プライバシーポリシー

2026-05-19 より有効

Penno は、できるだけ少ないデータで動くように作られています — 理想は、ゼロ。 このページはそれが実際にどういう意味なのかを書いたものです。

要点

収集しているもの

家計データは一切収集しません。個人データも収集しません。 以下で説明する任意の AI インサイト機能を除き、アプリはあなたの取引、借金、定期支払い、予算、カテゴリについて、ネットワーク呼び出しを一切行いません — これらの内容は端末上の budget-planner.db にとどまります。あなた個別の取引が、私たちにも他の誰にも送信されることは決してありません。氏名、メール、電話番号、住所、生年月日、公的 ID、IP アドレス、正確な位置情報、その他あなた個人を特定しうる識別子も、一切求めず、生成せず、保存しません。

匿名のプロダクト分析。 Penno は PostHog を使って、集計済みの匿名利用データを取得しています — ウェブサイト(getpenno.com)でも、アプリ内でも。これによって、どの画面が使われているか、どの機能が刺さっているか、どこで体験が崩れるかが見えてきます。具体的には:

Plaid、Firebase、Mixpanel、Amplitude、Segment、AdMob、Meta Audience Network、その他の広告/データブローカー SDK は一切使用していません。バイナリに入っている第三者のデータ収集ツールは PostHog のみで、その範囲は上記のとおりです。

端末から何が出ているかは、自分でも確認できます。iOS の App プライバシーレポートには、 r.getpenno.com(私たちの PostHog リバースプロキシ)、AI インサイトを使った場合に限り ai.getpenno.com、そして Apple 自身のサービスへの外向き接続だけが表示されます — それ以外はありません。

AI インサイト(任意)

AI インサイトは任意の機能で、一度きりの Penno Pro アンロックに含まれています。あなたが開くまではオフのままで、初めて実行するときに Penno が明示的な同意を求めます。一度もオンにしなければ、このセクションの内容は何も当てはまらず、家計データが端末から出ることはありません。

「分析する」をタップして確認に同意すると、Penno は文章によるインサイトを生成するために、 選択した月のサマリーを私たちの AI プロバイダーに送信します:

AI が生成するインサイトはあくまで参考情報であり、金融上の助言ではありません。

保存している場所

あなたの予算データ — カテゴリ、取引、定期支払い、借金、借金の支払い、設定 — は、端末上の budget-planner.db という SQLite データベースファイルに保存されます。このファイルは端末内の Penno アプリコンテナの中にあります。

端末で iCloud バックアップを有効にしている場合、Apple iOS は自動的にこのアプリコンテナを iCloud バックアップに含めます。これは iOS レベルの挙動で、Penno が制御するものではありません。気になる場合は、端末の iCloud 設定で Penno を iCloud バックアップから除外できます。

これとは別に、Penno にはあなた自身が操作する任意の iCloud バックアップがあります。設定 → iCloud でこれをオンにして「バックアップ」をタップすると、Penno はあなた自身の iCloud アカウントにバックアップファイル 1 つを保存します。「復元」をタップすれば、それを呼び戻せます。どちらもあなたが行う手動の操作で — 自動やバックグラウンドでのアップロードは一切ありません。バックアップファイルはあなた自身の iCloud の中だけに存在し、Penno がそれを受け取ることも、読むこともできません。いつでもあなたの iCloud から削除できます。

通知

Penno は端末上にローカル通知をスケジュールします — 例えば、定期支払いの前日のリマインダーや、しばらく動きのない借金へのそっとした通知など。 これらの通知は iOS の通知システム自体がスケジュールしており、サーバーからのプッシュは必要としません。

オンボーディングで通知を許可した場合、関わるデータは端末上のローカルスケジュールだけです。Penno や第三者に何かが送信されることはありません。

エクスポートと共有

アプリ内のエクスポート機能から CSV または XLSX にデータを書き出すと、ファイルは端末上で作られ、iOS の共有シートに渡されます。そこから先 — ファイル、iCloud Drive、メール、AirDrop、端末で使える共有先 — どこに送るかを選ぶのはあなたです。

Penno 自身がファイルをどこかへ送ることはありません。データがアプリの外に出るのは、あなたが共有シートで明示的に送り先を指定したときだけです。

第三者

あなたの家計データを誰かに販売、貸与、共有することはありません。そもそも私たちの手元にはなく、共有しようがありません。

Penno の運用に関わる第三者は以下のとおりです:

Cookie とトラッキング

Penno のランディングページ(getpenno.com)は、PostHog が(a)同じセッション内のイベントを結びつけるため、(b)長期にわたる訪問者数の重複を排除するために使う、ごく少量のファーストパーティ Cookie/ローカルストレージを設定します。これらは広告目的では使われず、いかなる広告ネットワークとも共有されません。第三者の広告 Cookie、Facebook ピクセル、Google 広告タグはありません。

モバイルアプリは広告識別子を使用しません(IDFA なし、それに準ずるものもなし)。アプリ内の PostHog は、アプリ自身のサンドボックスに保存されたランダムな匿名デバイス ID を使用します。これはアプリを削除すればリセットされます。

オプトアウト:アプリは広告識別子を一切使用しないため、App Tracking Transparency の確認は表示されず、Penno が iOS の「設定 > プライバシーとセキュリティ > トラッキング」に表示されることもありません。アプリの匿名分析を止めるには、アプリを削除してください — これでローカルに保存された匿名デバイス ID が消去されます。ウェブサイトでは、ブラウザの機能(Do Not Track、プライベートモード、コンテンツブロッカー)で r.getpenno.com へのリクエストをブロックできます — 分析なしでもサイトは問題なく動きます。

子どもについて

Penno は子ども向けのサービスではありません。子どもからの情報を意図的に収集することはありません。そもそも誰からも情報を収集していないので、これはすべてのユーザーに当てはまる同じ説明です — 子ども向けの特別なデータ経路は存在しません。

あなたの権利

あなたの家計データは端末上にあり、完全にあなたの管理下にあります。次のことができます:

上記で説明した PostHog の匿名分析については:本人特定情報を紐付けていないため、サーバー側で「あなたの」イベントを照会する方法を私たちは持っていません。ただし、分析自体を丸ごとブロックすることはできます:

特定の端末からのイベントを PostHog 側で削除すべきだと思われる場合は、おおよその時間帯を添えて下記の連絡先までご連絡ください。PostHog にデータ削除リクエストを送信します。匿名イベントのため、あなたの分だけを切り出せない可能性がありますが、誠実に対応します。

このポリシーの変更

このポリシーに実質的な変更を加える場合は、このページと上記の発効日を更新します。実質的な変更とはアプリのデータ取扱いに影響するもののことで、それ以外(明確化や誤字修正)は実質的な変更にあたりません。

お問い合わせ

プライバシーに関するご質問: [email protected]