プライバシーポリシー
最終更新日: 2026年2月23日
株式会社URAKU(以下「当社」)は、PomoCare(以下「本アプリ」)におけるユーザーのプライバシー保護に最大限配慮しています。本ポリシーでは、利用プランに応じた情報の取り扱いについて説明します。
本アプリは日本国内外(EU/EEA、英国、米国を含む)のユーザーを対象としており、本ポリシーはGDPR、UK GDPR、CCPA/CPRA等の適用法令に準拠しています。
1. データ管理者
お客様の個人データの管理者は以下のとおりです。
株式会社URAKU
所在地: 日本
メール: support@pomocare.com
当社はEU/EEA域内に拠点を持たないため、GDPR第27条に基づくEU域内代理人の選任については、今後の規模拡大に応じて対応します。お問い合わせは上記メールアドレスまでお願いします。
2. 収集する情報
本アプリで収集する情報は、ご利用のプランによって異なります。
2-1. ゲスト利用(未ログイン)
- 個人情報: アカウント登録なしでも本アプリの基本機能を利用できます。この場合、氏名、メールアドレス等の個人情報を収集しません。
- 利用データ: タイマーの設定、セッション履歴、ラベル情報等の利用データはすべてお使いのデバイスのローカルストレージに保存され、当社のサーバーには送信されません。ブラウザのキャッシュクリアやデータ消去によりデータが失われる可能性があります。
- 広告: 無料利用時(Free / ゲスト)では第三者の広告サービスを利用する場合があります。広告サービスは、広告のパーソナライズのためにCookieやデバイス識別子を使用する場合があります。
2-2. ログイン済みユーザー(Free / Standard / Pro)
- アカウント情報: クラウド同期を利用するにはアカウント登録が必要です(無料で登録可能)。Googleアカウント等の外部認証サービスを利用してサインインする場合、認証プロバイダーから提供されるメールアドレス、表示名、プロフィール画像URLを取得します。
- 利用データ: ログイン済みのすべてのユーザー(Freeプラン含む)のセッション履歴、設定、ラベル情報等の利用データが当社のサーバーに保存されます。これにより、複数のデバイス間でデータを安全に同期できます。
- 決済情報: 有料プラン(Standard / Pro)をご利用の場合、Web版の決済はStripe, Inc.(米国)を通じて処理されます。当社がクレジットカード番号等の決済情報を直接取得・保存することはありません。Stripeのプライバシーポリシーは https://stripe.com/privacy をご参照ください。アプリストア経由の購入はGoogle Play / Microsoft Storeの規約に従います。
2-3. 自動的に収集される情報
- サーバーログ: 当社のサーバーへのアクセス時に、IPアドレス、ブラウザ種別、アクセス日時等の情報が自動的に記録される場合があります。これらはサービスの安定運用およびセキュリティ対策のために使用されます。
- Cookie・ローカルストレージ: 詳細は第6条をご参照ください。
3. データの保存場所
- ゲスト利用(未ログイン): すべてのデータはお使いのデバイスのローカルストレージに保存されます。当社はこれらのデータにアクセスしません。ブラウザのキャッシュクリアやデータ消去によりデータが失われる可能性があります。
- ログイン済みユーザー(Free / Standard / Pro): 利用データは当社が利用するSupabase(米国)のサーバーに暗号化して保存され、複数デバイス間で同期されます。
4. データの利用目的と法的根拠
収集した情報は、以下の目的で使用します。各目的に対応するGDPR上の法的根拠を併記します。
| 利用目的 | 法的根拠(GDPR) |
|---|
| 本アプリの機能提供およびサービスの維持 | 契約の履行(第6条1項b号) |
| クラウド同期機能の提供(ログイン済みユーザー) | 契約の履行(第6条1項b号) |
| ユーザーサポートへの対応 | 契約の履行 / 正当な利益(第6条1項f号) |
| 利用状況の分析によるサービス改善 | 正当な利益(第6条1項f号) |
| 不正利用の防止・セキュリティ確保 | 正当な利益(第6条1項f号) |
| 広告の表示(Free / ゲスト) | 同意(第6条1項a号) |
| 法的義務の履行 | 法的義務(第6条1項c号) |
5. 第三者への提供・サブプロセッサー
当社は、以下の場合を除き、ユーザーの個人情報を第三者に提供することはありません。
- 法律で義務付けられている場合
- ユーザーの同意がある場合
- サービス提供に必要な業務委託先への提供(適切なデータ処理契約を締結しています)
当社が利用する主なサブプロセッサー(第三者サービス提供者)は以下のとおりです。
| サービス | 提供者 | 所在地 | 用途 |
|---|
| Supabase | Supabase, Inc. | 米国 | 認証・データベース・クラウド同期 |
| Stripe | Stripe, Inc. | 米国 | 決済処理 |
| GitHub Pages | GitHub, Inc. | 米国 | アプリのホスティング |
当社は個人情報を第三者に販売(sell)または共有(share、CCPAの定義による)しません。
6. Cookie・ローカルストレージ・トラッキング
6-1. 使用するCookie等の種類
| 種類 | 目的 | 保存期間 | 必須/任意 |
|---|
| ローカルストレージ(言語・テーマ設定) | サイトの表示言語とテーマの保存 | 無期限(ブラウザデータ消去まで) | 必須 |
| ローカルストレージ(セッションデータ) | タイマー・統計データの保存(未ログイン時) | 無期限(ブラウザデータ消去まで) | 必須 |
| Cookie同意ステータス | Cookie同意の記録 | 無期限 | 必須 |
| 第三者Cookie(広告) | 広告配信・パーソナライズ(Free / ゲスト) | サービスにより異なる | 任意(同意が必要) |
6-2. Cookie同意の管理
当サイトでは初回訪問時にCookie同意バナーを表示します。「同意する」を選択すると、広告目的を含むすべてのCookieが有効になります。「拒否する」を選択すると、必須Cookie(サイトの基本機能に必要なもの)のみが使用されます。
同意の撤回はいつでも可能です。ブラウザのCookie設定からCookieを削除するか、ブラウザのローカルストレージから pomocare-cookie-consent キーを削除することで同意状態がリセットされ、次回訪問時に再度バナーが表示されます。
6-3. Do Not Track
一部のブラウザが送信する「Do Not Track」(DNT)シグナルについて、現時点では業界統一の技術標準が確立されていないため、当社は現在DNTシグナルに対する自動応答は行っておりません。ただし、Cookie同意バナーで「拒否する」を選択いただくことで、任意のトラッキングCookieを無効にできます。
7. アカウントの削除
アカウントを削除する場合、アプリ内の設定画面または support@pomocare.com へのご連絡により、アカウントおよびクラウド上のすべてのデータを削除できます。削除リクエストから30日以内にすべてのデータを消去します。削除されたデータは復元できません。
8. データセキュリティ
当社は、お客様の個人データを不正アクセス、紛失、改ざんから保護するために、以下を含む合理的な技術的・組織的措置を講じています。
- 転送中および保存時のデータ暗号化(TLS 1.2以上 / AES-256)
- アクセス制御と権限管理
- サブプロセッサーのセキュリティ基準の確認
- 定期的なセキュリティレビュー
ただし、インターネット上の通信やデジタルストレージの方法は完全に安全とは言えません。当社はお客様のデータ保護に最大限努めますが、絶対的な安全性を保証することはできません。
9. お子様のプライバシー
本アプリは、一般のユーザー(学生を含む)が学習や作業の集中管理に利用することを想定しています。
GDPR対象地域(EU/EEA・英国)においては、16歳未満の利用者が個人情報を提供する場合、保護者の同意が必要となる場合があります。
米国においてはCOPPA(児童オンラインプライバシー保護法)に基づき、13歳未満の方から保護者の同意なく個人情報を意図的に収集することはありません。万一、該当年齢未満の方の個人情報を保護者の同意なく取得していることが判明した場合、速やかに削除します。
10. プライバシーポリシーの変更
当社は、本ポリシーを随時更新する場合があります。重要な変更がある場合は、本ページおよびアプリ内にて通知し、変更の発効日を明示します。GDPR対象ユーザーにおいて同意を法的根拠とするデータ処理に影響する変更がある場合は、改めて同意を取得します。
11. GDPRに基づく権利(EU/EEA・英国ユーザー向け)
EU一般データ保護規則(GDPR)および英国GDPRが適用されるユーザーには、以下の権利があります。
- アクセス権(第15条): 当社が保有するお客様の個人データの開示および処理状況の確認を請求できます。
- 訂正権(第16条): 不正確なデータの訂正を請求できます。
- 削除権(第17条・忘れられる権利): 一定の条件下で個人データの削除を請求できます。
- 処理制限権(第18条): 特定の状況下でデータ処理の制限を請求できます。
- データポータビリティ権(第20条): 機械可読形式でのデータ提供を請求できます。
- 異議申立権(第21条): 正当な利益に基づくデータ処理に異議を申し立てられます。
- 同意撤回権(第7条3項): 同意に基づくデータ処理について、いつでも同意を撤回できます。撤回前の処理の合法性には影響しません。
- 苦情申立権: お住まいのEU/EEA加盟国または英国のデータ保護監督当局に苦情を申し立てる権利があります。
権利の行使は support@pomocare.com までご連絡ください。本人確認のうえ、原則として1か月以内に対応します。
12. データの保持期間
- アカウント情報: アカウント削除後30日以内に削除します。
- 利用データ(クラウド同期): アカウント有効期間中保持し、削除後30日以内に消去します。
- サーバーログ: セキュリティ目的で最大90日間保持します。
- サポート履歴: 対応完了後2年間保持します。
- 決済記録: 税務・法的義務のため最大7年間保持します。
- 匿名化された分析データ: 個人を特定できない形で最大3年間保持する場合があります。
13. 国際データ転送
当社は日本に所在し、Supabase(米国)やStripe(米国)等のクラウドサービスを利用しています。お客様のデータがEU/EEA域外に転送される場合、以下の保護措置に基づいて行われます。
- 欧州委員会が認定した十分性認定に基づく転送(日本は2019年にEUより十分性認定を取得)
- 標準契約条項(SCCs)に基づく転送
- サービス提供者によるその他の適切な保護措置
データ転送に関する詳細については support@pomocare.com までお問い合わせください。
14. カリフォルニア州消費者プライバシー法(CCPA / CPRA)対応
カリフォルニア州在住のユーザーには、CCPAおよびCPRA(カリフォルニア州プライバシー権法)に基づく以下の権利があります。
- 知る権利: 過去12か月間に収集された個人情報の種類・目的・提供先を知る権利
- 削除権: 収集された個人情報の削除を請求する権利
- 訂正権: 不正確な個人情報の訂正を請求する権利
- オプトアウト権: 個人情報の「販売」または「共有」を拒否する権利(当社は個人情報を販売・共有しません)
- 処理制限権: 機微な個人情報の使用を制限する権利
- 差別されない権利: 権利行使を理由に差別的な扱いを受けない権利
収集する個人情報のカテゴリ: 識別情報(メールアドレス、表示名)、インターネット活動情報(利用データ)。機微な個人情報は収集しません。
権利の行使は support@pomocare.com までご連絡ください。本人確認のうえ、45日以内に対応します。
15. その他の地域別規定
ブラジル(LGPD)
ブラジル在住のユーザーには、LGPD(ブラジル一般データ保護法)に基づき、アクセス権、訂正権、削除権、データポータビリティ権、同意撤回権等の権利があります。
日本(個人情報保護法)
日本在住のユーザーの個人情報は、個人情報の保護に関する法律(個人情報保護法)に基づき適切に取り扱います。保有個人データの開示・訂正・削除・利用停止等の請求は support@pomocare.com までご連絡ください。
16. お問い合わせ
プライバシーに関するご質問・苦情・データ権利の行使は、以下までご連絡ください。
株式会社URAKU
メール: support@pomocare.com
権利行使のリクエストには、原則として30日以内(CCPA対象の場合は45日以内)に対応します。対応に追加の時間が必要な場合はその旨をお知らせします。
Privacy Policy
Last updated: February 23, 2026
URAKU & CO. ("we", "us", "our") is committed to protecting user privacy in PomoCare ("the App"). This policy explains how information is handled depending on your subscription plan.
The App serves users worldwide, including in the EU/EEA, United Kingdom, and United States. This policy complies with applicable data protection laws, including the GDPR, UK GDPR, and CCPA/CPRA.
1. Data Controller
The data controller for your personal data is:
URAKU & CO.
Location: Japan
Email: support@pomocare.com
We do not currently have an establishment in the EU/EEA. As our operations scale, we will appoint an EU representative under Article 27 of the GDPR as required. In the meantime, please direct inquiries to the email address above.
2. Information We Collect
The information we collect varies depending on your plan.
2-1. Guest Use (Not Logged In)
- Personal Information: You can use the App's core features without creating an account. In this case, we do not collect personal information such as names or email addresses.
- Usage Data: All usage data including timer settings, session history, and labels is stored locally on your device and is never transmitted to our servers. This data may be lost if you clear your browser cache or data.
- Advertising: Non-paid users (Free / Guest) may see third-party advertising. These services may use cookies or device identifiers for ad personalization.
2-2. Logged-In Users (Free / Standard / Pro)
- Account Information: Cloud sync requires account registration (available for free). When signing in through an external authentication provider (such as Google), we receive your email address, display name, and profile image URL from the provider.
- Usage Data: For all logged-in users (including the Free plan), session history, settings, and label data are stored on our servers to synchronize safely across multiple devices.
- Payment Information: For paid plans (Standard / Pro), web payments are processed by Stripe, Inc. (USA). We do not directly collect or store credit card numbers or payment details. See Stripe's Privacy Policy. App store purchases are governed by Google Play / Microsoft Store terms.
2-3. Automatically Collected Information
- Server Logs: When you access our servers, information such as IP address, browser type, and access timestamp may be automatically recorded. This data is used for service stability and security purposes.
- Cookies & Local Storage: See Section 6 for details.
3. Data Storage
- Guest Use (Not Logged In): All data is stored in your device's local storage. We do not access this data. Data may be lost if you clear your browser cache or data.
- Logged-In Users (Free / Standard / Pro): Usage data is encrypted and stored on Supabase (USA) servers, enabling safe synchronization across multiple devices.
4. Purpose of Data Use & Legal Basis
Collected information is used for the following purposes. For users subject to the GDPR, the corresponding legal basis is listed.
| Purpose | Legal Basis (GDPR) |
|---|
| Providing and maintaining the App's features | Performance of contract (Art. 6(1)(b)) |
| Cloud sync functionality (logged-in users) | Performance of contract (Art. 6(1)(b)) |
| Responding to user support inquiries | Contract / Legitimate interests (Art. 6(1)(f)) |
| Analyzing usage for service improvement | Legitimate interests (Art. 6(1)(f)) |
| Fraud prevention and security | Legitimate interests (Art. 6(1)(f)) |
| Advertising (Free / Guest) | Consent (Art. 6(1)(a)) |
| Compliance with legal obligations | Legal obligation (Art. 6(1)(c)) |
5. Third-Party Sharing & Sub-processors
We do not share user personal information with third parties except in the following cases:
- When required by law
- With user consent
- With service providers necessary for App operation, under appropriate data processing agreements
Our key sub-processors (third-party service providers) are:
| Service | Provider | Location | Purpose |
|---|
| Supabase | Supabase, Inc. | USA | Authentication, database, cloud sync |
| Stripe | Stripe, Inc. | USA | Payment processing |
| GitHub Pages | GitHub, Inc. | USA | App hosting |
We do not sell or share (as defined by the CCPA) your personal information to third parties.
6. Cookies, Local Storage & Tracking
6-1. Types of Cookies & Storage
| Type | Purpose | Duration | Required/Optional |
|---|
| Local storage (language & theme) | Saves site language and theme preferences | Persistent (until browser data cleared) | Required |
| Local storage (session data) | Stores timer and stats data (when not logged in) | Persistent (until browser data cleared) | Required |
| Cookie consent status | Records cookie consent preference | Persistent | Required |
| Third-party cookies (advertising) | Ad delivery and personalization (Free / Guest) | Varies by service | Optional (consent required) |
6-2. Managing Cookie Consent
A cookie consent banner is displayed on your first visit. Clicking "Accept" enables all cookies, including those for advertising purposes. Clicking "Decline" restricts usage to required cookies only (those necessary for basic site functionality).
You can withdraw consent at any time by clearing cookies in your browser settings or deleting the pomocare-cookie-consent key from your browser's local storage. The consent banner will reappear on your next visit.
6-3. Do Not Track
Some browsers send a "Do Not Track" (DNT) signal. Because there is no universally accepted standard for responding to DNT signals, we do not currently respond to them automatically. However, you can decline optional tracking cookies via the cookie consent banner.
7. Account Deletion
To delete your account, use the in-app settings or contact support@pomocare.com. All cloud data associated with your account will be deleted within 30 days of the request. Deleted data cannot be recovered.
8. Data Security
We implement reasonable technical and organizational measures to protect your personal data against unauthorized access, loss, and alteration, including:
- Encryption in transit and at rest (TLS 1.2+ / AES-256)
- Access controls and privilege management
- Security standards verification for sub-processors
- Regular security reviews
However, no method of internet transmission or digital storage is completely secure. While we strive to protect your data, we cannot guarantee absolute security.
9. Children's Privacy
The App is designed for general users, including students, to manage focus during study and work sessions.
In GDPR jurisdictions (EU/EEA and UK), users under 16 may need parental consent to provide personal information.
In the United States, we comply with COPPA (Children's Online Privacy Protection Act) and do not knowingly collect personal information from children under 13 without parental consent. If we discover that personal information from a child below the applicable age threshold has been collected without parental consent, we will delete it promptly.
10. Changes to This Policy
We may update this policy from time to time. Significant changes will be notified on this page and within the App, with the effective date clearly stated. Where changes affect data processing based on consent (for GDPR-covered users), we will obtain fresh consent.
11. Your Rights under GDPR (EU/EEA & UK Users)
If you are subject to the EU General Data Protection Regulation (GDPR) or UK GDPR, you have the following rights:
- Right of access (Art. 15): Request disclosure of personal data we hold about you and details about its processing.
- Right to rectification (Art. 16): Request correction of inaccurate data.
- Right to erasure (Art. 17, "right to be forgotten"): Request deletion of personal data under certain conditions.
- Right to restriction of processing (Art. 18): Request restriction of processing in certain circumstances.
- Right to data portability (Art. 20): Request your data in a structured, commonly used, machine-readable format.
- Right to object (Art. 21): Object to processing based on legitimate interests.
- Right to withdraw consent (Art. 7(3)): Withdraw consent for consent-based processing at any time. Withdrawal does not affect the lawfulness of prior processing.
- Right to lodge a complaint: You have the right to lodge a complaint with the data protection supervisory authority in your EU/EEA member state or the UK.
To exercise your rights, contact us at support@pomocare.com. After identity verification, we will respond within one month as a rule.
12. Data Retention
- Account information: Deleted within 30 days of account deletion.
- Usage data (cloud sync): Retained during account lifetime and deleted within 30 days of account deletion.
- Server logs: Retained for up to 90 days for security purposes.
- Support history: Retained for 2 years after case resolution.
- Payment records: Retained for up to 7 years for tax and legal obligations.
- Anonymized analytics: May be retained for up to 3 years in non-identifiable form.
13. International Data Transfers
We are based in Japan and use cloud services including Supabase (USA) and Stripe (USA). When your data is transferred outside the EU/EEA, the following safeguards apply:
- Transfers based on an adequacy decision by the European Commission (Japan received an adequacy decision from the EU in 2019)
- Transfers under Standard Contractual Clauses (SCCs)
- Other appropriate safeguards implemented by the service providers
For details about data transfers, contact support@pomocare.com.
14. California Consumer Privacy Act (CCPA / CPRA)
California residents have the following rights under the CCPA and CPRA (California Privacy Rights Act):
- Right to know: Know what personal information was collected in the past 12 months, its purpose, and who it was shared with.
- Right to delete: Request deletion of collected personal information.
- Right to correct: Request correction of inaccurate personal information.
- Right to opt-out: Opt out of the "sale" or "sharing" of personal information (we do not sell or share personal information).
- Right to limit use: Limit the use of sensitive personal information.
- Right to non-discrimination: Not be discriminated against for exercising your rights.
Categories of personal information collected: Identifiers (email address, display name), internet activity information (usage data). We do not collect sensitive personal information.
To exercise your rights, contact us at support@pomocare.com. After identity verification, we will respond within 45 days.
15. Other Regional Provisions
Brazil (LGPD)
Users residing in Brazil have rights under the LGPD (Lei Geral de Proteção de Dados), including the right to access, correction, deletion, data portability, and withdrawal of consent.
Japan (APPI)
Personal information of users residing in Japan is handled in accordance with the Act on the Protection of Personal Information (APPI). To request disclosure, correction, deletion, or suspension of use of retained personal data, contact support@pomocare.com.
16. Contact Us
For privacy-related questions, complaints, or to exercise your data rights, please contact us at:
URAKU & CO.
Email: support@pomocare.com
We will respond to rights requests within 30 days as a rule (45 days for CCPA requests). If additional time is needed, we will inform you accordingly.