プライバシーポリシー
本書はドラフトであり、公開前に事業者(RYO)による記入・確認と、必要に応じ専門家のレビューが必要です。
文中の 【要記入: ...】 は、事業者情報など作成者(Claude)が把握していない事項のプレースホルダです。公開前に必ずすべて実値に置き換えてください。
本書は「Flutter Camera」(自撮り撮影・パターン加工・Instagram/X一括投稿アプリ。以下「本サービス」)がFirebase(Google Cloud)・Instagram・X・RevenueCat等を通じて取り扱う個人情報を前提に、docs/requirements.md・docs/design.md の内容(2026年7月時点の設計)に基づき起案しています。実装の変更があった場合は本書も追随して更新してください。
合同会社N.N.(以下「当社」といいます)は、当社が提供するスマートフォンアプリケーション「Flutter Camera」(以下「本サービス」といいます)における利用者(以下「ユーザー」といいます)の個人情報の取扱いについて、以下のとおりプライバシーポリシー(以下「本ポリシー」といいます)を定めます。
第1条(基本方針)
- 当社は、個人情報の保護に関する法律(以下「個人情報保護法」といいます)その他関係法令を遵守し、本サービスの提供にあたって取得する個人情報を適正に取り扱います。
- 当社の事業者情報は以下のとおりです。
| 項目 | 内容 |
| 事業者名(屋号・法人名) | 合同会社N.N. |
| 代表者 | 三浦 亮 |
| 所在地 | 〒273-0866 千葉県船橋市夏見台5-16-34 |
| 連絡先 | info@n-n.tokyo |
| 個人情報保護管理者(該当する場合) | 【要記入: 任意】 |
第2条(取得する情報)
当社は、本サービスの提供にあたり、以下の情報を取得します。
(1) アカウント情報
| 項目 | 内容 | 取得方法 |
| メールアドレス | サインアップ・ログインに使用 | Firebase Authenticationによるメール/パスワード認証 |
| パスワード | ログイン認証に使用。当社はパスワードの平文を保持せず、Firebase Authenticationが管理します | 同上 |
| 電話番号 | SMS認証(電話番号確認)に使用。無料プランでのX投稿機能の利用条件(不正利用対策)としてリンクされます | Firebase Authentication 電話番号認証(SMS) |
| 表示名・プロフィール画像URL | アプリ内表示に使用 | ユーザー入力 |
(2) 撮影・加工した写真・動画データ
- カメラで撮影またはフォトライブラリから取り込んだ写真・動画。
- 写真は端末内でフィルター・フレーム・スタンプ等の加工(以下「パターン加工」といいます)が行われ、加工処理自体は端末内(オンデバイス)で完結します。動画は無加工のまま扱われます。
- ユーザーがSNS投稿を実行した場合に限り、加工後の写真・動画データがFirebase Storage(Google Cloud、東京リージョン〈asia-northeast1〉)にアップロードされ、投稿履歴のサムネイル表示および投稿再試行のために保存されます。
- Instagramへの投稿処理の際は、上記データの複製が一時的な公開領域に作成され、有効期限付きの署名付きURL(有効期限1時間)を通じてのみ外部(Instagram側システム)からアクセス可能な状態になります。この一時複製は投稿処理完了後に速やかに削除され、削除に失敗した場合でも自動クリーンアップ処理(1時間毎)およびストレージのライフサイクルルール(最長1日)により確実に削除されます。
(3) SNS連携情報
- Instagram(プロアカウント〈Business/Creatorアカウント〉に限る)およびX(旧Twitter)のアカウント連携状態(連携先ユーザー名・アカウント種別・連携日時・スコープ等)。
- Instagram・XそれぞれのOAuthアクセストークン(および該当する場合はリフレッシュトークン)。これらのトークンは平文では保存されず、Cloud KMSにより暗号化された状態でサーバー側にのみ保存され、ユーザーの端末には一切送信されません。
(4) 端末識別子(不正利用対策)
- iOSの
identifierForVendor、Androidの ANDROID_ID(SSAID)相当の端末識別子。
- 上記識別子は当社サーバーで一方向のハッシュ関数(ソルト付与)により変換されたうえで保存され、生の識別子は保存・ログ出力されません。
- 利用目的は無料プランのSNS投稿枠に関する多重登録・不正利用の防止に限定され、広告識別子(IDFA等)としては使用しません。
(5) 課金・購入情報
- ご利用中のプラン(無料/Light/Pro)、トライアル状況、購入した消費型クレジット(X投稿追加パック)の残高、購入商品ID・取引ID等。
- これらは決済代行事業者RevenueCat, Inc.を通じて管理され、クレジットカード番号等の実際の決済手段情報は当社・RevenueCatいずれも保有せず、Apple Inc.(App Store)またはGoogle LLC(Google Play)が管理します。
(6) 利用状況データ
- SNSごとの投稿回数・投稿成功/失敗ステータス、月間・日次のX投稿利用枠の消費状況、よく使うパターンのランキング等の統計情報。
(7) 端末・アプリの正当性確認情報
- Firebase App Check(iOS: App Attest/DeviceCheck、Android: Play Integrity API)による、正規のアプリ・正規の端末からのアクセスであることを確認するための情報。個人を特定する情報ではなく、不正なクライアント・自動化ツールからのアクセスを排除する目的で使用します。
(8) プッシュ通知トークン(任意)
- ユーザーが通知の許可を行った場合、公式パターン配信のお知らせ等を送信するため、Firebase Cloud Messagingが管理する通知トークンを利用します。許可しない場合でも本サービスの主要機能は利用できます。
第3条(利用目的)
取得した情報は、以下の目的の範囲内で利用します。
| 情報 | 利用目的 |
| アカウント情報(メールアドレス・パスワード・電話番号) | 本人認証、アカウント管理、無料プランにおけるSNS投稿枠の不正利用防止(電話番号) |
| 写真・動画データ | パターン加工結果のプレビュー・保存、SNS(Instagram/X)への投稿代行、投稿履歴の表示 |
| SNS連携情報・OAuthトークン | Instagram/Xへの投稿処理の代行(当社サーバーがユーザーに代わってAPIを呼び出すため) |
| 端末識別子(ハッシュ化済み) | 無料プランの投稿枠に関する多重登録・不正利用の検知・防止 |
| 課金・購入情報 | プラン・クレジット残高の管理、課金機能の提供、問い合わせ対応 |
| 利用状況データ | 投稿枠の残数表示、成果ダッシュボードの表示、サービス品質の維持・改善 |
| 端末・アプリ正当性確認情報 | 不正クライアントからのアクセス遮断によるサービスの安全性確保 |
| プッシュ通知トークン | ユーザーが許可した場合の通知配信 |
当社は、取得した個人情報を、あらかじめユーザーの同意を得ることなく、上記利用目的の達成に必要な範囲を超えて利用しません。
第4条(保存先・保存期間)
- 本サービスが取り扱うデータは、Firebase(Google Cloud Platform)の東京リージョン(asia-northeast1)に設置されたサーバー上のFirestore(データベース)およびCloud Storageに保存されます。
- 保存期間の目安は以下のとおりです。
| データ | 保存期間 |
| アカウント情報・SNS連携情報・写真/動画データ・利用状況データ等 | アカウントが存続する限り保存し、後記「ユーザーの権利」に基づくアカウント削除操作により削除します |
| Instagram投稿用の一時公開データ(署名付きURL経由の複製) | 投稿処理完了後、原則として直ちに削除。最長でも24時間以内に自動削除されます |
| SNS連携のOAuthトークン(暗号化済み) | 連携解除またはアカウント削除まで保存。長期間未使用・失効したトークンは自動的に削除されます |
| 決済処理の冪等化・監査記録(取引ID等、氏名等のプロフィール情報は含みません) | 不正利用調査・決済突合・会計監査等の正当な事業目的のため、アカウント削除後も一定期間保持する場合があります |
- 当社は、法令上保存が義務付けられる場合を除き、利用目的の達成に必要な期間を超えて個人情報を保存しません。
第5条(個人情報の第三者提供)
当社は、以下の事業者に対し、記載の目的の範囲内で個人情報を提供します。
| 提供先 | 提供する情報 | 提供目的 | 位置づけ |
| Google LLC(Firebase / Google Cloud Platform。東京リージョン asia-northeast1) | 本サービスが取り扱う情報全般(アカウント情報、写真・動画データ、暗号化されたSNSトークン、利用状況データ等) | データベース・ストレージ・サーバーレス実行環境(Cloud Functions)等、本サービスの稼働に必要なクラウドインフラの提供 | 当社の指示の範囲内でのみ取り扱われる委託(個人情報保護法第27条第5項第1号)に該当すると整理していますが、透明性の観点から本条に記載しています |
| Meta Platforms, Inc.(Instagram) | ユーザーが投稿を選択した写真・動画、投稿キャプション | ユーザー自身の指示に基づくInstagramへの投稿代行 | 第三者提供。投稿後のデータはMeta社が定めるプライバシーポリシー・利用規約に従って取り扱われます |
| X Corp.(X、旧Twitter) | ユーザーが投稿を選択した写真・動画、投稿キャプション | ユーザー自身の指示に基づくXへの投稿代行 | 第三者提供。投稿後のデータはX社が定めるプライバシーポリシー・利用規約に従って取り扱われます |
| RevenueCat, Inc. | 課金プラン・購入情報(当社が発行する匿名の識別子、購入商品ID、取引ID、プラン状態等) | サブスクリプション状態の管理・決済イベントの同期 | 委託(前記Googleと同様の整理)。RevenueCat社自身が定めるプライバシーポリシーも適用されます |
- Meta社・X社への提供は、ユーザーが本サービスの機能として自らSNS投稿を実行した場合に限られ、当社が任意にユーザーのコンテンツをこれらの事業者に提供することはありません。
- Apple Inc.(App Store)およびGoogle LLC(Google Play)による決済処理については、各ストアが定める条件に基づき、当社が指定した課金情報(購入商品・金額等)が共有されます。実際の決済手段情報(クレジットカード番号等)は各ストアが管理し、当社は保有しません。
- 上記のほか、法令に基づく場合、人の生命・身体・財産の保護のために必要な場合等、個人情報保護法が定める例外に該当する場合を除き、あらかじめユーザーの同意を得ることなく第三者に個人情報を提供しません。
第6条(個人情報の取扱いの委託)
当社は、利用目的の達成に必要な範囲内において、個人情報の取扱いの全部または一部を第三者に委託することがあります。委託先には、前条に記載のGoogle LLC(Firebase/Google Cloud Platform)およびRevenueCat, Inc.が含まれます。当社は、委託先の選定にあたり必要かつ適切な監督を行います。
第7条(安全管理措置)
当社は、取り扱う個人情報の漏えい、滅失またはき損の防止その他の安全管理のため、以下を含む措置を講じています。
- SNSアクセストークンの暗号化: Instagram/Xの連携トークンはCloud KMSによる暗号化を施した上で保存し、平文のトークンはユーザー端末を含むいかなるクライアントにも送信しません。
- アクセス制御: Firestore/Cloud Storageのセキュリティルールにより、ユーザー本人がアクセスできる情報の範囲を限定し、SNSトークン等の機微情報はサーバー(Cloud Functions)経由以外での読み書きを全面的に禁止しています。
- 通信の暗号化: クライアント・サーバー間の通信はTLSにより暗号化されます。
- アプリ正当性の検証: Firebase App Checkにより、正規のアプリ・正規の端末以外からのサーバーアクセスを遮断します。
- 秘密情報の管理: OAuthクライアントシークレット等はSecret Manager等により保護し、モバイルアプリ本体には含めません。
- 一時公開データの限定的な公開: Instagram投稿のために一時的に作成する公開用データは、有効期限付きの署名付きURLを通じてのみアクセス可能とし、投稿処理完了後は速やかに削除します。
第8条(ユーザーの権利)
- アカウント削除: ユーザーは、本サービスのアプリ内(アカウント設定画面)からいつでもアカウント削除を行うことができます。アカウント削除を行うと、投稿履歴・SNS連携情報・パターンデータ・写真動画データ等、当社が保存する当該ユーザーの個人情報は原則として完全に削除されます。ただし、以下は削除の対象外とします。
- 法令上の保存義務がある情報
- 不正利用防止・会計監査等の正当な事業目的のために保持が必要な取引記録(氏名等のプロフィール情報は含みません)
- ストア(Apple/Google)側で管理されているサブスクリプション契約情報(アカウント削除とは別に、ユーザーご自身でOS標準の設定からサブスクリプション解約手続きが必要です)
- 開示・訂正・利用停止等の請求: 個人情報保護法に基づく保有個人データの開示、訂正、利用停止等のご請求は、下記お問い合わせ窓口までご連絡ください。当社所定の方法により、ご本人確認のうえ法令に従い対応します。
お問い合わせ窓口: info@n-n.tokyo
- アカウント削除機能に関するApp Storeの審査基準(Guideline 5.1.1(v))を踏まえ、アプリ内から削除を開始できる導線を提供しています。
第9条(未成年者の利用)
本サービスの利用対象年齢・未成年者利用時の取扱いについては、【要記入: 例「13歳未満のお子様はご利用いただけません」「未成年の方は保護者の同意を得たうえでご利用ください」等、事業方針に応じた記載】としてください。
第10条(プライバシーポリシーの改定)
- 当社は、法令の変更、事業内容の変更その他の事情により、本ポリシーを改定することがあります。
- 重要な変更を行う場合には、本サービス内での通知またはその他適切な方法により、事前にユーザーに周知します。
- 改定後のプライバシーポリシーは、当社所定の方法で公表した時点から効力を生じるものとします。
第11条(お問い合わせ窓口)
本ポリシーに関するお問い合わせは、下記までご連絡ください。
- 事業者名: 合同会社N.N.
- 連絡先: info@n-n.tokyo