プライバシーポリシー Privacy Policy

最終更新日:

株式会社ユリカ(以下「当社」)は、「Captio式シンプルメモ」(以下「本サービス」)におけるユーザー情報の取り扱いについて、以下のとおりプライバシーポリシーを定めます。

1. 取得する情報

当社は、以下の情報を取得する場合があります。

(A) ユーザーが入力・設定する情報

  • 宛先メールアドレス(To)
  • 件名設定(Subject)・署名設定(Signature)
  • メモ本文(メール送信のために必要な範囲)

(B) 端末・利用に関する情報

  • 端末情報(OS/端末種別等の一般的な情報)
  • 送信処理に必要なログ(送信日時、結果ステータス等)
  • 不正利用対策やレート制限のための技術情報(IPアドレス、リクエスト情報等)

2. 利用目的

取得した情報は、以下の目的で利用します。

  • メール送信機能の提供(送信、未送信管理/再送、履歴表示)
  • 本サービスの運用・保守、障害対応、品質改善
  • 不正利用防止・セキュリティ確保(短時間連続送信の制限、サーバ側レート制限等)
  • お問い合わせ対応
  • 法令遵守

3. プランによる差分

本サービスの情報取り扱いは、Free/Premiumで基本的に同一です。Premiumは、送信回数制限の無効化(Day8以降のFree制限解除)を目的として提供されますが、セキュリティや送信基盤保護のための制限(クールダウン等)は、Free/Premiumを問わず適用される場合があります。

4. メモ内容の取り扱い(重要)

  • メモ本文は、ユーザーの操作によりメール送信されます。
  • 送信処理のため、メモ本文および宛先情報が、当社が利用する送信基盤(外部サービスを含む)を通過する場合があります。
  • 当社は、法令対応や不正対策、障害対応等の正当な必要性がある場合を除き、メモ内容を恒常的に保存・閲覧することを目的としていません。

5. メールリマインダー機能(任意)

本サービスは、メモ送信の習慣化を支援するため、希望されたユーザーに対してリマインダーメールを送信する任意機能を提供しています。

(A) 同意の取得

  • 本機能は既定で無効であり、認証画面または設定画面でユーザーが明示的に有効化した場合にのみ送信します。
  • 有効化後も、設定画面から1タップで停止できます。各リマインダーメール末尾の解除リンクからも停止可能です。

(B) 取得・保存する情報

  • メールアドレスのハッシュ値(SHA-256)— 当社サーバ(Cloudflare D1)に保存します。
  • 同意状態(有効/無効)、最終メモ送信日時、累計送信回数。
  • リマインダー送信履歴(送信日時、配信/開封/クリック/バウンス等のイベント)。
  • 生のメールアドレス自体は当社サーバに保存しません。メール送信基盤(Resend)の連絡先 API のみが保持します。

(C) 送信頻度

  • 最終メモ送信から 24時間/72時間/7日間 経過したタイミングで、各 1通まで送信します。
  • 1ユーザーあたり 1週間で最大 2通、サービス全体で 1日あたり最大 80通の上限を設けています。

(D) 自動解除

  • メール配信時のバウンス・苦情があった場合、当該アドレスへの送信を直ちに停止し、同意状態を無効化します。

(E) 委託先

リマインダーメールの送信および連絡先管理は、Resend, Inc.(米国)に委託しています。同社は Data Processing Agreement および国際的なメール送信規制(CAN-SPAM、GDPR、特定電子メール法等)に準拠しています。

6. 第三者提供

当社は、以下の場合を除き、個人情報を第三者に提供しません。

  • ユーザーの同意がある場合
  • 法令に基づく場合
  • 人命・財産保護等の必要がある場合
  • 業務委託先に必要な範囲で提供する場合(次項)

7. 委託(メール送信等)

当社は、メール送信の提供、運用保守、分析等のため、外部事業者に業務を委託することがあります。その場合、委託先を適切に監督します。

8. 安全管理

当社は、情報の漏えい、滅失、毀損の防止等のため、合理的な安全対策を講じます。

9. 保管期間

当社は、利用目的に必要な期間を超えて情報を保管しないよう努めます。ログ等は、不正対策や運用上必要な範囲で一定期間保管される場合があります。

10. 改定

当社は、本ポリシーを必要に応じて改定します。改定後は本サービスまたは当社ウェブサイト等に掲示します。

11. お問い合わせ

support@simplememofast.com

12. 暗号化に関する技術的な情報(参考)

本サービスは、ユーザーのプライバシーを保護するため、以下の技術的な対策を講じています。これらは「セキュリティ」というよりも「データ最小化」と「端末内保護」のための実装です。

  • 端末内ストレージ: オフライン送信待ちメッセージ(Outbox)と送信履歴を、Apple 純正 CryptoKit による AES-GCM-256 暗号化で端末内に保存します(ファイル保護クラス: completeFileProtectionUntilFirstUserAuthentication)。
  • 鍵管理: 256-bit 対称鍵は Apple Keychain Services(kSecClassGenericPassword)に保管され、デバイス外に取り出せません。バックアップにも含まれません。
  • 通信路: API 通信はすべて TLS(HTTPS)で保護されます。クライアント側は URLSessionConfiguration.ephemeral を使用し、Cookie・キャッシュを残しません。
  • メール本文: 送信処理のため当社の Relay API(Cloudflare Workers)と外部送信基盤(Resend)を通過しますが、恒常的な保存は行いません。ログにも記録しません(開発時の DEBUG ビルドを除く)。
  • メールアドレスのサーバ保存: リマインダー機能をオプトインされた場合のみ、メールアドレスの SHA-256 ハッシュを Cloudflare D1 に保存します。原文は Resend の Contact API のみが保持します。
  • 暗号化・保管・通信路の依存関係: メモ本文の暗号化(CryptoKit)、鍵保管(Keychain Services)、通信(URLSession / Network.framework)はすべて Apple 純正フレームワークで完結し、サードパーティ SDK を介しません。
  • その他のオプション機能の SDK: 任意のオンボーディング短縮機能として Google アカウントから email を取り込む際に、Google が提供する GoogleSignIn-iOS SDK および Firebase Authentication SDK を使用します(v2.4 以降)。バックエンド API への不正アクセス防止のため、Apple の App Attest を活用する Firebase App Check SDK を起動時に初期化します。利用解析(PII を含まないファネルイベント)は自社実装で当社の /v1/analytics/event エンドポイントへ送信します。

注意: 本サービスは End-to-End 暗号化(E2EE)を提供していません。受信者であるユーザーご自身のメールクライアントで通常通り本文を読めるよう、メール本文は標準的な SMTP プロトコルで配信されます。E2EE が必要な用途には、Standard Notes・Signal・ProtonMail などの専用サービスをご検討ください。

Last updated:

YURIKA, K.K. ("we," "us," or "our") describes how we handle user information in "Simple Memo - Captio-style" (the "Service").

1. Information We Collect

We may collect:

(A) Information you provide

  • Recipient email address ("To")
  • Subject and signature settings
  • Memo content (to the extent necessary to send the email)

(B) Device & usage information

  • Basic device/OS information
  • Operational logs (send timestamps, status)
  • Technical data for abuse prevention and rate limiting (IP address, request metadata)

2. How We Use Information

We use information to:

  • provide email sending features (send, outbox/pending management, resend, history)
  • operate, maintain, and improve the Service
  • prevent abuse and protect security (cooldowns, server-side rate limits, etc.)
  • respond to support inquiries
  • comply with legal obligations

3. Plan Differences

Data handling is generally the same for Free and Premium. Premium is primarily offered to remove the Free daily sending limit after Day 8. Safety and infrastructure limits (e.g., cooldowns and server-side caps) may still apply to both plans.

4. Handling of Memo Content (Important)

  • Memo content is sent as an email based on your action.
  • For delivery, memo content and recipient details may pass through our sending infrastructure (including third-party providers).
  • We do not intend to store or view memo content on an ongoing basis except where necessary for legitimate purposes such as legal compliance, abuse prevention, or troubleshooting.

5. Email Reminder Feature (Optional)

To help you build a memo-writing habit, we offer an optional reminder email feature for users who explicitly opt in.

(A) Consent

  • This feature is disabled by default. We send reminder emails only after you explicitly enable it on the verification screen or in Settings.
  • You can disable it at any time from Settings (one tap), or from the unsubscribe link in any reminder email.

(B) Information We Store

  • A hash (SHA-256) of your email address — stored on our servers (Cloudflare D1).
  • Your consent state (enabled/disabled), last memo send timestamp, and total send count.
  • Reminder send history (timestamps for sent/delivered/opened/clicked/bounced events).
  • The raw email address itself is NOT stored on our servers. It lives only in the contact API of our email delivery provider (Resend).

(C) Sending Frequency

  • Reminders are sent at most once per stall window: 24 hours, 72 hours, and 7 days after your last memo send.
  • Per-user cap: max 2 reminders per 7 days. Service-wide cap: max 80 reminders per day.

(D) Automatic Opt-out

  • If a reminder email bounces or generates a complaint, we immediately stop sending to that address and disable the consent flag.

(E) Service Provider

Reminder email delivery and contact management are handled by Resend, Inc. (USA) under appropriate Data Processing Agreement and compliance with international email regulations (CAN-SPAM, GDPR, the Japanese Act on Regulation of Transmission of Specified Electronic Mail, etc.).

6. Sharing With Third Parties

We do not share personal information except with consent, as required by law, to protect vital interests, or to service providers.

7. Service Providers

We may use third-party vendors for email delivery and operations under appropriate supervision.

8. Security

We take reasonable measures to protect information.

9. Retention

We aim not to retain information longer than necessary. Some logs may be retained for limited periods for security/operations.

10. Updates

We may update this Policy and will post the latest version.

11. Contact

support@simplememofast.com

12. Technical notes on encryption (for reference)

To protect user privacy, the Service implements the following technical measures. These are oriented toward "data minimization" and "on-device protection" rather than promising blanket security.

  • On-device storage: The offline pending-send queue (Outbox) and send history are encrypted on-device with AES-GCM-256 via Apple's native CryptoKit, and stored with file protection class completeFileProtectionUntilFirstUserAuthentication.
  • Key management: A 256-bit symmetric key is stored in Apple Keychain Services (kSecClassGenericPassword). It is excluded from backups and cannot be exported.
  • Transport: All API calls use TLS (HTTPS) over URLSessionConfiguration.ephemeral — no cookies, no caches.
  • Email body handling: Memo bodies transit through our Relay API (Cloudflare Workers) and the external delivery infrastructure (Resend) for the sole purpose of sending email. We do not persistently store them on our infrastructure, and they are not written to logs (except in DEBUG builds during local development).
  • Email address storage on the server: Only if you opt into reminder emails, we store a SHA-256 hash of your email address in Cloudflare D1. The raw address lives only in Resend's Contact API.
  • Dependencies on the data path: Memo body encryption (CryptoKit), key storage (Keychain Services), and network transport (URLSession / Network.framework) are all Apple-native — no third-party SDK sits in the data path.
  • SDKs used for optional features: As of v2.4, an optional onboarding-shortcut feature can pull your email from your Google account; this uses the GoogleSignIn-iOS SDK and the Firebase Authentication SDK. The Firebase App Check SDK is initialized at launch to harden our backend API against abuse (uses Apple App Attest). Anonymous funnel analytics (no PII) are sent in-house to our /v1/analytics/event endpoint with no external analytics SDK.

Note: The Service is not End-to-End Encrypted (E2EE). Memo bodies are delivered through standard SMTP so you (the recipient) can read them in your normal mail client. For workloads requiring true E2EE, consider purpose-built services such as Standard Notes, Signal, or ProtonMail.