Trander プライバシーポリシー草案

草案ステータス: 内部確認用の草案です。TODO を解消し、本番実装と照合するまで公開しないでください。

最終更新日: 2026年6月7日

公開前 TODO

• [Google Play に表示する開発者名または法人名] を、Google Play ストア掲載情報と一致する正式名称に置き換える。
• [プライバシー問い合わせ用メールアドレスまたはフォームURL] を、本番の問い合わせ先に置き換える。
• [アカウント削除URL] を、Google Play が要求する公開WebリソースのURLに置き換える。
• アカウント削除がエンドツーエンドで実装済みか確認する。Rust repo の作業ツリーには削除用 repository / use-case コードがあるが、現時点では src/main.rs に route が mount されていない。
• Supabase Auth ユーザー削除と RevenueCat identity / customer 削除を、手動対応・サポートリクエスト・実装済み endpoint のどれで扱うか確定する。
• Rust API と静的Webサイトの本番ホスティングログ、およびログ保持期間を確認する。
• PostHog が引き続き無効か確認する。Flutter app には posthog_flutter が含まれているが、Android / iOS の auto-init は無効で、現時点では capture / identify 呼び出しは見つかっていない。

構成インベントリ

Flutter アプリ

• Google Sign-In と Supabase Auth を利用してアカウントログインを提供する。
• Supabase Flutter SDK により Supabase session を保存・復元する。
• 認証後、Rust API の POST /user を呼び出し、JWT の sub と email から backend user を bootstrap する。
• Supabase user ID を使って RevenueCat にログインし、unlimited entitlement を確認する。
• “Near me” 利用時のみ、精密位置情報の権限を要求する。
• 現在地の緯度・経度、距離範囲、方角、任意の keyword を backend に送信し、live discovery を処理する。
• “Anywhere” では fallback Tokyo 座標を user location として送信しない。実際の GPS 位置がある場合のみ、推奨地点との距離・方向計算のために利用する。
• FlutterSecureStorage により、settingData として discovery 設定を端末内に保存する。
• 返却された場所について、Google Maps / Street View URL を開く。
• share_plus を利用しているが、現時点では public Trander share URL 生成は延期・コメントアウトされている。
• Android permission として ACCESS_FINE_LOCATION と INTERNET を要求する。

Rust API

• health / docs 系を除き、主要 API route は Supabase JWT middleware により保護されている。
• JWT verification により sub、email、role を抽出する。sub は users.unique_id に対応する。
• POST /user は backend user row を解決または作成し、unique_id と任意の email を保存する。
• DB schema には users、settings、setting_historys、request_count_historys、request_limits、google_place_ids が含まれる。
• 現時点の bootstrap は settings row や request-limit row を作成しない。
• google_place_ids は Google Places metadata を cache する。内容は place ID、name、icon、rating、photo reference、vicinity、ratings count、price level、place coordinates など。
• Near-me discovery は user coordinates を使って destination を生成し、生成された destination coordinates をもとに GeoDB Cities と Google Places を呼び出す。
• Anywhere / backpacker discovery は、任意の user coordinates を返却地点との距離・方向計算にのみ利用する場合がある。
• backend の外部 provider は Google Places API と RapidAPI 経由の GeoDB Cities。
• 現時点の request log は module / file / line を記録しており、完全な query parameter は記録していない。ただし、インフラログは別途確認が必要。

Web

• ~/trander-web/main にある静的 Astro site。
• 現時点では privacy page または account deletion page は存在しない。
• analytics script は見つかっていない。
• Google Fonts を利用しており、Web 訪問者の browser は font CSS / font file を Google に request する。

プライバシーポリシー

本プライバシーポリシーは、Trander（以下「Trander」「本アプリ」「当方」といいます）が、Trander のモバイルアプリおよびWebサイトを利用するユーザーの情報をどのように取り扱うかを説明するものです。

Trander の運営主体は [Google Play に表示する開発者名または法人名] です。プライバシーに関するお問い合わせは [プライバシー問い合わせ用メールアドレスまたはフォームURL] までご連絡ください。

取得する情報

アカウント情報

ユーザーが Google でログインする場合、Trander は Google Sign-In および Supabase Auth を利用して認証を行います。このとき、Supabase user ID、メールアドレス、ログイン provider から提供されるプロフィール情報（表示名など）を受け取る場合があります。

Trander の backend は、Trander アカウントの識別およびアプリ機能の認可のために、Supabase user ID と、利用可能な場合はメールアドレスを保存します。

位置情報

ユーザーが “Near me” を選択した場合、Trander は精密位置情報の権限を要求します。現在地の緯度・経度は、現在地周辺または現在地から離れた旅行・探索候補を計算するために利用されます。

ユーザーが “Anywhere” を選択した場合、現在地を共有せずに Trander を利用できます。実際の GPS 位置がすでに利用可能な場合、Trander は推奨地点との距離および方向を計算するためにのみ、その位置情報を利用する場合があります。

Trander は、ユーザーの精密な端末位置情報をアカウント情報として意図的に保存しません。ただし、リクエスト処理のために位置座標が backend に送信される場合があり、hosting system や operational system により request metadata が処理される場合があります。

検索・探索情報

ユーザーが keyword 検索または推奨地点のリクエストを行う場合、Trander は検索 keyword、選択された距離範囲、選択された方角、discovery mode を処理します。backend はこれらの情報を利用して destination を生成し、場所の推奨情報を取得します。

Trander は Google Places から返却される place metadata を cache する場合があります。これには place ID、place name、address または vicinity、coordinates、ratings、price level、icon URL、photo reference などが含まれます。この cached place data は、個々のユーザーを識別することを目的としたものではありません。

購入・サブスクリプション情報

Trander は subscription と entitlement check の提供に RevenueCat および Google Play Billing を利用します。Trander は subscription が有効かどうかを判断するために、Trander / Supabase user ID を RevenueCat とともに利用します。

支払い情報は Google Play により処理されます。Trander はクレジットカード番号などの完全な決済情報を受け取りません。

端末・アプリ情報

本アプリおよびその service provider は、サービス運営、request の認証、不正利用防止、error 診断、security 維持に必要な技術情報を処理する場合があります。これには request timestamp、authentication status、app configuration、その他 operational metadata が含まれる場合があります。

Trander のWebサイトは Google Fonts を読み込みます。Webサイトを訪問する場合、browser は font を読み込むために IP address や browser details などの技術的な request information を Google に送信する場合があります。

情報の利用目的

Trander は、取得した情報を以下の目的で利用します。

• ユーザーアカウントの認証
• discovery、map、Street View、recommendation 機能の提供
• 推奨地点までの距離および方向の計算
• subscription および entitlement によって制限された機能の提供
• 購入履歴および subscription status の復元
• アプリおよび backend の保守、security、debug、改善
• privacy、support、account deletion request への対応
• 法令、security、platform obligation への対応

第三者サービスとの共有

Trander はサービス運営のため、以下の第三者サービスを利用します。

• Google Sign-In および Supabase Auth: 認証
• Supabase: 認証および session service
• RevenueCat: subscription entitlement management
• Google Play Billing: Android subscription purchase
• Google Maps SDK、Google Maps、Street View、Google Places: map および place 機能
• RapidAPI 経由の GeoDB Cities: city lookup
• Google Fonts: Webサイトの font
• hosting および infrastructure provider: アプリ、Web、API の提供

Trander は、サービスの提供、保護、運営に必要な範囲で、これらの service provider と情報を共有します。たとえば、backend は推奨地点を検索するため、生成された destination coordinates や検索 keyword を place / city provider に送信する場合があります。ユーザーが Google Maps または Street View を開く場合、ユーザーは Google のサービスと直接やり取りします。

端末内保存

Trander は、距離範囲や方角設定など、一部の設定をユーザーの端末内に保存します。これらの設定は、ユーザーが変更する、アプリデータを削除する、またはアプリをアンインストールするまで端末内に残ります。

認証 SDK により、ログイン状態を維持するための authentication / session information が端末内に保存される場合があります。

保存期間

Trander は、アカウントが有効である期間、またはサービス提供に必要な期間、account information を保存します。security、不正利用防止、法令遵守、billing、dispute resolution、platform obligation のために必要な場合、一部の記録をより長く保持することがあります。

Cached place metadata は recommendation performance の運営および改善のために保持される場合がありますが、個々のユーザーを識別することを目的としたものではありません。

Subscription および purchase records は、entitlement management、法令遵守、billing issue の解決に必要な範囲で、Google Play、RevenueCat、および Trander により保持される場合があります。

アカウント削除

ユーザーは、アプリ内およびWeb上の [アカウント削除URL] から、Trander アカウントおよび関連するアプリデータの削除をリクエストできます。

Trander アカウントを削除する場合、Trander は当該アカウントに関連する Trander-owned backend account data を削除します。ただし、security、不正利用防止、法令遵守、billing、dispute resolution などの正当な理由により一部の情報を保持する必要がある場合を除きます。

一部のデータは第三者 provider により管理されています。たとえば、Google account data は Google により管理され、payment records は Google Play により管理され、subscription / customer records は RevenueCat により管理される場合があります。削除リクエスト時に追加の手続きが必要な場合、Trander はその内容を説明します。

セキュリティ

Trander は、authenticated API access、Supabase JWT verification、app settings の secure local storage、restricted backend access など、ユーザー情報を保護するための技術的・組織的な safeguard を利用します。ただし、通信または保存の方法が完全に安全であることを保証するものではありません。

子どもの利用

Trander は、適用法令上サービス利用に必要な年齢に満たない子どもを対象としていません。Trander は、子どもから個人情報を意図的に取得しません。

国際的なデータ処理

Trander および service provider は、ユーザーの居住国以外の国で情報を処理する場合があります。これらの国の privacy law は、ユーザーの居住地の法律と異なる場合があります。

本ポリシーの変更

Trander は、本プライバシーポリシーを随時更新する場合があります。重要な変更を行う場合、“最終更新日” を更新し、必要に応じて通知します。

お問い合わせ

プライバシーに関する質問またはリクエストは、[プライバシー問い合わせ用メールアドレスまたはフォームURL] までご連絡ください。

確認した Google Play 公式要件

• Google Play User Data / Privacy Policy: https://support.google.com/googleplay/android-developer/answer/10144311
• Google Play Data Safety: https://support.google.com/googleplay/android-developer/answer/10787469
• Google Play account deletion: https://support.google.com/googleplay/android-developer/answer/13327111