Maptint プライバシーポリシー

最終更新: [LAST_UPDATED]

合同会社 Coyote and Powell (以下「当社」といいます) は、当社が提供するモバイルアプリケーション「Maptint」(以下「本サービス」といいます) における個人情報および個人データ (以下「個人情報」といいます) の取扱いについて、以下のとおりプライバシーポリシー (以下「本ポリシー」といいます) を定めます。

本ポリシーは、日本の個人情報の保護に関する法律 (個人情報保護法)、EU 一般データ保護規則 (GDPR)、米国カリフォルニア州消費者プライバシー法 (CCPA/CPRA) その他適用される法令を踏まえて定めています。

1. 当社のプライバシー方針 (要約)

本サービスは、設計の中心にプライバシーを置いています。以下の原則を遵守します。

正確な GPS 座標を保存しません。訪問記録に保存される座標は、ユーザーが選択した都市の中心座標 (代表点) のみであり、端末の現在地・写真の撮影地点・店舗ピン等の正確な位置情報は当社のサーバーに送信・保存されません。
写真の GPS EXIF 情報は端末からアップロードされません。写真のアップロード前に GPS EXIF 情報をクライアント側で除去します。
広告目的のトラッキングを行いません。本ポリシー策定時点で、当社はユーザーの行動を追跡する第三者にデータを提供していません (Apple App Store プライバシーラベルにおいて “Data Used to Track You” はなし)。

2. 取得する個人情報

当社は、本サービスの提供のために、以下の個人情報を取得します。

2.1 ユーザーが提供する情報

項目	必須/任意	取得タイミング
メールアドレス	必須	アカウント登録時 (Email登録) または Sign in with Apple / Google 経由で取得
表示名 (`display_name`)	必須	プロフィール作成時
ユーザーID (`username`)	必須	プロフィール作成時
プロフィール画像 (アバター)	任意	プロフィール編集時
自己紹介文 (`bio`)	任意	プロフィール編集時
WebサイトURL	任意	プロフィール編集時
訪問記録 (国コード・都市名・都市の中心座標・訪問日・メモ)	機能利用時	ユーザーが訪問記録を作成・編集した時
写真 (訪問記録への添付画像)	任意	ユーザーが訪問記録に写真を添付した時。アップロード前に GPS EXIF 情報を除去します
いいね・友達関係・ブロック・通報のメタデータ	機能利用時	当該機能を利用した時

2.2 自動的に取得する情報

項目	取得タイミング
IPアドレス	本サービスへのアクセス時 (ネットワーク基盤上で自動取得)
デバイス情報 (機種、OS バージョン、言語設定等)	本サービスへのアクセス時
クラッシュ・診断ログ	アプリのエラー発生時 (将来的にクラッシュレポートツールを導入する場合)

2.3 取得しない情報

当社は、以下の情報を 取得しません。

端末の正確な GPS 座標
写真の正確な GPS 座標 (緯度・経度) および raw EXIF データ
連絡先 (アドレス帳)
端末識別子 (IDFA / Android Advertising ID) — ※ 将来広告機能を導入する場合は ATT 同意を得たうえで取得することがあります
決済情報 (クレジットカード番号等。有償機能は Apple IAP / Google Play Billing を通じて提供され、当社は決済情報を一切預かりません)
要配慮個人情報 (人種、信条、社会的身分、病歴、犯罪歴、犯罪被害事実、性的指向、組合所属その他)

2.4 写真の EXIF GPS 情報の特別な扱い

ユーザーが訪問記録に写真を添付する際、当社は、撮影場所の自動推定のために、写真の EXIF GPS 情報を 端末内で一時的に 読み取ることがあります。読み取った緯度経度は、国コードおよび都市名の推定にのみ使用され、推定が完了した後は破棄されます。当社のサーバーには、推定結果である国コード・都市名・都市の中心座標 (代表点) のみが保存され、写真の正確な GPS 座標は一切送信・保存されません。

3. 利用目的

当社は、取得した個人情報を以下の目的のために利用します。

アカウントの認証および本人確認
本サービスの提供 (訪問記録の保存・表示、地図表示、写真の保存・表示等)
友達機能の提供 (検索、リクエスト、閲覧範囲の制御)
お問い合わせへの対応
本サービスの改善、新機能の検討、統計的分析
不正利用の検知・防止、モデレーション (通報・ブロック機能の運用)
本サービスに関する重要なお知らせの配信 (規約改定、障害連絡等)
法令または裁判所その他の公的機関の命令に基づく対応

4. 法的根拠 (GDPR 該当ユーザー向け)

EU 域内に所在するユーザーに対しては、当社は GDPR 第6条に基づき、以下の法的根拠により個人情報を処理します。

処理活動	法的根拠
アカウント登録、本サービス提供	契約の履行 (Art. 6(1)(b))
不正利用の検知・防止、モデレーション	正当な利益 (Art. 6(1)(f))
サービス改善・統計分析 (匿名化されたデータに基づく)	正当な利益 (Art. 6(1)(f))
お知らせ配信 (取引関連)	契約の履行 (Art. 6(1)(b))
法令対応	法的義務の履行 (Art. 6(1)(c))

5. データの保存先および保存期間

5.1 主たる保存先

本サービスのデータベース、認証情報、写真等は、Supabase Inc. が提供する Supabase プラットフォーム上に保存されます。データの主たる保存リージョンは AWS 東京リージョン (ap-northeast-1) であり、データは原則として日本国内のデータセンターに保存されます。

5.2 保存期間

データ種別	保存期間
アカウント情報、プロフィール、訪問記録、写真	アカウント削除まで
バックアップデータ	アカウント削除後 30 日以内に削除
通報データ	不正利用防止・モデレーション運用に必要な範囲で、個人識別情報を匿名化したうえで最大 1 年間保管
アクセスログ・操作ログ	取得から最大 1 年間

6. 第三者提供

当社は、以下のいずれかに該当する場合を除き、ユーザーの個人情報を第三者に提供しません。

ユーザーの同意がある場合
法令に基づく場合
人の生命、身体または財産の保護のために必要な場合であって、本人の同意を得ることが困難であるとき
公衆衛生の向上または児童の健全な育成の推進のために特に必要な場合であって、本人の同意を得ることが困難であるとき
国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合

7. 業務委託 (委託先)

当社は、本サービスの運営に必要な範囲で、以下の事業者に個人情報の取扱いを委託します。委託先に対しては、適切な監督を行います。

委託先	用途	所在国
Supabase Inc.	データベース、認証、ストレージの提供	米国 (ただしデータの保存先は AWS 東京リージョン)
Vercel Inc.	コーポレートサイトおよび関連リソースのホスティング	米国
Apple Inc.	Sign in with Apple、App Store配信、プッシュ通知 (APNs)	米国
Google LLC	Google Sign-In、Google Play配信、プッシュ通知 (FCM)	米国
Mapbox, Inc.	地図タイル・地図機能の提供	米国
GMO インターネットグループ株式会社	ドメイン管理 (お名前.com)	日本

注: 以下のサービスは将来導入する場合に追加で記載されます。導入時には本ポリシーを更新します。 - アナリティクス (例: Firebase Analytics / Google Analytics 4 等) - クラッシュレポート (例: Crashlytics / Sentry 等) - 広告ネットワーク (例: Google AdMob 等) - メール送信 (例: Resend / SendGrid 等。現状はパスワード再設定等のため Supabase Auth 標準のメール送信機能を使用) - AI API (例: OpenAI / Anthropic / Google Gemini 等) - その他の SaaS (お問い合わせフォーム、ヘルプサイト、ステータスページ等)

8. 個人データの海外移転

主たるデータは日本国内 (AWS 東京リージョン) に保存されますが、第7条に記載の一部の委託先 (Supabase, Vercel, Apple, Google, Mapbox 等) のサービス運用過程において、ユーザーの個人情報が以下の地域へ移転されることがあります。

米国: Supabase、Vercel、Apple、Google、Mapbox、(将来導入されるアナリティクス・クラッシュレポート・広告・メール送信・AI API 等)

これらの移転については、本ポリシーへのユーザーの同意をもって、適切な保護措置 (各社の標準契約条項 [SCC]、プライバシーシールドの後継スキーム、または各国法令に基づく十分性認定) のもとで実施されます。EU 域内に所在するユーザーから米国への移転については、ユーザーは EU 圏内と同等のレベルの保護を享受できないリスクがあることを認識したうえで同意するものとします。

9. ユーザーの権利

9.1 すべてのユーザー (個人情報保護法に基づく権利)

ユーザーは、当社が保有する自己の個人情報について、以下の請求を行うことができます。

利用目的の通知の請求
開示の請求
訂正、追加または削除の請求
利用の停止または消去の請求
第三者への提供の停止の請求

請求方法: 以下の連絡先メールアドレスまでご連絡ください。本人確認のうえ、原則として 30 日以内 に対応します。

9.2 EU 域内のユーザー (GDPR に基づく権利)

EU 域内のユーザーは、上記に加え、GDPR に基づき以下の権利を有します。

アクセス権 (Art. 15)
訂正権 (Art. 16)
削除権 / 忘れられる権利 (Art. 17)
処理の制限権 (Art. 18)
データポータビリティ権 (Art. 20) — 当社は機械可読形式 (JSON または CSV) で提供します。アプリ内の自動エクスポート機能は将来追加予定です
異議申立権 (Art. 21)
自動化された意思決定に関する権利 (Art. 22)
監督機関への苦情申立権 (Art. 77)

9.3 カリフォルニア州ユーザー (CCPA/CPRA に基づく権利)

カリフォルニア州の住民であるユーザーは、CCPA/CPRA に基づき以下の権利を有します。

知る権利 (Right to Know): 当社が収集・利用・開示する個人情報の種類および目的
削除権 (Right to Delete): 当社が保有する自己の個人情報の削除を請求する権利
訂正権 (Right to Correct)
オプトアウト権 (Right to Opt-Out): 当社は 個人情報の販売・共有を行いません が、念のため明記します
非差別の権利 (Right to Non-Discrimination): これらの権利を行使したことを理由に、当社は差別的取扱いを行いません

10. 子供の個人情報

本サービスは、満 13 歳以上の方を対象としています。当社は、13 歳未満の児童から個人情報を意図的に取得することはありません。13 歳未満の方が本サービスに登録したことが判明した場合、当社は当該アカウントを削除し、収集した個人情報を消去します。

13 歳未満の児童に係る個人情報を当社が取得していると思われる場合は、本ポリシー末尾の連絡先までお知らせください。

11. セキュリティ

当社は、個人情報の漏えい、滅失または毀損を防止するため、以下の措置を講じます。

通信の暗号化 (HTTPS/TLS による全通信の暗号化)
データベースおよびストレージへのアクセス制御 (Supabase Row Level Security によるユーザー単位のアクセス制御)
写真アップロード前のクライアント側 GPS EXIF 除去
認証情報の適切な保管 (パスワードのハッシュ化等)
委託先の選定および監督

ただし、インターネット上のデータ送信およびオンラインストレージの方式について、絶対的な安全性を保証することはできません。

12. Cookie および類似技術について

本サービス (モバイルアプリ) においては、Web 上の Cookie に相当する技術は基本的に使用していません。詳細は Cookieポリシーをご参照ください。

13. 本ポリシーの変更

当社は、必要と判断した場合、本ポリシーを変更することができるものとします。本ポリシーの変更は、変更後の本ポリシーをアプリ内通知、本サービス上の表示、または当社ウェブサイト上の掲載のいずれかの方法により告知することにより、効力を生じるものとします。重要な変更については、合理的な期間 (原則として変更の効力発生日の 14 日以上前) に告知するよう努めます。

14. お問い合わせ・連絡先

本ポリシーに関するお問い合わせ、ユーザーの権利の行使、その他個人情報に関するご相談は、以下までご連絡ください。

個人情報取扱事業者: 合同会社 Coyote and Powell
個人情報保護管理者: 合同会社 Coyote and Powell 個人情報保護窓口
お問い合わせ: coyoteandpowell@gmail.com

EU 域内のユーザーに関する代理人 (GDPR Art. 27): 必要となった場合に別途指定し、本ポリシーに記載します (現時点では未指定)。

附則: 本ポリシーは [EFFECTIVE_DATE] より効力を生じます。

Maptint Privacy Policy

Last updated: [LAST_UPDATED]

Coyote and Powell LLC (“we,” “us,” or “our”) provides the mobile application “Maptint” (the “Service”). This Privacy Policy (“Policy”) explains how we collect, use, share, and protect personal information (“Personal Information”) through the Service.

This Policy is designed to comply with the Japanese Act on the Protection of Personal Information (“APPI”), the EU General Data Protection Regulation (“GDPR”), the California Consumer Privacy Act / California Privacy Rights Act (“CCPA/CPRA”), and other applicable laws.

This Policy is originally drafted in Japanese; in the event of any discrepancy between the Japanese and English versions, the Japanese version shall prevail.

1. Our Privacy Principles (Summary)

The Service is designed with privacy at its core. We adhere to the following principles:

We do not store precise GPS coordinates. The only coordinates stored in a Visit Record are the center coordinates of the city the User selects (a representative point). Your device’s current location, photo capture coordinates, point-of-interest pins, and similar precise location data are never transmitted to or stored on our servers.
Photo GPS EXIF data is not uploaded from your device. GPS EXIF data is stripped on the client side before any photo is uploaded.
We do not perform tracking for advertising purposes. As of the effective date of this Policy, we do not provide any data to any third party for the purpose of tracking your behavior (the “Data Used to Track You” section of our Apple App Store privacy label is none).

2. Personal Information We Collect

We collect the following Personal Information to operate the Service.

2.1 Information You Provide

Item	Required / Optional	When Collected
Email address	Required	At account registration (email signup) or via Sign in with Apple / Google
Display name (`display_name`)	Required	At profile creation
Username (`username`)	Required	At profile creation
Profile picture (avatar)	Optional	When you edit your profile
Bio (`bio`)	Optional	When you edit your profile
Website URL	Optional	When you edit your profile
Visit Records (country code, city name, city center coordinates, visit date, notes)	Generated by use	When you create or edit a Visit Record
Photos (attached to Visit Records)	Optional	When you attach a photo to a Visit Record. GPS EXIF data is stripped before upload
Likes, friendships, blocks, and report metadata	Generated by use	When you use the relevant features

2.2 Information We Collect Automatically

Item	When Collected
IP address	When you access the Service (collected automatically by the network infrastructure)
Device information (model, OS version, language settings, etc.)	When you access the Service
Crash and diagnostic logs	When app errors occur (if and when we adopt a crash reporting tool in the future)

2.3 Information We Do Not Collect

We do not collect:

Precise GPS coordinates of your device
Precise GPS coordinates (latitude/longitude) of your photos, or raw EXIF data
Your contacts (address book)
Device advertising identifiers (IDFA / Android Advertising ID) — if and when we add advertising features in the future, we will obtain App Tracking Transparency consent before collecting them
Payment information (e.g., credit card numbers). Paid features, when offered, are billed through Apple In-App Purchase or Google Play Billing, and we never receive your payment details
Special-category Personal Information (race, creed, social status, medical history, criminal record, victim status, sexual orientation, union membership, and similar)

2.4 Special Treatment of Photo EXIF GPS Data

When you attach a photo to a Visit Record, we may read photo EXIF GPS data temporarily and only on your device to estimate the location of the photo. The latitude and longitude read are used only to estimate the country code and city name and are discarded immediately after estimation. Only the resulting country code, city name, and city center coordinates (representative point) are sent to our servers; the precise GPS coordinates of the photo are never transmitted or stored.

3. Purposes of Use

We use the Personal Information we collect for the following purposes:

To authenticate accounts and verify identity
To provide the Service (storage and display of Visit Records, map display, photo storage and display, etc.)
To provide friend functionality (search, friend requests, visibility control)
To respond to inquiries
To improve the Service, plan new features, and conduct statistical analysis
To detect and prevent fraud and abuse, and to operate moderation features (reports, blocks)
To deliver important notifications about the Service (changes to terms, outage notices, etc.)
To comply with applicable laws or orders from courts and other public authorities

4. Legal Bases (for Users in the EU)

For Users located in the EU, we process your Personal Information on the following legal bases under Article 6 of the GDPR:

Processing Activity	Legal Basis
Account registration and provision of the Service	Performance of a contract (Art. 6(1)(b))
Detection and prevention of fraud; moderation	Legitimate interests (Art. 6(1)(f))
Service improvement and statistical analysis (based on anonymized data)	Legitimate interests (Art. 6(1)(f))
Transactional notifications	Performance of a contract (Art. 6(1)(b))
Compliance with applicable laws	Legal obligation (Art. 6(1)(c))

5. Data Storage Location and Retention

5.1 Primary Storage Location

The Service’s database, authentication data, and photos are stored on the Supabase platform operated by Supabase Inc. The primary storage region is AWS Asia Pacific (Tokyo) — ap-northeast-1, and data is stored, in principle, in data centers located in Japan.

5.2 Retention Periods

Type of Data	Retention
Account information, profile, Visit Records, photos	Until account deletion
Backup data	Deleted within 30 days after account deletion
Report data	Retained, with personal references minimized through anonymization, for up to one year for fraud prevention and moderation purposes
Access and operation logs	Up to one year from collection

6. Disclosure to Third Parties

We do not disclose your Personal Information to third parties, except in the following cases:

With your consent
Where required by applicable law
Where necessary for the protection of life, body, or property, and obtaining your consent is difficult
Where necessary for public health or for the sound development of children, and obtaining your consent is difficult
Where it is necessary to cooperate with a national or local government agency or its delegated party in the performance of statutory duties

7. Service Providers (Processors)

We engage the following service providers to operate the Service. We supervise them appropriately to ensure proper handling of Personal Information.

Provider	Purpose	Country of Operation
Supabase Inc.	Database, authentication, storage	United States (data is stored in AWS Tokyo region)
Vercel Inc.	Hosting of the corporate website and related resources	United States
Apple Inc.	Sign in with Apple, App Store distribution, push notifications (APNs)	United States
Google LLC	Google Sign-In, Google Play distribution, push notifications (FCM)	United States
Mapbox, Inc.	Map tiles and map functionality	United States
GMO Internet Group, Inc.	Domain management (Onamae.com)	Japan

Note: The following services may be added in the future. We will update this Policy when they are introduced. - Analytics (e.g., Firebase Analytics, Google Analytics 4) - Crash reporting (e.g., Crashlytics, Sentry) - Advertising networks (e.g., Google AdMob) - Email delivery (e.g., Resend, SendGrid). Currently, password reset and similar emails use the standard email functionality of Supabase Auth - AI APIs (e.g., OpenAI, Anthropic, Google Gemini) - Other SaaS (contact forms, help sites, status pages)

8. International Transfers

Although primary data is stored in Japan (AWS Tokyo region), the Personal Information of Users may be transferred to the following regions in the course of operations by some of the providers listed in Section 7 (Supabase, Vercel, Apple, Google, Mapbox, etc.):

United States: Supabase, Vercel, Apple, Google, Mapbox, and (when introduced) analytics, crash reporting, advertising, email, and AI providers.

These transfers are conducted under appropriate safeguards (each provider’s Standard Contractual Clauses, applicable adequacy decisions, or equivalent mechanisms), with your consent expressed through this Policy. Users in the EU should be aware that data transferred to the United States may not be subject to the same level of protection as in the EU, and you consent to such transfer with that understanding.

9. Your Rights

9.1 All Users (Rights under the APPI)

You may exercise the following rights with respect to your Personal Information held by us:

Request notification of the purposes of use
Request disclosure
Request correction, addition, or deletion
Request suspension of use or erasure
Request suspension of disclosure to third parties

To exercise these rights, please contact us at the email address listed below. After verifying your identity, we will generally respond within 30 days.

9.2 Users in the EU (Rights under the GDPR)

In addition to the above, Users in the EU have the following rights under the GDPR:

Right of access (Art. 15)
Right to rectification (Art. 16)
Right to erasure / right to be forgotten (Art. 17)
Right to restriction of processing (Art. 18)
Right to data portability (Art. 20) — we provide data in a machine-readable format (JSON or CSV). An in-app export feature is planned for a future release
Right to object (Art. 21)
Rights related to automated decision-making (Art. 22)
Right to lodge a complaint with a supervisory authority (Art. 77)

9.3 California Residents (Rights under the CCPA/CPRA)

If you are a California resident, you have the following rights under the CCPA/CPRA:

Right to Know the categories and purposes of Personal Information we collect, use, and disclose
Right to Delete Personal Information we hold about you
Right to Correct
Right to Opt-Out of the “sale” or “sharing” of Personal Information — we do not sell or share your Personal Information
Right to Non-Discrimination for exercising any of the above rights

10. Children’s Personal Information

The Service is intended for individuals aged 13 or older. We do not knowingly collect Personal Information from children under the age of 13. If we discover that a child under 13 has registered for the Service, we will delete that account and any Personal Information collected.

If you believe we may have collected Personal Information from a child under 13, please contact us at the email address below.

11. Security

We adopt the following measures to prevent the leakage, loss, or destruction of Personal Information:

Encryption of all communication via HTTPS/TLS
Access controls on the database and storage (per-user access control via Supabase Row Level Security)
Client-side stripping of GPS EXIF data before photo uploads
Appropriate storage of credentials (password hashing and similar)
Selection and supervision of service providers

That said, we cannot guarantee the absolute security of data transmitted over the internet or stored online.

12. Cookies and Similar Technologies

The Service (mobile application) does not use technologies analogous to web cookies in any meaningful way. See our Cookie Policy for details.

13. Changes to This Policy

We may amend this Policy as we deem necessary. Amendments take effect upon notification through in-app notice, display within the Service, or publication on our website. For material changes, we will endeavor to give reasonable advance notice (generally at least 14 days before the effective date).

14. Contact

For questions about this Policy, requests to exercise your rights, or other privacy-related inquiries, please contact:

Data Controller: Coyote and Powell LLC
Privacy Officer: Coyote and Powell LLC Privacy Desk
Email: coyoteandpowell@gmail.com

EU Representative (GDPR Art. 27): To be designated separately and listed in this Policy if and when required (currently not designated).

Supplementary provision: This Policy shall take effect on [EFFECTIVE_DATE].