プライバシーポリシー
Penno は、できるだけ少ないデータで動くように作られています — 理想は、ゼロ。 このページはそれが実際にどういう意味なのかを書いたものです。
要点
- 家計データは収集しません。取引、借金、予算、カテゴリは端末内にとどまります — 私たちは見ることもなく、受け取ることもありません。
- 個人データも収集しません。氏名なし、メールなし、電話番号なし、住所なし、公的 ID なし、正確な位置情報なし、広告 ID なし。
- Penno はアカウント、サインアップ、ログインを必要としません。ユーザー識別子の類はいかなる形でも生成しません。
- Penno はあなたの銀行や金融機関に接続しません。
- アプリとサイトがどう使われているかを把握するため、PostHog を使って匿名のプロダクト分析データ(ページビュー、タップ、画面遷移)を取得しています。本人特定情報は紐付けません。詳細は以下に全開示。
- アプリを削除すれば、端末上のデータも一緒に消えます。すでに送信済みの匿名分析イベントを、あなた個人にひも付け直すことはできません。
収集しているもの
家計データは一切収集しません。個人データも収集しません。
アプリはあなたの取引、借金、定期支払い、予算、カテゴリについて、ネットワーク呼び出しを一切行いません — これらの内容は端末上の
budget-planner.db にとどまり、私たちにも他の誰にも送信されることはありません。氏名、メール、電話番号、住所、生年月日、公的 ID、IP アドレス、正確な位置情報、その他あなた個人を特定しうる識別子も、一切求めず、生成せず、保存しません。
匿名のプロダクト分析。 Penno は PostHog を使って、集計済みの匿名利用データを取得しています — ウェブサイト(getpenno.com)でも、アプリ内でも。これによって、どの画面が使われているか、どの機能が刺さっているか、どこで体験が崩れるかが見えてきます。具体的には:
- イベント:画面表示、タップ、画面遷移、アプリのバージョン、OS バージョン、ロケール、デバイスの種類。
- 本人特定なし:PostHog の
identifyAPI は呼び出しません。人物プロフィールは作成しません(personProfiles: 'identified_only')。PostHog はランダムな匿名デバイス ID を自動生成し、ローカルに保存します — それをあなた個人に紐付けることは私たちにはできません。アプリを削除すればリセットされます。 - PII なし:こちら側にメール、氏名、電話番号、正確な位置情報、IP アドレスを保持しません。PostHog は国レベルの地理解決後、IP を破棄します。
Plaid、Firebase、Mixpanel、Amplitude、Segment、AdMob、Meta Audience Network、その他の広告/データブローカー SDK は一切使用していません。バイナリに入っている第三者のデータ収集ツールは PostHog のみで、その範囲は上記のとおりです。
端末から何が出ているかは、自分でも確認できます。iOS の App プライバシーレポートには、
r.getpenno.com(私たちの PostHog リバースプロキシ)と Apple 自身のサービスへの外向き接続だけが表示されます — それ以外はありません。
保存している場所
あなたの予算データ — カテゴリ、取引、定期支払い、借金、借金の支払い、設定 — は、端末上の
budget-planner.db という SQLite データベースファイルに保存されます。このファイルは端末内の Penno アプリコンテナの中にあります。
端末で iCloud バックアップを有効にしている場合、Apple iOS は自動的にこのアプリコンテナを iCloud バックアップに含めます。これは iOS レベルの挙動で、Penno が制御するものではありません。気になる場合は、端末の iCloud 設定で Penno を iCloud バックアップから除外できます。
通知
Penno は端末上にローカル通知をスケジュールします — 例えば、定期支払いの前日のリマインダーや、しばらく動きのない借金へのそっとした通知など。 これらの通知は iOS の通知システム自体がスケジュールしており、サーバーからのプッシュは必要としません。
オンボーディングで通知を許可した場合、関わるデータは端末上のローカルスケジュールだけです。Penno や第三者に何かが送信されることはありません。
エクスポートと共有
アプリ内のエクスポート機能から CSV または XLSX にデータを書き出すと、ファイルは端末上で作られ、iOS の共有シートに渡されます。そこから先 — ファイル、iCloud Drive、メール、AirDrop、端末で使える共有先 — どこに送るかを選ぶのはあなたです。
Penno 自身がファイルをどこかへ送ることはありません。データがアプリの外に出るのは、あなたが共有シートで明示的に送り先を指定したときだけです。
第三者
あなたの家計データを誰かに販売、貸与、共有することはありません。そもそも私たちの手元にはなく、共有しようがありません。
Penno の運用に関わる第三者は以下のとおりです:
- Apple Inc. — App Store でアプリを配信し、基盤となる iOS プラットフォームを運営しています。 Apple のプライバシーポリシーが適用されます。
-
PostHog Inc. — 上記の匿名プロダクト分析データを受け取ります。データは PostHog の米国クラウドにホストされ、私たちのリバースプロキシ
r.getpenno.comを経由します。 PostHog のプライバシーポリシーと、 データ処理に関する補遺が適用されます。
Cookie とトラッキング
Penno のランディングページ(getpenno.com)は、PostHog が(a)同じセッション内のイベントを結びつけるため、(b)長期にわたる訪問者数の重複を排除するために使う、ごく少量のファーストパーティ Cookie/ローカルストレージを設定します。これらは広告目的では使われず、いかなる広告ネットワークとも共有されません。第三者の広告 Cookie、Facebook ピクセル、Google 広告タグはありません。
モバイルアプリは広告識別子を使用しません(IDFA なし、それに準ずるものもなし)。アプリ内の PostHog は、アプリ自身のサンドボックスに保存されたランダムな匿名デバイス ID を使用します。これはアプリを削除すればリセットされます。
オプトアウト:iOS では App Tracking Transparency の同意を拒否したり、iOS の設定で個別アプリの分析をオフにしたりできます。ウェブサイトでは、ブラウザの機能(Do Not Track、プライベートモード、コンテンツブロッカー)で r.getpenno.com へのリクエストをブロックできます — 分析なしでもサイトは問題なく動きます。
子どもについて
Penno は子ども向けのサービスではありません。子どもからの情報を意図的に収集することはありません。そもそも誰からも情報を収集していないので、これはすべてのユーザーに当てはまる同じ説明です — 子ども向けの特別なデータ経路は存在しません。
あなたの権利
あなたの家計データは端末上にあり、完全にあなたの管理下にあります。次のことができます:
- アプリの UI から任意の項目を編集する
- アプリ内のエクスポート機能で全データを書き出す
- アプリを削除して、端末上のデータをすべて消す
上記で説明した PostHog の匿名分析については:本人特定情報を紐付けていないため、サーバー側で「あなたの」イベントを照会する方法を私たちは持っていません。ただし、分析自体を丸ごとブロックすることはできます:
-
ウェブサイト:ブラウザのコンテンツブロッカーで
r.getpenno.comへのリクエストをブロックする、プライベート/シークレットモードを使う、または Do Not Track を有効にする。 - アプリ:初回起動時の App Tracking Transparency 確認で拒否する、または iOS の「設定 > プライバシーとセキュリティ > トラッキング」から分析の同意を取り消す。アプリを削除すると匿名デバイス ID がリセットされます。
特定の端末からのイベントを PostHog 側で削除すべきだと思われる場合は、おおよその時間帯を添えて下記の連絡先までご連絡ください。PostHog にデータ削除リクエストを送信します。匿名イベントのため、あなたの分だけを切り出せない可能性がありますが、誠実に対応します。
このポリシーの変更
このポリシーに実質的な変更を加える場合は、このページと上記の発効日を更新します。実質的な変更とはアプリのデータ取扱いに影響するもののことで、それ以外(明確化や誤字修正)は実質的な変更にあたりません。
お問い合わせ
プライバシーに関するご質問: [email protected]。