プライバシーポリシー
マイレビュー(My Review) 最終更新日:2026年4月16日 バージョン:1.3 有効日:アプリ公開日
1. 本ポリシーについて
本プライバシーポリシー(以下「本ポリシー」)は、スマートフォンアプリ「マイレビュー」(以下「本アプリ」)におけるユーザーの個人情報およびデータの取り扱いについて説明します。本アプリは、訪れた場所・食事・商品などの体験を記録し、個人の評価や感想を保存することで、ユーザー自身の生活を振り返る支援を目的としています。
本ポリシーは、別途公開している「利用規約」と併せてご確認ください。本ポリシーと利用規約の間に矛盾がある場合、本ポリシーが優先します。
EEA(欧州経済領域)ユーザーへのご注意:本アプリを利用する場合、メモテキストと評価データが米国のサーバーに転送される可能性があります。詳細は第 4-3 条から第 4-5 条をご参照ください。
2. 利用者データおよび個人情報の定義
本ポリシーにおいて「利用者データ」とは、ユーザーが本アプリで入力・記録したデータ(訪問先の場所名、商品名、評価、メモ・感想、撮影写真、メンバー情報など)および端末から取得した情報をいいます。
そのうち、お問い合わせ時に取得するメールアドレスなど、特定の個人を識別できる情報を「個人情報」といいます。
個人情報に該当しない情報
利用者データのうち、以下は個人情報には該当しません:
- 場所名、商品名、評価値、メモ・感想
- 撮影日時、訪問日時などのタイムスタンプ
- 商品のJANコード
- 写真(撮影された画像そのもの)
3. データ保存の基本方針
本アプリはプライバシーを最優先とする設計となっています。
- 端末内保存が原則:記録したすべてのデータ(メモ、評価、写真含む)は、デフォルトでユーザーのスマートフォン端末内のみに保存されます
- 外部サーバーへの自動送信なし:ユーザーが明示的に「AI分析」機能を利用する場合を除き、本アプリはいかなるデータを外部に送信しません
- クラウドバックアップなし(初期版):iCloud、Google Driveなどのクラウドサービスへの自動同期機能は実装されていません
3-1b. OS標準のバックアップ機能に関する注意
本アプリはデータを外部に自動送信しません。ただし以下の点にご注意ください:
iOSの場合:iCloud自動バックアップ
- ユーザーがiCloudバックアップを有効にしている場合、本アプリのデータが Apple の iCloud に自動的にバックアップされる可能性があります
- これは本アプリが直接送信するのではなく、iOS の標準機能によるものです
- 詳細は Apple のプライバシーポリシーおよび iCloud のドキュメントを参照してください
Androidの場合:Google One/Google Drive自動バックアップ
- ユーザーが Google One のバックアップを有効にしている場合、本アプリのデータが Google のサーバーにバックアップされる可能性があります
- これは本アプリが直接送信するのではなく、Android の標準機能によるものです
- 詳細は Google のプライバシーポリシーおよび Google One のドキュメントを参照してください
ユーザーによる制御
- これらの自動バックアップ機能は、OS の設定画面で有効・無効を切り替えることができます
- 本アプリのデータをクラウドに保存させたくない場合は、OS の設定からバックアップを無効にしてください
- 本アプリは、これらのバックアップ設定に関する責任を負いません
本アプリの責任範囲
- 本アプリは、デバイス内のローカルストレージにのみデータを保存します
- OS やプラットフォームが実施する自動バックアップについては、各プラットフォームの利用規約・プライバシーポリシーが適用されます
- 本アプリは、ユーザーが望まない形で OS がデータをバックアップしたことによる損害について責任を負いません
4. 外部API・サービスの利用
4-1. Open Street Map(OSM)Overpass API
本アプリは、ユーザーが入力した場所名や現在地から施設情報を検索する際に、OSM Overpass APIを利用します。
- 利用内容:テキスト検索クエリまたはユーザーの位置情報を送信し、マッチする施設情報(住所、座標など)を受け取ります
- データの送信内容:場所名または緯度経度のみ。個人的なメモ、評価、写真、その他の記録内容は送信されません
- 暗号化:通信はHTTPS(TLS)で暗号化されます
- ライセンス:OSM Overpass APIのデータは OpenStreetMap contributors 提供です。詳細は https://www.openstreetmap.org/copyright を参照してください
- 認証不要:APIキー・個人認証は不要です
4-2. Open Food Facts(OFF)API
本アプリは、ユーザーがバーコード(JANコード)をスキャンして商品情報を検索する場合、Open Food Facts APIを利用します。
- 利用内容:JANコードから商品名、栄養情報などを検索します
- データの送信内容:JANコード(商品を特定するための番号)のみ。ユーザーの評価、メモ、位置情報、写真は送信されません
- 暗号化:通信はHTTPS(TLS)で暗号化されます
- ライセンス:OFFのデータはCC BY-SAライセンスの下で公開されています。詳細は https://world.openfoodfacts.org を参照してください
- 認証不要:APIキー・個人認証は不要です
- ユーザーエージェント:本アプリは、OFFへのリクエスト時に「MyReview/1.0(https://forms.gle/txtkW8rJR2xeaCEu9)」ユーザーエージェントを送信します
4-3. Google Gemini API(有償AI分析機能)
本アプリは、AIプラン購読時の「分析」機能において、Google Gemini APIを利用します。本機能はオプションです。
【AI分析機能をご利用の場合】
送信されるデータ:
ユーザーが記録した体験データ(場所名・商品名、日付、評価、メモ、タグ、費用等)および集計統計。送信内容はアプリのバージョンにより変動することがあります。
送信されないデータ:
- GPS位置情報(端末から取得した位置座標)
- 写真・画像ファイル
- ユーザー識別情報(氏名、メールアドレス等)
送信先:
本アプリ → Cloudflare Workers(中継・API キー管理)→ Google Gemini API
Google Gemini APIのデータ処理契約(DPA)とSCC対応
本アプリから Google Gemini API に送信されるデータは、以下の国際的なデータ保護枠組みに基づいて処理されます:
- データ処理契約(DPA):Google は GDPR 第 28 条に基づくデータ処理契約に従い、当社からのデータを処理します(Google Cloud Data Processing Amendment)
- SCC(Standard Contractual Clauses):EU / EEA からのデータが米国の Google サーバーに転送される場合、SCCに基づき個人データは保護されます
- Supplementary Measures:Google サーバーでの暗号化、ユーザーアクセスの制限、従業員の秘密保持義務、定期的なセキュリティ監査
モデル学習における保護
- 当社は Google Gemini API に対して「ユーザーデータ学習無効(UDLD)」設定を適用しています
- 本アプリから送信されたメモテキストおよび評価データは、Google の機械学習モデルの学習に使用されません
- ただし、Google は API の機能改善のため、一時的にデータを保持する場合があります(詳細は Google Gemini API 利用規約を参照)
国際的なデータ転移とEUユーザーへの通知
本アプリの開発者は日本に所在しており、Google サーバーは米国に所在しています。本アプリを EEA から利用する場合、メモテキスト・評価データは米国に転移されます。この転移は、GDPR 第 5 章(国際転移)に基づく SCC によって法的に保護されています。
📌【致命的リスク回避】要配慮個人情報に関する警告
以下のような「要配慮個人情報」は、AI分析機能を利用して入力しないでください:
- 健康情報:病歴、症状、医療履歴、診断結果、薬の服用記録、持病に関する記述
- 思想・信条・信仰:宗教信仰、政治見解、イデオロギー
- 遺伝情報:遺伝的特性、DNA情報、遺伝子検査結果
- 犯罪歴:逮捕歴、裁判履歴、犯罪に関する情報
- 生物学的情報:指紋認証データ、顔認証データ等のバイオメトリクス
- その他機密情報:銀行口座番号、パスポート番号、マイナンバー、保険証番号、クレジットカード番号
これらの情報は GDPR 第9条「特別なカテゴリのデータ」として特に厳格な保護が適用されます。AI分析機能を利用するとこれらの情報は米国のサーバーに転移され、高い法的リスク、プライバシー侵害、身元詐欺のリスクが発生する可能性があります。
ユーザーのリスク責任
以下の場合について、当社は責任を負いません:
- ユーザーがメモ欄に第三者の個人情報や機密情報を入力し、AI に送信された場合
- ユーザーが要配慮個人情報を自発的に入力し、Google Gemini API に送信された場合
- その結果生じた個人情報の流出、プライバシー侵害、身元詐欺等による損害
4-4. Cloudflare Workers
Google Gemini API を直接呼び出さないために、Cloudflare Workers を経由してリクエストを送信します。
- 目的:API キーの安全な管理、ユーザーの直接認証の回避
- データの取り扱い:AI分析に必要な体験データおよび集計統計が Cloudflare Workers を経由して送信されます
- プライバシー:Cloudflare Workers は Cloudflare のプライバシーポリシーに準拠します(詳細)
- GDPR準拠:Cloudflare は GDPR、CCPA、その他の個人情報保護規制に準拠する契約体制を整えています(Cloudflare Compliance Documentation)
4-5. Google の追加的な保護措置と透明性
Google のセキュリティコミットメント:Google Gemini API は Google Cloud の高いセキュリティ基準に従い、エンドツーエンド暗号化(HTTPS/TLS)、サーバー側暗号化、ファイアウォール・DDoS 対策、定期的なセキュリティ監査、SOC 2 Type II 準拠を実施しています。
データ保持とアクセス:Google は分析リクエストの処理後、一般的には短期間(数日〜数週間)でユーザーデータを削除します。Google の従業員は、セキュリティ監査やシステム保守の必要がない限り、ユーザーデータにアクセスすることはできません。詳細は Google Cloud Compliance Center を参照してください。
5. 写真・カメラの取り扱い
- 撮影・保存:本アプリでユーザーが撮影した写真は、端末内の専用フォルダに保存されます
- 外部への送信:写真は外部に送信されません
- メタデータ:写真の撮影日時などのメタデータはアプリ内でのみ利用されます
- 権限:カメラへのアクセスは、ユーザーがカメラ機能を使用するときのみリクエストされます。許可・拒否はユーザーの選択です
6. 位置情報の取り扱い
- 取得・処理:ユーザーが「周辺の場所」検索を使用する場合、OSM Overpass APIへの検索リクエストとして緯度経度が送信されます
- 端末内での処理:取得した位置情報は、施設検索の目的で端末内で即座に処理され、長期的には保持されません
- 権限:位置情報へのアクセスは、ユーザーが位置ベースの機能を有効にするときのみリクエストされます。許可・拒否はユーザーの選択です
- バックアップ対象外:エクスポート・バックアップ機能に位置情報は含まれません
7. データの削除と管理
- ユーザーコントロール:ユーザーはアプリ内でいつでも個別の記録を削除できます
- 一括削除:設定画面から「すべてのデータを削除」を実行することで、全記録、メンバー、設定がリセットされます
- エクスポート・バックアップ:ユーザーは記録をMarkdown、JSON形式でエクスポートでき、後日インポートして復元できます
- アプリアンインストール:アプリをアンインストールすると、アプリに関連するすべてのデータは端末から削除されます
免責事項
本アプリはデータを端末内にのみ保存する設計です。以下の事象により生じたデータの消失について、開発者は一切の責任を負いません:
- 端末の紛失、故障、破損
- アプリの予期しないエラーによるデータ破損
- アプリのアンインストール
- 機種変更時のデータ移行の不備
- OSのアップデートに伴う予期しない動作
ユーザーはバックアップを定期的に実施し、重要なデータ損失に備えることを強く推奨します。
8. セキュリティ
- ローカルストレージ暗号化:本アプリはMMKV(暗号化キー・バリューストア)を使用して、端末内データを保護します
- 通信の暗号化:外部APIとの通信はすべてHTTPS(TLS)で暗号化されます
- 第三者アクセス:本アプリはユーザーの同意なしに第三者にデータを売却・共有・提供することはありません
- デバイス保護:端末のロック機能(パスコード・生体認証)により、本アプリのデータも保護されます
- データ収集を最小化:本アプリはプライバシー保護を設計理念とし、ユーザーの位置情報、閲覧履歴、行動パターンなどを意図的に収集・分析していません
9. クッキーおよび追跡技術
本アプリはクッキー、Web追跡ピクセル、その他の追跡技術を使用していません。ユーザーの行動を監視または追跡することはありません。
10. 分析・改善
本アプリは、Firebase等のサードパーティ製ログ収集SDKを使用していません。ただし、iOS/Androidの標準機能により、個人を特定しない統計データやクラッシュレポートを開発者が参照する場合があります。これらは端末内に保存され、ユーザーの同意なしに外部に送信されることはありません。
11. 子どもの情報
本アプリは個人・家族向けであり、親・保護者が子どもの記録(例:子どもの食事体験)をメンバーとして追加できます。親・保護者は、子どもに関連するデータの管理責任を負います。
本アプリを未成年者が利用する場合、保護者または法定代理人の同意を得たうえで利用してください。詳細は利用規約第3条3-3を参照してください。
12. ユーザーの権利
ユーザーは以下の権利を有します:
- アクセス権:自分のデータにアクセスし、確認する権利
- 削除権:自分のデータを削除する権利
- ポータビリティ:自分のデータをエクスポートする権利
これらの権利を行使したい場合は、本ポリシーの「お問い合わせ」セクションでご連絡ください。
EEA(欧州経済領域)ユーザー向け:GDPRの個人情報保護権
EEA のユーザーは、GDPR に基づき、以下の追加的な権利を有します:
- GDPR 第 15 条:アクセス権 — 自分のデータがどのように処理されているかを確認する権利
- GDPR 第 17 条:削除権(「忘れられる権利」) — 自分のデータを削除させる権利(当社のシステムでのみ削除可能。Google のサーバー上での削除は Google のポリシーに従います)
- GDPR 第 18 条:処理制限権 — データ処理の制限を要求する権利
- GDPR 第 21 条:異議申し立て権 — データ処理に対して異議を唱える権利
- GDPR 第 20 条:データポータビリティ — 自分のデータを構造化された機械可読形式で取得する権利
権利行使の手続き:これらの権利を行使したい場合は、第 14 条に記載のお問い合わせフォームからご連絡ください。当社は、リクエスト受領後 30 日以内に対応いたします。
13. ポリシーの変更
本ポリシーは予告なく更新される場合があります。重大な変更がある場合、アプリ内で通知するか、新しいポリシーへの同意をリクエストします。本ポリシーの最新版は、本アプリの設定画面または開発者Webサイトで常に利用可能です。
14. お問い合わせ
本ポリシーまたは本アプリのプライバシー慣行についてご質問がある場合、以下のお問い合わせフォームからご連絡ください。
- フォーム: https://forms.gle/txtkW8rJR2xeaCEu9
- 公式ウェブサイト: https://myreview.app
- 返信予定期間: 10 営業日以内(GDPR に基づく権利行使は 30 日以内)
GDPR対応:EUデータ保護代理人について
本アプリの開発者は日本に所在し、EU 域内に拠点を有していません。GDPR 第27条に基づき、現在以下の方針で対応しています:
- 当面の対応(ユーザー数が少ない段階):上記のお問い合わせフォームにて一括して問い合わせを受け付けます。すべてのリクエストに対して、誠実かつ迅速に(30日以内)対応します
- 将来の対応(ユーザー数が増加した場合):GDPR 第27条に基づく公式な EU データ保護代理人の選任を検討します
- 現在の連絡先:すべての GDPR 権利行使リクエスト(アクセス権・削除権・ポータビリティ等)は、上記のお問い合わせフォームにお送りください。日本時間で営業日に対応いたします
当社は、EU ユーザーのプライバシー権を尊重し、GDPR の要求に最大限対応することをお約束します。
15. 準拠法・管轄裁判所
本ポリシーおよび本アプリに関する一切の事項について、日本法を準拠法とします。
本ポリシーに関する一切の紛争については、当社の本店所在地を管轄する地方裁判所(当事者の請求により簡易裁判所)を第一審の専属的合意管轄裁判所とします。当社の本店所在地が大阪のため、実質的には大阪地方裁判所(または大阪簡易裁判所)となります。
EEA ユーザーへの法的補足
EEA ユーザーが GDPR に基づいて当社を訴える場合、以下の選択肢があります:
- EU 域内の消費者の住所地管轄裁判所
- 当社の営業所所在地の管轄裁判所(日本・大阪)
- EU 域内の当社支店の所在地管轄裁判所(該当する場合)
ただし、本訴訟条項は GDPR 第 79 条の個人の権利を侵害しません。
16. 言語・版管理
本ポリシーの公式言語は日本語です。英語版など他言語版が存在する場合、解釈上の不明確さが生じた場合は日本語版が優先します。本ポリシーの最新版は、本アプリの設定画面および開発者Webサイトで常に確認できます。
改訂履歴
| バージョン | 改訂日 | 主な変更 |
|---|---|---|
| 1.0 | 2026-04-05 | 初版公開(法務対応版) |
| 1.1 | 2026-04-06 | GDPR対応:DPA・SCC説明追加、国際データ転移明記、EUユーザー権利明記 |
| 1.2 | 2026-04-06 | レビュー指摘対応:要配慮情報の警告追加、OS標準バックアップの注釈追加、EU代理人方針明記 |
| 1.3 | 2026-04-16 | AI送信データの記述を実態に合わせ修正:送信項目の整理および「送信されないデータ」の明示化 |