DAYLAB(以下“当社”)は、mentalogサービス(以下“本サービス”)のユーザーのプライバシーを尊重し、 韓国個人情報保護法(PIPA)、EU一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法(CCPA) などの関連法令を遵守します。本ポリシーでは、当社が収集する個人情報の項目、収集目的、処理の法的根拠、 保持期間、およびユーザーの権利について説明します。
1. 収集する個人情報および法的根拠
A. 会員登録時(必須)
| 項目 | 法的根拠 |
|---|---|
| メールアドレス | 契約の履行(サービス提供) |
| 氏名(ニックネーム) | 契約の履行 |
| ソーシャルログイン識別子(Google UID / Apple UID) | 契約の履行 |
GoogleまたはAppleのサインインを通じて収集します。パスワードは収集しません。
B. サービス利用時
| 項目 | 法的根拠 |
|---|---|
| 気分チェックインデータ(気分スコア、感情・状態・活動タグ、メモ、タイムスタンプ) | 明示的な同意 |
| アプリ設定(通知時間、言語) | 契約の履行 |
| デバイス情報(OS、アプリバージョン、デバイス言語) | 正当な利益(サービスの安定性) |
C. 有料サブスクリプション
- 当社は決済情報(カード番号等)を直接収集しません。
- 決済はApple App StoreまたはGoogle Play Storeが処理し、サブスクリプション状況およびレシートトークンはRevenueCatを通じて管理されます。
2. 健康関連の機密データ
本サービスで記録される気分、感情、状態のデータは、ユーザーが自発的に入力する主観的な記録です。 このデータはGDPR上“健康に関するデータ”(特別カテゴリーデータ)に分類される可能性があるため、 当社はユーザーの明示的な同意(GDPR第9条第2項(a))に基づいて処理します。 ユーザーは最初のチェックイン記録時に、健康データの収集について個別の明示的な同意を提供します。この同意はいつでも撤回できます。
PHQ-9、GAD-7、ASRMスコアはタグデータに基づく統計的推定値であり、 医学的診断ではありません。本サービスは医療サービスではなく、専門的な医療アドバイスに代わるものではありません。
3. 処理の目的
- サービス提供: 気分チェックインの記録、カレンダー、レポート、パターン分析
- アカウント管理: ユーザー識別、ログインセッション
- 通知: 毎日のリマインダープッシュ通知(FCM)
- サービス改善: 非識別化された利用統計の分析
- 広告: 無料ユーザー向けパーソナライズド広告(AdMob)
- カスタマーサポート: お問い合わせ対応、アカウント問題の解決
4. クッキーおよびトラッキング技術
- Google AdMob: 無料ユーザーに広告を配信するために広告識別子(IDFA/GAID)を使用します。iOSでは、トラッキング前にApple'sのApp Tracking Transparency(ATT)フレームワークに従い同意を求めます。
- Firebase Analytics: サービス改善のために非識別化された利用統計(画面閲覧、機能使用頻度など)を収集します。アプリ設定で分析データの収集をオプトアウトできます。
- Webクッキー: 当社のウェブサイトでは必須クッキー(セッション維持)のみ使用します。
5. データの保持期間
| 区分 | 保持期間 |
|---|---|
| アクティブ会員 | 会員資格の維持期間 |
| アカウント削除時 | 即時削除(チェックインデータ、プロフィールを含む) |
| 12ヶ月以上未使用 | メールで事前通知後、休眠処理。30日後に削除 |
| 決済記録 | 5年間(韓国電子商取引法に基づく) |
| アプリ使用ログ | 非識別化後、統計目的でのみ保持 |
6. 第三者への提供
当社は、ユーザーの同意なく個人情報を第三者に提供しません。ただし、以下の場合は例外となります:
- ユーザーが事前に同意した場合
- 法令により要求される場合
7. データ処理委託先および国際移転
以下のサービスプロバイダーを利用しており、これによりユーザーのデータが米国のサーバーに 移転される場合があります。各プロバイダーはSOC 2、ISO 27001または同等の認証を取得しており、 EU標準契約条項(SCC)に準じた保護措置を適用しています。
| プロバイダー | 目的 | 国 |
|---|---|---|
| Google (Firebase Auth, Firestore) | 認証、データ保存 | 米国 |
| Google (AdMob) | 広告配信(無料ユーザー) | 米国 |
| Google (FCM) | プッシュ通知 | 米国 |
| RevenueCat | サブスクリプション管理 | 米国 |
8. ユーザーの権利
ユーザーはいつでも以下の権利を行使できます:
- アクセス権: アプリ内でチェックインデータを閲覧
- 訂正権: チェックイン記録の編集
- 削除権: 設定 → アカウント削除からすべてのデータを削除
- ポータビリティ権: アプリ設定からCSV形式でデータをエクスポート(無料)
- 処理制限権: メールで処理制限を要求
- 同意の撤回: アプリ設定で個別の同意項目(広告パーソナライズ、分析データ収集など)を選択的に撤回するか、アカウント退会によりすべての同意を一括撤回
- 自動化された意思決定: 本サービスは自動化された意思決定またはプロファイリングを行いません
EEA居住者の方(GDPR)
EEA居住者は、監督機関に苦情を申し立てる権利もあります。 権利行使のご要望は contact@daylab.dev までご連絡ください。30日以内に回答いたします。
カリフォルニア州居住者の方(CCPA)
カリフォルニア州居住者は、収集された個人情報の開示要求、データの削除要求、 および個人情報の共有のオプトアウトを行うことができます。当社はユーザーの個人情報を金銭的対価を得て販売しません。 ただし、無料ユーザーの場合、AdMobを通じたパーソナライズド広告の配信過程で広告識別子が広告パートナーと 共有される場合があり、これはCCPA上の“共有(sharing)”に該当する可能性があります。 アプリ設定でパーソナライズド広告をオプトアウトするか、iOSの場合はATT設定で、Androidの場合は デバイス設定 > プライバシー > 広告で広告パーソナライズを無効にできます。 権利行使のご要望は contact@daylab.dev までご連絡ください。45日以内に回答いたします。
韓国居住者の方(PIPA)
権利行使のご要望は contact@daylab.dev までご連絡ください。10日以内に回答いたします。
9. お子様のプライバシー
本サービスはお子様を対象としていません。該当する最低年齢未満のユーザーであることが判明した場合、 速やかにそのアカウントおよびデータを削除します。
| 適用法 | 最低年齢 |
|---|---|
| 韓国(PIPA) | 14歳未満 |
| 米国(COPPA) | 13歳未満 |
| EU(GDPR) | 16歳未満(加盟国により異なる) |
10. データセキュリティ
- 通信の暗号化(TLS 1.2以上)
- Firebaseセキュリティルールによるアクセス制御
- 管理者アカウントの多要素認証(MFA)
- 定期的なセキュリティレビューおよび脆弱性パッチ
11. データ侵害への対応
データ侵害が発生した場合、当社は法令に従い、影響を受けるユーザーに速やかに通知し、 関連する監督機関に報告します。GDPRの適用下では、侵害を認知してから72時間以内に監督機関に報告します。
12. お問い合わせ
- 事業者: DAYLAB(個人事業主)
- 代表: 沈多松
- 所在地: ソウル特別市瑞草区バウモェ路91、1階10,11号-19
- 事業者登録番号: 401-23-55110
- 個人情報保護責任者: 沈多松(代表)
- メール: contact@daylab.dev
お困りの方へ: 🇯🇵 0570-064-556(よりそいホットライン)
13. 準拠法および管轄
本ポリシーは大韓民国の法律に準拠して解釈されます。本ポリシーに関する紛争は、ソウル中央地方裁判所を第一審管轄裁判所とします。 ただし、EEA居住者にはGDPRが、カリフォルニア州居住者にはCCPAが、それぞれ適用される範囲で優先されます。
14. 本ポリシーの変更
本ポリシーが更新される場合、アプリ内通知またはメールにて事前にお知らせいたします。 変更は通知から7日後に効力を生じます。