• アプリのアンインストール

(3) 外部サービスのデータ削除

• RevenueCat: サブスクリプションに関連するデータの削除を希望される場合は、第12条のお問い合わせ窓口までご連絡ください。ただし、税務・会計上の要件や不正防止等の理由により、一定期間の保持が必要な場合があります。

(4) 13歳未満の児童のデータ削除

保護者の方からのお子様のデータ削除依頼については、優先的に対応いたします。第12条のお問い合わせ窓口までご連絡ください。

8-4. データポータビリティ権

1. 本アプリのデータは、デバイス内に保存されており、利用者がいつでもアクセス可能です。

2. 現時点では、データのエクスポート機能（JSONやCSV形式等での出力）は提供していませんが、将来的な実装を検討しています。

3. 利用者は、スクリーンショット等の方法で、自身のデータを記録・保存することができます。

8-5. 処理の制限権

利用者は、以下の方法で、特定のデータ処理を制限できます。

1. 通知の無効化: デバイスの設定から本アプリの通知を無効化できます。

2. Firebase Analyticsのオプトアウト: 現時点では個別の無効化機能は提供していませんが、将来的な実装を検討しています。

3. サブスクリプションの解約: 有償プランを解約することで、RevenueCatによるサブスクリプション情報の収集を停止できます。

8-6. 異議申立権

利用者は、本ポリシーに定める情報の取り扱いについて異議を申し立てる権利をお持ちです。異議がある場合は、第12条に記載のお問い合わせ窓口までご連絡ください。

8-7. 個人情報保護委員会への苦情申立

日本国内の利用者は、個人情報の取り扱いに関して、個人情報保護委員会に苦情を申し立てることができます。

個人情報保護委員会:

• ウェブサイト: https://www.ppc.go.jp/
• 電話: 03-6457-9849（代表）

---

第9条（Cookieおよび類似技術）

9-1. Cookieの使用

本アプリは、ネイティブアプリケーションであり、Webブラウザで使用されるCookieは使用していません。

9-2. 類似技術の使用

本アプリは、以下の技術を使用して情報を収集・保存します。

(1) ローカルストレージ（SQLite）

• 用途: 利用者が作成・入力するデータ（ルーティンや習慣の記録等）の保存
• 保存場所: 利用者のデバイス内のみ
• 外部通信: なし
• 削除方法: アプリのアンインストール

(2) Firebase SDK

• 用途: 匿名の利用統計データの収集
• 技術: Firebase Analytics SDK、Firebase Cloud Messaging SDK
• 収集情報: 第2条第2-2項 (1)に記載のとおり
• 保存場所: Google LLC のサーバー（主に米国）
• 削除方法: 第8条第8-3項に記載のとおり

(3) RevenueCat SDK

• 用途: サブスクリプション管理
• 収集情報: 第2条第2-4項に記載のとおり
• 保存場所: RevenueCat, Inc. のサーバー（主に米国）
• 削除方法: 第8条第8-3項に記載のとおり

(4) プッシュ通知トークン

• 用途: 通知送信のためのデバイス識別
• 技術: APNs（iOS）、FCM（Android）
• 保存場所: Apple Inc. / Google LLC のサーバー
• 削除方法: アプリのアンインストールまたは通知設定の無効化

9-3. 広告識別子（IDFA/AAID）

本アプリは、広告配信を行っていないため、広告識別子（IDFA/AAID）を収集・使用していません。

9-4. トラッキングの制限

(1) iOS 14.5以降のApp Tracking Transparency

本アプリは、アプリ外での利用者のアクティビティをトラッキングしていないため、App Tracking Transparencyフレームワークに基づくトラッキング許可のダイアログは表示されません。

(2) AndroidのAdvertising ID

本アプリは、AndroidのAdvertising ID（AAID）を収集・使用していません。

9-5. 第三者のトラッキング技術

本アプリは、広告ネットワーク、ソーシャルメディア連携等の第三者のトラッキング技術を使用していません。

---

第10条（国際データ転送）

10-1. データ転送の発生

本アプリは、以下の外部サービスを利用しているため、これらのサービスが収集する匿名データは、主に米国にあるサーバーに転送・保存されます。

1. Firebase Analytics / Firebase Cloud Messaging

   • 提供事業者: Google LLC（米国）
   • データの保存場所: 主に米国
   • 転送データ: 匿名の利用統計、デバイス情報、通知トークン

2. RevenueCat

   • 提供事業者: RevenueCat, Inc.（米国）
   • データの保存場所: 主に米国
   • 転送データ: 匿名のApp User ID、購買履歴、デバイス情報

3. Supabase

   • 提供事業者: Supabase, Inc.（シンガポール/米国）
   • データの保存場所: 主にシンガポールまたは米国
   • 転送データ: アカウント情報、クエスト、進捗

4. Claude API / Anthropic

   • 提供事業者: Anthropic, PBC（米国）
   • データの保存場所: 米国
   • 転送データ: チャット情報（AI機能利用時のみ）

10-2. 個人を特定できる情報の送信

本アプリからSupabaseに転送されるデータには、メールアドレス等の個人を特定できる情報が含まれます。Anthropic（Claude API）には、原則として個人を特定できる情報は送信されません。

10-3. データ転送の法的根拠

(1) EU一般データ保護規則（GDPR）への対応

欧州経済領域（EEA）内の利用者のデータを米国に転送される場合、以下の適切な保護措置が講じられています。

• Google LLC（Firebase）:

  • EU-U.S. Data Privacy Framework（DPF）認証取得
  • 標準契約条項（Standard Contractual Clauses, SCC）の締結
  • 詳細: https://policies.google.com/privacy/frameworks

• RevenueCat, Inc.:

  • Data Processing Addendum（DPA）の提供
  • 標準契約条項（SCC）に基づくデータ転送
  • 詳細: https://www.revenuecat.com/dpa

• Supabase:

  • 標準契約条項（Standard Contractual Clauses, SCC）の締結
  • Data Processing Agreement（DPA）の提供
  • 詳細: https://supabase.com/privacy

• Anthropic:

  • EU-U.S. Data Privacy Framework（DPF）への準拠（確認中）
  • 詳細: https://www.anthropic.com/legal/privacy

(2) 日本の個人情報保護法への対応

日本から外国にある第三者（Google、RevenueCat）へのデータ提供については、以下の措置を講じています。

1. 本ポリシーによる情報提供:

   • 外国にある第三者への提供の有無（第5条に記載）
   • 当該外国の名称: 米国
   • 当該外国の個人情報保護制度に関する情報: 第10-4項に記載
   • 当該第三者が講じる個人情報保護措置: 第10-3項（1）および第5条に記載

2. 匿名データのみの提供:

   • 個人を特定できる情報は含まれないため、個人情報保護法上の「個人データ」に該当しない可能性が高い

10-4. 米国の個人情報保護制度

(1) 連邦レベルの制度

• 児童オンラインプライバシー保護法（COPPA）: 13歳未満の児童の個人情報を保護
• カリフォルニア州消費者プライバシー法（CCPA/CPRA）: カリフォルニア州における個人情報保護
• EU-U.S. Data Privacy Framework（DPF）: EU・米国間のデータ転送の枠組み

(2) 企業の自主的取り組み

GoogleやRevenueCat等の事業者は、独自のプライバシーポリシーおよびセキュリティ対策を実施しています。詳細は、各事業者のプライバシーポリシーをご確認ください。

10-5. EEA内の利用者の権利

欧州経済領域（EEA）内の利用者は、GDPRに基づき以下の権利をお持ちです。

1. アクセス権（第15条）
2. 訂正権（第16条）
3. 削除権（忘れられる権利、第17条）
4. 処理の制限権（第18条）
5. データポータビリティ権（第20条）
6. 異議申立権（第21条）
7. 監督機関への苦情申立権（第77条）

これらの権利の行使方法については、第8条および第12条をご確認ください。

10-6. 英国の利用者の権利

英国の利用者は、UK GDPR および Data Protection Act 2018 に基づき、EEA内の利用者と同様の権利をお持ちです。

---

第11条（プライバシーポリシーの変更）

11-1. 変更の権利

当方は、本ポリシーを随時変更することができます。変更の理由には、以下が含まれますが、これらに限定されません。

1. 法令やガイドライン等の制定・改正への対応
2. 本アプリの機能追加・変更
3. 外部サービスの変更・追加・削除
4. セキュリティ対策の強化
5. その他、当方が必要と判断した場合

11-2. 変更の通知方法

(1) 軽微な変更の場合

誤字脱字の修正や表現の明確化等、利用者の権利義務に実質的な影響を与えない軽微な変更の場合、本ポリシーを更新し、最終更新日を変更します。

(2) 重要な変更の場合

以下のような重要な変更を行う場合は、変更の効力発生日の少なくとも30日前までに、以下の方法で利用者に通知します。

• アプリ内通知（プッシュ通知またはアプリ起動時のプロンプト）
• アプリ内の専用ページでの告知

重要な変更に該当する例:

• 新たな個人情報の収集を開始する場合
• 情報の利用目的を大きく変更する場合
• 新たな第三者への情報提供を開始する場合
• 利用者の権利を制限する場合

(3) 13歳未満の児童に影響する変更

13歳未満の児童から収集する情報、または児童のプライバシーに影響する重要な変更を行う場合は、保護者の同意を事前に取得します。

11-3. 変更後のポリシーの効力

1. 変更後の本ポリシーは、第11-2項で定める通知方法に従い通知された後、効力発生日から効力が生じます。

2. 効力発生日以降に本アプリを継続して利用する場合、利用者は変更後の本ポリシーに同意したものとみなします。

3. 変更後の本ポリシーに同意いただけない場合は、本アプリの利用を停止し、アプリをアンインストールしてください。

11-4. 変更履歴

本ポリシーの主な変更履歴は、以下のとおりです。

• 2025年1月16日: 初版制定

---

第12条（お問い合わせ）

12-1. 一般的なお問い合わせ

本ポリシー、個人情報の取り扱い、プライバシーに関するご質問、ご意見、苦情等は、以下の窓口までご連絡ください。

お問い合わせ窓口:

運営者: 筒井健登 メールアドレス: support@kentolib.com

※お問い合わせへの回答には、数日から1週間程度のお時間をいただく場合があります。 ※迷惑メール対策のため、お問い合わせの際は「GoalHack」と件名に明記してください。

12-2. 13歳未満の児童に関するお問い合わせ

保護者の方からの（お子様（13歳未満）に関する以下のお問い合わせに対応いたします。

1. お子様から収集している情報の内容についての質問
2. お子様の情報の確認依頼
3. お子様の情報の削除依頼
4. お子様からの追加的な情報収集の停止依頼
5. その他、お子様のプライバシーに関する質問

保護者の方は、上記の一般お問い合わせ窓口までご連絡ください。

お問い合わせの際は、以下の情報をご提供ください。

• 保護者の方のお名前
• お子様との関係
• お問い合わせの内容

※お子様のプライバシー保護のため、本人確認をさせていただく場合があります。

12-3. サブスクリプションに関するお問い合わせ

有償プランの請求、返金、解約手続き等、サブスクリプションに関するお問い合わせは、まず各ストア事業者（Apple・Google）にご連絡ください。

• iOS（App Store）:
  • Apple サポート: https://support.apple.com/ja-jp
  • 電話: 0120-277-535
• Android（Google Play）:
  • Google Play ヘルプ: https://support.google.com/googleplay
  • Google Play サポートページ（アプリからのお問い合わせ）

ストア事業者で解決しない場合は、上記の一般お問い合わせ窓口までご連絡ください。

12-4. 外部サービスに関するお問い合わせ

Firebase Analytics、RevenueCat等の外部サービスにおける情報の取り扱いに関するお問い合わせは、各事業者に直接お問い合わせいただくか、上記の一般お問い合わせ窓口までご連絡ください。

12-5. データ削除依頼

利用者のデータ削除を希望される場合:

1. デバイス内データ: アプリをアンインストールすることで、すべてのデータが削除されます。

2. 外部サービスのデータ: 第8条第8-3項に記載の方法をお試しいただくか、それでも削除を希望される場合は、上記の一般お問い合わせ窓口までご連絡ください。

3. 13歳未満の児童のデータ: 保護者の方からの削除依頼は、優先的に対応いたします。

12-6. 個人情報保護監督機関への連絡先

(1) 日本

個人情報保護委員会

• ウェブサイト: https://www.ppc.go.jp/
• 電話: 03-6457-9849（代表）
• 個人情報保護法相談ダイヤル: 03-6457-9849

(2) 欧州経済領域（EEA）

EEA内の利用者は、お住まいの国の監督機関に苦情を申し立てることができます。

• 監督機関一覧: https://edpb.europa.eu/about-edpb/board/members_en

(3) 英国

Information Commissioner's Office (ICO)

• ウェブサイト: https://ico.org.uk/
• 電話: 0303 123 1113

(4) 米国（13歳未満の児童に関する問題）

Federal Trade Commission (FTC)

• ウェブサイト: https://www.ftc.gov/
• COPPA違反の報告: https://www.ftccomplaintassistant.gov/

---

以上

2026年1月16日 制定