Nomicho プライバシーポリシー
事業者: 橋本クリス(個人事業主) 屋号: Nomicho(のみちょう / 飲み帳) 所在地: ご請求があった場合に遅滞なく開示します(support@nomicho.jp までご連絡ください) お問い合わせ: support@nomicho.jp 制定日: 2026年6月11日 最終更新日: 2026年6月11日 バージョン: 1.0
1. はじめに
Nomicho(以下「本アプリ」)は、利用者ご自身の飲酒の記録・ふりかえり・体調予測を支援するパーソナル・ジャーナルアプリです。本ポリシーは、橋本クリス(以下「当方」)が本アプリの提供にあたり取り扱う個人情報の内容、目的、保管場所、第三者への提供、利用者の権利について定めるものです。
本アプリは記録とふりかえりのための道具です。医療機器ではなく、医療上の助言・診断・治療を行うものではなく、酩酊状態その他の疾病・状態を測定・診断・監視するものでもありません(詳細は利用規約 §4.2・§4.3 をご参照ください)。
本ポリシーは個人情報の保護に関する法律(以下「法」といいます)に準拠しています。
2. 取得する情報
本アプリが取得する情報は、利用目的ごとに以下の通りです。
2.1 端末内に保管される情報(必須)
本アプリの基本機能の提供に必要であり、端末内のローカルデータベース(SQLite)に保管されます。同期を有効にしない限り、端末外には送信されません。
- 生年月日 — 血中アルコール濃度(BAC)の推定の年齢補正に使用します。BAC プロフィールの登録時に取得します(初回起動時には取得しません)。
- 体重・性別 — 濃度の推定の係数(男性/女性で異なる)として用います。戸籍上の性別を確認するものではなく、ご自身の飲酒時の身体反応に近いと感じる側をご登録ください。
- 身長・赤くなりやすさ・飲む頻度 — いずれも濃度の推定の係数として、BAC プロフィールの登録時に取得します。
- 飲酒記録 — 飲み物の種類、量、アルコール度数、記録時刻、セッション情報、任意のメモ・気分タグ。
要配慮個人情報には該当しません。 上記の飲酒記録および BAC プロフィールの各項目(赤くなりやすさを含む)は、いずれも利用者ご自身が記録する生活情報であり、病歴・診断結果その他の法第 2 条第 3 項に定める要配慮個人情報には該当しません。したがって、要配慮個人情報の取得時同意(法第 20 条第 2 項)は適用されず、これらのデータを AI 事業者へ送信することもありません。
2.2 サインイン時に取得されるアカウント情報
サインインは任意です。アカウントがなくても本アプリのすべての機能をご利用いただけます。サインインは、データをアカウントに紐づけて複数の端末間で同期できるようにするために行います(同期そのものは、これとは別の任意設定です。「設定 → 同期」をご覧ください)。同期を有効にしていない場合でも、サインインを行うと認証サービス上にアカウント情報が作成されます。
サインインの方法は3種類あり、取得・保管する情報はご利用の方法によって異なります。
- Sign in with Apple — Apple が発行する固定の利用者識別子と、Apple から返されるメールアドレス。「メールを非公開」を選択された場合、当該アドレスは
@privaterelay.appleid.comのリレーアドレスとなります。受領したまま保管し、元のアドレスへの変換は行いません(また、行うこともできません)。表示名は Apple の仕様により、初回サインイン時にのみ提供されます。 - Google サインイン — Google が発行する固定の利用者識別子、確認済みの Google メールアドレス、表示名。
- LINE サインイン — LINE が本アプリ専用に発行する識別子(それ自体からは氏名等の個人情報を読み取れない文字列で、本アプリ以外では利用者の特定に使えません)と、許可いただいた場合の LINE 表示名。LINE にメールアドレスは要求していないため、LINE のメールアドレスは保管しません。また、LINE のアクセストークンも保管しません。本サインインは本人確認のみを行い、LINE への追加の API 呼び出しは行いません。
保管形態 — サインインのアカウント情報は、認証基盤(Supabase Auth)が管理します。メールアドレスはサインイン処理そのものに必要なため、ハッシュ化せず平文で保管します。Apple のリレーアドレスも受領したまま保管します。端末内にも同じ項目(サインイン方法、その方法の利用者識別子、表示名、提供された場合はメールアドレス)の控えを保持し、オフラインでもアカウント画面を表示できるようにしています。
1つのアカウントに複数のサインイン方法 — 「設定 → アカウント」から、複数のサインイン方法(例:Apple と LINE)を1つの Nomicho アカウントに連携できます。連携した方法は、同じアカウント・同じデータを共有します。新しい端末で本アプリをご利用になる場合は、連携したすべての方法でサインインすることで、いずれの方法で記録したデータもまとめて引き継げます。
- 同期されたデータ — 同期を有効にした場合、上記2.1の情報のうち、利用者が同期対象とした範囲。
2.3 任意で送信される情報(オプトアウト可能)
以下は既定で有効ですが、設定画面から個別にオプトアウトできます。
- クラッシュ報告(Sentry) — アプリがクラッシュした際の技術ログ(OS バージョン、スタックトレース、匿名利用者 ID)。飲酒データは送信されません。
- 匿名利用統計(PostHog) — 画面遷移・ボタン押下などの匿名化されたイベントログ。飲酒内容や個人を特定する情報は送信されません。
2.4 識別子・端末情報について
§2.3 のクラッシュ報告(Sentry)および匿名利用統計(PostHog)が有効になっている場合(既定で有効)、各サービスは端末ごとに固有の擬似匿名識別子を発行します。これらの識別子は個人を直接特定するものではなく、個人情報保護法(令和 4 年改正)上の「個人関連情報」に該当します。
- これらの識別子は、利用者をクラッシュ報告・利用統計上で識別する目的にのみ使用されます。
- Sentry および PostHog は、§2.2 のアカウント識別情報や飲酒記録の送信を受けません。そのためサーバ側でも本識別子と当該情報の結合は発生しません。
- 各サービスを設定画面で無効化(オプトアウト)し、アプリの再インストール等を行うことで、新しい識別子が発行されます。
なお、本アプリは Cookie を使用しません。Sentry および PostHog の SDK は、上記の識別子を端末ローカルストレージに保存します。
2.5 取得しない情報
本アプリは以下を取得しません。
- 連絡先・電話帳・SMS の内容
- マイク録音
- 写真(カメラはバーコード(JAN/EAN)の読み取りにのみ使用し、写真の撮影・保存は行いません)
- 位置情報・GPS(終電アラートは、提供される場合も、利用者が選んだ駅をもとに動作し、端末の位置情報は使用しません)
- 同期を有効にしていない場合のいかなるサーバー側データ
2.6 送信されたフィードバック(任意)
設定 →「フィードバック」から送信した場合、入力されたメッセージと、任意で入力された種類・連絡先メールアドレスを取得します。あわせて、アプリのバージョン・言語設定・端末ごとの識別子を取得します。フィードバックの送信は利用者ご自身による明示的な操作であるため、これらの情報は同期をオフにしている場合でも送信されます。取得した情報は、連絡先をいただいた場合の返信と、本アプリの改善のためにのみ利用します。
3. 利用目的
取得した情報は、以下の目的のためにのみ利用します。
- 本アプリの基本機能の提供 — 飲酒記録の保存、血中アルコール濃度の推定、ふりかえりカードの生成、カレンダー表示。
- AI 機能の提供 — セッションデータからのふりかえりカードのテキスト生成(後述 §5)。
- クラウド同期(任意) — 利用者が明示的に有効化した場合のみ、複数端末間でのデータ同期。
- 障害対応・改善 — クラッシュ報告と匿名利用統計に基づく不具合修正・機能改善。
- フィードバック対応・改善 — 送信されたフィードバックへの返信、およびそれに基づく本アプリの改善。
- 法令対応 — 法令に基づく義務的な要請への対応。
当方は取得した情報を上記以外の目的では利用しません。 特に、本アプリで取得した情報を広告配信、第三者へのマーケティング目的での提供、または他のサービスへの転用を行うことはありません。
4. 情報の保管場所
4.1 ローカル保管(既定)
すべての飲酒記録・身体情報は、既定では利用者の端末内のみに保管されます。当方を含むいかなる外部からもアクセスできません。
サインアウトしても、この端末のデータはそのまま残ります。使わなくなった端末からデータを削除したい場合は、その端末でサインインしてアカウントを削除するか、アプリを削除してください。クラウドに同期されたデータ(同期を有効にしている場合)はサインアウトの影響を受けません。同じ端末や別の端末でサインインすればそのまま使え、アカウント削除を行えばクラウド側のデータも削除されます。
- 60日間使われていないアカウントデータの自動削除: あるアカウントでサインインしたあと、そのアカウントで60日間本アプリを開かなかった場合、当該アカウントの端末内の記録は削除されます。クラウドに同期済みのデータは影響を受けず、次回のサインイン時に再取得されます。まだクラウドに同期されていないデータは復元できません。サインアウトした状態で記録されたデータは対象外で、アプリを削除するまで端末に残ります。
4.2 クラウド保管(任意・同期有効時のみ)
利用者が同期を有効にした場合、対象データは以下に保管されます。
- Supabase Postgres(東京リージョン /
ap-northeast-1/ Pro プラン)— 飲酒記録・身体情報・セッション情報。Row-Level Security により、各利用者は自分のデータにのみアクセスできます。
Supabase は米国 Supabase, Inc. が提供するサービスですが、本アプリのデータは東京リージョンに物理的に保管されます。米国本社からのアクセスはデータ処理契約(DPA)の規定に基づき管理されています。なお、契約相手は米国法人であるため、本サービスは法第 28 条上の越境移転に該当します(詳細は §5.3)。
5. 第三者への提供
5.1 業務委託先
当方は、委託先に対し、法第 25 条に基づく必要かつ適切な監督を行います。
| 委託先 | 用途 | 送信される情報 | 保持期間 |
|---|---|---|---|
| Anthropic, PBC(米国) | ふりかえりカードのテキスト生成 | セッションの集計値のみ(杯数、純アルコール量の合計、カテゴリ別杯数、ピーク時の気分、滞在時間、任意の二日酔い推定)。写真・自由記述のメモ・プロフィール/身体情報は送信しません。 | Anthropic 社とのゼロデータ保持(ZDR)契約に基づき、これらの API の入力および出力は、処理後に Anthropic 社に保持されません。 |
| Supabase, Inc.(米国本社、データは東京リージョン) | 同期データの保管 | §2.2 の同期対象情報 | アカウント有効期間中(解除時に消去) |
| Sentry(米国) | クラッシュ報告 | OS 情報、スタックトレース、匿名 ID | 30 日間 |
| PostHog(EU) | 匿名利用統計 | イベントログ | 1 年間 |
Sentry および PostHog は既定で有効ですが、設定画面から個別にオプトアウトできます。
Anthropic への送信は当方が運用する Supabase Edge Function プロキシを経由します。 利用者の端末から直接 Anthropic の API に通信することはありません。プロキシはレート制限、利用上限、端末認証(App Attest(iOS))を行います。
5.2 第三者提供
当方は、以下の場合を除き、利用者の同意なく第三者に個人情報を提供しません。
- 法令に基づく場合(裁判所・捜査機関からの正式な要請等)
- 人の生命・身体・財産の保護のために必要であり、利用者の同意を得ることが困難である場合
広告事業者・データブローカー・マーケティング目的の第三者への提供は一切行いません。
5.3 国外にある第三者への提供(個人データの越境移転)
§5.1 に記載のとおり、一部の業務委託先は外国に所在します。米国は、個人情報保護委員会規則で定める「我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」(以下「十分性認定国」といいます)には該当しないため、米国所在の委託先への提供については、法第 28 条および同法施行規則に基づき、以下の情報を提供します。EU は十分性認定国に該当するため、EU 所在の委託先については追加の開示を要しません(参考として下表に併記します)。
移転先国の制度の概要(米国)
米国には個人情報保護を一般的に規律する連邦法は存在せず、州法(カリフォルニア州 CCPA/CPRA 等)および分野別の連邦法(HIPAA、GLBA、COPPA 等)の組み合わせによって規律されます。連邦取引委員会(FTC)が不公正・欺瞞的取引慣行の枠組みでプライバシー実務を執行します。米国当局は CLOUD 法等に基づき、米国法人が保有するデータへのアクセスを求める場合があります。
各委託先における保護措置
| 委託先 | 移転先国 | 講じている保護措置 |
|---|---|---|
| Anthropic, PBC | 米国 | データ処理契約(DPA)およびゼロデータ保持(ZDR)契約。API の入力・出力は処理後に保持されません。 |
| Supabase, Inc. | 米国(本社所在地)/日本(データ保管地) | データ処理契約(DPA)。物理的なデータ保管は東京リージョンですが、契約相手は米国法人(Supabase, Inc.)であるため、法第 28 条上は外国にある第三者への提供に該当します。米国本社からのアクセスは DPA に定める範囲に限定。Row-Level Security による論理的分離。 |
| Sentry | 米国 | データ処理契約(DPA)。既定で有効。利用者は設定画面からいつでも無効化(オプトアウト)できます。 |
| PostHog | EU | 契約相手は PostHog B.V.(オランダ)。個人情報保護委員会規則上の十分性認定国に所在。データ処理契約(DPA)。既定で有効。利用者は設定画面からいつでも無効化(オプトアウト)できます。 |
各委託先における保護措置の詳細について情報提供をご希望の場合は、§10 のお問い合わせ先までご連絡ください。本人の求めに応じて当該情報を提供いたします。
6. 利用者の権利
利用者は以下の権利を有します。
- データのエクスポート — アプリ内の「設定 → データのエクスポート」から、利用者が記録したデータ(飲酒記録、セッション、気分チェックイン、カスタムプリセット、BAC プロフィール、同意記録)を JSON 形式でダウンロードできます。初回リリース時より提供します。
- 個別記録の編集・削除 — 飲酒記録・メモは個別に編集・削除できます。
- アカウントの削除 — アプリ内の「設定 → アカウントを削除」から削除できます。端末上のデータは即時に削除されます。クラウド上のデータは、障害復旧用のバックアップやレプリカに一時的に残存するため、これらを含めた完全削除は遅くとも 30 日以内に完了します。なお、認証プロバイダ(Apple、Google または LINE)が保有するアカウント識別子は、各社のポリシーに従って管理されます。
- オプトアウト — クラッシュ報告(Sentry)および匿名利用統計(PostHog)は設定画面からいつでも個別に無効化できます。
- 開示・訂正・利用停止の請求 — 個人情報保護法に基づき、保有個人データの利用目的の通知(法第 32 条)、開示(法第 33 条)、訂正・追加・削除(法第 34 条)、ならびに法第 35 条に定める事由(不正取得、目的外利用、不適正利用、保有の必要性消滅、漏えい等のおそれ、権利利益侵害のおそれ等)に基づく利用停止、消去、第三者提供の停止を請求できます。§10 のお問い合わせ先にご連絡ください。
請求の方法と本人確認 — 上記各請求は、§10 のお問い合わせ先(support@nomicho.jp)までメールでご連絡ください。本人確認のため、ご登録のメールアドレスからのご連絡、または対象データを特定するに足るアカウント識別子その他の情報をご提供いただく場合があります。請求は無料で受け付けます。回答は合理的な期間内(通常 2 週間以内)に書面(電子メールを含む)または口頭にて行います。
7. 漏えい時の対応
利用者の個人情報の漏えい等のうち、個人情報保護委員会規則で定める報告対象事態に該当するものが発生した場合、当方は次の対応を行います。
- 個人情報保護委員会への報告 — 速報を速やかに(概ね 3〜5 日以内)、確報を原則 30 日以内(不正アクセス等による場合は 60 日以内)に行います。漏えい等が高度な暗号化その他の高度な措置により実質的にリスクが生じないと認められ、かつ復号鍵が漏えいしていない等の場合は除きます。
- 影響を受けた利用者への通知 — 影響範囲が判明次第、アプリ内通知またはご登録のメールアドレス宛にご連絡します。
8. 安全管理措置
- ローカル優先設計 — 大半のデータは端末から外に出ません。
- 暗号化 — 同期データは Supabase との通信および保管時に暗号化されます。
- Row-Level Security — 各利用者は自分のデータにのみアクセスできるよう、サーバー側で強制されます。
- AI API の間接アクセス — クライアントから直接 Anthropic の API キーを使用せず、当方が運用する Supabase Edge Function プロキシを経由します。
- 利用上限と端末認証 — レート制限、1 日あたりの利用上限、および App Attest(iOS)による端末認証を実施します。
- API キーのローテーション — API キーは定期的にローテーションします。
9. 20歳未満の方の利用について
本アプリの利用は満 20 歳以上に限られます(日本の飲酒可能年齢)。初回起動時の利用規約への同意をもって、利用者は自身が満 20 歳以上であることを表明したものとみなされます。20 歳未満の方は本アプリを利用しないでください。
10. お問い合わせ
本ポリシー、または個人情報の取り扱いに関するご質問・ご請求は、以下の連絡先までお願いします。
- メール: support@nomicho.jp
- 事業者: 橋本クリス(個人事業主)
合理的な期間内(通常 2 週間以内)に回答いたします。
なお、当方は認定個人情報保護団体に加入していません。
11. ポリシーの変更
本ポリシーは、法令変更、機能追加、運営体制の変更等に応じて改定されることがあります。重要な変更がある場合は、原則として施行日の 30 日前までに、アプリ内通知または(同期を有効にされている場合は)登録メールアドレス宛にお知らせします。改定履歴は §12 をご参照ください。
12. 改定履歴
| 版 | 日付 | 概要 |
|---|---|---|
| 1.0-draft | 2026年4月29日 | Week 0 下書き作成。JP-native レビューは Week 8 予定。 |
| 1.1-draft | 2026年5月28日 | §4.1 を更新:サインアウト後もこの端末のデータが残ること、削除はアカウント削除またはアプリ削除で行うことを明記。 |
| 1.2-draft | 2026年5月28日 | §4.1 に追記:60日間使われていないアカウントデータの自動削除(NOM-232)。 |
| 1.3-draft | 2026年5月29日 | 認証実装の確定にともない §2.2 を確定:サインイン方法ごとの取得項目(Apple/Google/LINE)、保管形態、LINE はメール・トークンを保管しないこと、1アカウントに複数のサインイン方法を明記。取得の契機を「同期」から「サインイン」へ拡大(NOM-30)。 |
| 1.4-draft | 2026年6月4日 | アプリ内フィードバック機能の追加にともない §2.6(取得する情報)と §3(利用目的)を追記(NOM-259)。 |
| 1.5-draft | 2026年6月11日 | 実装との整合(NOM-41):§2.1 の位置情報取得の記載を削除(位置情報は取得せず、終電アラートは利用者が選んだ駅を用いる)し、§2.5 に位置情報を取得しない旨を明記。§6 のエクスポート範囲を利用者が記録したデータに限定。§5.1/§8 の Android(Play Integrity)への将来言及を削除(v1 は iOS のみ)。所在地のプレースホルダを特商法/APPI の請求時開示の形式(請求があれば遅滞なく開示。Week 8 の法務レビューで確定)に置き換え。 |
| 1.6-draft | 2026年6月11日 | 法務レビュー反映:v1 に存在しない写真 AI 認識(飲み物識別・メニュー OCR)の記載を §2.1/§3/§5.1 から削除し、写真を AI 事業者へ送信しない旨を明記。§5.1 に実際の送信内容(集計値のみ)を明記。§2.1 に未記載だった BAC プロフィール項目(身長・赤くなりやすさ・飲む頻度)を追加。要配慮個人情報(法2(3))に該当しない旨を明記。§1 の非医療の記載を利用規約 §4.2・§4.3 と整合。 |
| 1.7-draft | 2026年6月11日 | 法務レビュー反映(続き):v1 には写真の撮影・保管がないため、§2.1 の写真項目と §4.2 の Supabase Storage の記載を削除(Supabase Storage は未使用。同期時に photo_url を除外)し、§2.3/§4.1 の写真への言及を整理、§2.5 に写真を取得しない旨(カメラはバーコード読み取りのみ)を追記。§5.1/§5.3 を、締結済みの Anthropic ゼロデータ保持(ZDR)契約を反映する内容に更新。 |
| 1.8-draft | 2026年6月11日 | JP レビュー反映:§2.1/§3 の消費者向け本文で生の「BAC」を「血中アルコール濃度」/「濃度」に整理(語彙ルール)。§2.1 の要配慮の記載の係り受けを明確化。§5.3 で「十分性認定国」の略称を定義し用語を統一。 |
| 1.0 | 2026年6月11日 | v1 公開版として確定(下書き表記を解除)。上記の 1.x-draft は公開前の起草履歴です。 |