VYRA Privacy Policy

Last Updated: 2026-05-08

This Privacy Policy describes how VYRA Labs, the trade name of a sole proprietorship operated by Shoji Nakasu (“VYRA,” “we,” “us,” or “our”), collects, uses, shares, and protects personal information when you use our mobile application, website (https://vyra-app.com), and related services (collectively, the “Service”).

By using the Service, you acknowledge that you have read and understood this Privacy Policy.

1. Introduction

1.1 Who We Are

VYRA is the sole proprietorship described in Section 15. With respect to personal information processed in connection with the Service, we act as a personal information handling business operator under the Japanese Act on the Protection of Personal Information (APPI), as the data controller under the GDPR / UK GDPR, and as a business under the CCPA/CPRA.

The contact point for inquiries, complaints, and requests for disclosure regarding personal information is the email address listed in Section 15 (in line with APPI Article 32(1)(i) and Articles 33–35).

1.2 Scope

This Privacy Policy applies globally to all users of the Service. Where local law (e.g., GDPR, UK GDPR, CCPA/CPRA, APPI, VCDPA, CPA, PIPEDA, LGPD, APP) provides additional rights or imposes additional obligations, those provisions are reflected in this Policy, particularly in Sections 7, 8, 9, and 13.

1.3 Children

The Service is not intended for users under 13 (or 16 in the EEA/UK without parental consent). See Section 8.

2. Information We Collect

We collect personal information in the following categories.

2.1 Information You Provide

Category	Examples
Account information	Email address, hashed password, display name.
Profile information	Age, sex/gender, height, weight, body-fat percentage, fitness goals, target body image, training experience.
Health and fitness data	Meal records (food name, calories, PFC macros), workout records (exercise, weight, reps, sets), personal records (PRs), body-composition history (weight, body-fat %), photos of meals, photos of your body.
User-generated content	Profile pictures, shared progress posts, custom AI-coach name, free-text notes.
Communication	Messages you send to us, AI-coach interactions.
Payment information	Subscription type and status. (Card numbers and bank details are processed and stored by the payment provider, not by VYRA.)

2.2 Information Collected Automatically

Category	Examples
Device information	Device model, OS version, device language, device ID (e.g., IDFV / Android ID), time zone.
Network information	IP address, approximate region derived from IP.
Usage data	Screens viewed, features used, in-app actions, session duration, crash logs, push-notification interactions.
Cookies and similar technologies	Session cookies on the web (see Section 10).

2.3 Information from Third Parties

If you sign in via a third-party identity provider (e.g., Apple Sign-In, Google), we receive the basic identity data (email, name) that the provider shares with us under the permission you grant.

2.4 Sensitive Information

Some of the data we collect (e.g., body weight, body-fat percentage, body images, meal images, exercise and health-related data) may be considered special-category / sensitive personal information under certain laws (e.g., GDPR Article 9 health data, CCPA/CPRA “sensitive personal information,” APPI “sensitive personal information” (要配慮個人情報)). We process such information based on your explicit consent (provided when you opt in to the relevant feature) and only as necessary to provide the Service.

We do not consider body images to constitute “biometric information” within the meaning of the CCPA/CPRA. However, where the relevant jurisdiction interprets the term more broadly, we treat such data with corresponding care.

2.5 Information We Do Not Collect

We do not collect:

precise GPS location (only approximate region inferred from IP address);
device contacts / address book;
continuous microphone or camera access (we use cameras only ad hoc to capture meal or body photos);
cross-site tracking information from third-party advertising networks.

3. How We Use Your Information

We use personal information for the following purposes:

Purpose	Description
Service provision	Operating the Service, authenticating users, generating AI training and nutrition plans, analyzing meal photos, tracking progress, sending push notifications, processing payments.
Personalization	Tailoring the AI coach, plan recommendations, and home-screen highlights to your goals and history.
Service improvement	Analyzing usage to fix bugs, improve algorithms, and develop new features. Statistical and aggregate analytics use anonymized data.
Safety and fraud prevention	Detecting and preventing abuse, fraud, security incidents, and violations of the Terms of Service.
Communications	Responding to inquiries, sending service announcements, sending optional marketing communications (only with your consent where required by law).
Legal compliance	Complying with applicable law, responding to lawful requests from authorities, preserving records required by tax, consumer-protection, or other regulations.
Affiliate program operation	Tracking referrals, calculating commissions, fraud detection, and producing tax-related documentation (Affiliates only).

For users in the EEA / UK, our legal bases for processing are:

Legal basis	Examples of processing
Performance of a contract (Art. 6(1)(b))	Account creation, plan generation, payment processing.
Consent (Art. 6(1)(a) and Art. 9(2)(a) for special-category data)	Processing health data, body images, push notifications, optional marketing.
Legitimate interests (Art. 6(1)(f))	Aggregated analytics, fraud prevention, security, service improvement. We balance these against your rights and freedoms.
Legal obligation (Art. 6(1)(c))	Tax-record retention, responses to lawful authority requests.

You may withdraw consent at any time (Section 7) without affecting the lawfulness of processing carried out before withdrawal.

We do not sell personal information for monetary consideration. We share personal information only as described below.

4.1 Service Providers (Processors)

We share personal information with vetted service providers who process data on our behalf under contracts that require confidentiality and data-protection safeguards. We supervise such service providers in accordance with APPI Article 25 (duty to supervise entrusted parties).

Provider	Purpose	Data shared	Region
Google LLC (Gemini API)	AI text and image analysis	Meal images, body images, prompts containing profile and progress data	United States
Google LLC (Cloud / Firebase)	Hosting, push notifications, crash reports	Server logs, device tokens, crash data	Japan (asia-northeast1) primarily; some services may use other regions
Stripe, Inc.	Web payment processing	Email, billing details, subscription status	United States
Apple Inc.	iOS in-app purchase	Apple ID transaction info	United States
Google LLC (Play Billing)	Android in-app purchase	Google Play transaction info	United States

No use of inputs to train Google’s foundation models. We use the Gemini API (and Vertex AI, where applicable) under a paid API agreement configured so that user inputs (text and images) are not used to train Google’s foundation models. For details, see Google’s Gemini API Additional Terms and Google Cloud Privacy Notice.

When you use the share feature to post progress, personal records, or generated images to a social-media platform, the share image and any text you choose are transmitted to the platform you select. Once on that platform, the content is governed by the platform’s privacy policy.

4.3 Aggregated and Anonymized Data

We may share aggregated, de-identified, or anonymized data (linked only to a non-reversible “anonHash”) that cannot reasonably be used to identify you, for service-improvement, statistical, and research purposes.

4.4 Legal and Safety

We may disclose personal information when we believe in good faith that disclosure is required to (a) comply with a law, regulation, court order, or lawful government request; (b) enforce our Terms of Service; (c) prevent fraud, security incidents, or harm to any person; or (d) protect VYRA’s rights or property.

4.5 Business Transfers

If VYRA is acquired, merges, transfers assets, or undergoes a change of legal form (e.g., future incorporation), personal information may be transferred to the successor entity. We will notify you in advance and provide you with the choice to request deletion before such transfer takes effect.

We may share personal information with other third parties where you have given separate, explicit consent.

5. Data Retention

5.1 Active Accounts

We retain personal information for as long as your Account is active or as needed to provide the Service.

5.2 Account Deletion (7-Day Cooldown)

When you request deletion of your Account, the Account enters a 7-day cooldown during which it is deactivated. After 7 days, your personal data is permanently and irreversibly deleted from production systems.

5.3 Anonymized Analytics

After deletion, certain non-identifying data linked only to a non-reversible “anonHash” may be retained indefinitely for aggregate analytics, AI-model evaluation, and service improvement. This data cannot be used to re-identify you.

5.4 Legal Retention

We retain certain records as required by law:

Record	Retention period	Reason
Billing and tax records	Up to 7 years	Japanese Income Tax Act / Consumption Tax Act / Electronic Books Preservation Act (longest applicable period)
Affiliate commission payment records	Up to 7 years	Japanese Income Tax Act / payment-record (支払調書) obligations
Records relevant to a legal dispute	Until resolution and any limitation period	Defense and exercise of legal claims

5.5 Backups

Backups containing your data may persist for up to 30 days after deletion, after which they are overwritten in normal rotation.

6. Data Security

We implement appropriate technical and organizational measures to protect personal information, including:

Password hashing with bcrypt (no plaintext passwords stored).
Authentication using JSON Web Tokens (JWT) with short-lived access tokens and rotating refresh tokens.
Transport encryption using HTTPS / TLS for all client–server communication.
Storage encryption at rest for cloud-hosted data.
Access control with the principle of least privilege.
Logging and monitoring for unusual access patterns.

No security measure is perfect. While we work hard to protect your information, we cannot guarantee absolute security. In the event of a personal-data breach (including incidents covered by APPI Article 26), we will respond as required by applicable law:

GDPR Article 33: notification to the supervisory authority within 72 hours of awareness, where feasible.
GDPR Article 34: notification to data subjects without undue delay where the breach is likely to result in a high risk to their rights and freedoms.
APPI Article 26 and related cabinet orders: report to the Personal Information Protection Commission of Japan (initial report typically within 3–5 days; final report within 30 days, or 60 days for incidents involving unauthorized access) and notify affected individuals without undue delay.
U.S. state breach-notification laws: notification within the timeframes and using the methods prescribed by each applicable state law.

7. Your Rights

This Section summarizes the rights available to you depending on your jurisdiction. To exercise any right, contact hello@vyra-app.com or use the in-app account settings. We respond within the timeframes required by applicable law (typically 30–45 days). We may need to verify your identity before fulfilling certain requests.

You have the right to:

Access the personal information we hold about you;
Rectify inaccurate or incomplete personal information;
Erase your personal information (“right to be forgotten”);
Restrict processing in certain situations;
Data portability: receive your data in a structured, commonly used, machine-readable format;
Object to processing based on legitimate interests or for direct marketing;
Withdraw consent at any time;
Lodge a complaint with your local supervisory authority (see Section 13).

7.2 CCPA / CPRA (California)

If you are a California resident, you have the right to make requests covering the prior 12-month period, including:

Right to Know the categories and specific pieces of personal information collected, sources, purposes, and recipients during the prior 12 months;
Right to Delete personal information we hold about you;
Right to Correct inaccurate personal information;
Right to Opt-Out of Sale or Sharing: VYRA does not sell personal information for monetary consideration and does not “share” personal information for cross-context behavioral advertising as defined under the CPRA. See also the dedicated declaration in Section 12.
Right to Limit Use of Sensitive Personal Information: we use sensitive information only for the purposes permitted by the CPRA.
Right to Non-Discrimination: we will not discriminate against you (including by denying service, charging different prices, or providing a different level of quality) for exercising your rights.

You may designate an authorized agent (in writing or by power of attorney) to make a request on your behalf, in accordance with California law. We may request additional information to verify your identity.

Categories of personal information collected in the past 12 months (CCPA/CPRA classifications under Cal. Civ. Code §1798.140):

Category	Collected?	Categories of recipients
Identifiers (email, IP address, device ID)	Yes	Service providers (cloud, AI analysis)
Categories listed in Cal. Civ. Code §1798.80(e) (name, contact info)	Yes	Service providers
Commercial information (purchase history)	Yes	Payment processors
Internet/network activity (usage logs)	Yes	Service providers
Geolocation (approximate region from IP)	Yes	Service providers
Sensitive personal information (health, body composition)	Yes	Service providers (AI analysis)
Biometric information	No	—
Education / professional / inference data	No	—

7.3 Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), and other U.S. state comprehensive privacy laws

Where applicable, you have rights to access, correct, delete, port, and opt out of targeted advertising / sale / certain profiling. Submit requests to hello@vyra-app.com. You may appeal a denial by replying to our response email.

7.4 APPI (Japan)

Under the Act on the Protection of Personal Information (APPI), you may request:

Disclosure (開示) of your retained personal data and records of provision to third parties (APPI Article 33);
Correction (訂正), addition, or deletion of personal data that is inaccurate (APPI Article 34);
Cessation of use (利用停止) or deletion when personal data has been obtained or used unlawfully (APPI Article 35(1)–(2));
Cessation of third-party provision when personal data has been provided unlawfully or where retention is no longer necessary (APPI Article 35(3)–(4));
Disclosure of records of third-party provision (APPI Article 33(5)).

Requests may be subject to identity verification and a reasonable fee where permitted by APPI. We aim to respond without undue delay (typically within two weeks, and in any case within 30 days) of receipt.

How to submit a request: email hello@vyra-app.com with the subject line “APPI Disclosure Request” (or in Japanese: 「APPI開示等請求」).

7.5 PIPEDA (Canada), LGPD (Brazil), APP (Australia), and Other Jurisdictions

If you are a resident of Canada, Brazil, Australia, or another jurisdiction with applicable data-protection law, you have the rights set out in that law (typically including access, correction, deletion, and the right to lodge a complaint with the appropriate regulator). Contact hello@vyra-app.com.

8. Children’s Privacy

The Service is not intended for children under 13 years of age (or under the local minimum age where higher), and we do not knowingly collect personal information from such children.

8.1 EEA / UK (Under 16)

In the EEA and the UK, processing of personal data of users under 16 requires verifiable consent from a parent or guardian (GDPR Art. 8). The Service requires users between 13 and 15 in the EEA/UK to confirm such consent before completing registration.

8.2 COPPA (United States)

We comply with the U.S. Children’s Online Privacy Protection Act (COPPA). If we discover that we have collected personal information from a child under 13 in the United States without verified parental consent, we will delete that information promptly.

If you are a parent or guardian and believe your child has provided personal information to us, please contact hello@vyra-app.com and we will investigate and act on your request.

9. International Data Transfers

9.1 Primary Hosting

Production servers are located in Japan (Google Cloud asia-northeast1).

9.2 Cross-Border Transfers

Some service providers process data outside Japan. In particular:

Google Gemini API processing may take place in the United States or other Google data-center regions.
Stripe processing takes place in the United States and other Stripe regions.
Apple and Google Play Billing process payment information in their global infrastructure.

9.3 Transfer Safeguards

When transferring personal information from the EEA, UK, Switzerland, or other regulated jurisdictions to a country that has not been recognized as offering an adequate level of protection, we rely on appropriate transfer mechanisms, such as:

Standard Contractual Clauses (SCCs) approved by the European Commission;
the UK International Data Transfer Addendum for transfers from the UK;
supplementary measures (encryption, access controls) where required by case law (e.g., Schrems II).

You may request a copy of the transfer safeguards by contacting hello@vyra-app.com.

10. Cookies & Tracking Technologies

The VYRA mobile app does not use traditional browser cookies; it uses platform-level identifiers and locally stored authentication tokens.

The VYRA website uses session cookies strictly necessary to operate the site (e.g., authentication, security). We do not use third-party advertising cookies or cross-site tracking cookies. Where local law (e.g., the EU ePrivacy Directive) requires consent for non-essential cookies, we will obtain that consent through a cookie banner before placing such cookies.

11. Push Notifications

If you opt in to push notifications, we send messages such as workout reminders, motivational nudges, and important account or service announcements. You can disable push notifications at any time through your device’s notification settings or in the in-app settings.

VYRA does not sell personal information for monetary consideration. VYRA does not “share” personal information for cross-context behavioral advertising as defined by the California Privacy Rights Act (CPRA) or any analogous concept under other U.S. state privacy laws.

You do not need to take any action to opt out, because we do not engage in these activities. If our practices change, we will update this Policy, provide a clear opt-out mechanism, and obtain any consents required by law.

13. Supervisory Authorities

If you believe our processing of your personal information violates applicable law, you may file a complaint with the relevant supervisory authority.

Region	Authority
Japan	Personal Information Protection Commission (PPC) — https://www.ppc.go.jp
EEA	The Data Protection Authority of your member state (list at https://edpb.europa.eu)
United Kingdom	Information Commissioner’s Office (ICO) — https://ico.org.uk
California	California Privacy Protection Agency (CPPA) — https://cppa.ca.gov
Canada	Office of the Privacy Commissioner of Canada (OPC) — https://www.priv.gc.ca
Brazil	Autoridade Nacional de Proteção de Dados (ANPD) — https://www.gov.br/anpd
Australia	Office of the Australian Information Commissioner (OAIC) — https://www.oaic.gov.au

We encourage you to contact us first at hello@vyra-app.com so we have the opportunity to address your concerns.

14. Changes to This Privacy Policy

We may update this Privacy Policy from time to time. The “Last Updated” date reflects the most recent revisions. For material changes, we will provide reasonable advance notice through the Service or by email. Your continued use of the Service after the effective date of an updated Policy constitutes acceptance.

15. Contact

For privacy-related inquiries, requests, or complaints, please contact us:

Trade name: VYRA Labs (sole proprietorship of Shoji Nakasu)
Personal information handler / Operator: Shoji Nakasu (中洲翔司)
Address: 2F-C Shibuya Dogenzaka Tokyu Bldg., 1-10-8 Dogenzaka, Shibuya-ku, Tokyo 150-0043, Japan
Email: hello@vyra-app.com
Website: https://vyra-app.com

Response target: 2–5 business days. Formal responses to statutory requests will be provided within the timeframes set by APPI, GDPR, and other applicable laws.

VYRA is a small business and currently does not meet the conditions under GDPR Article 37 that would require appointing a Data Protection Officer (DPO), nor has VYRA appointed an EU/UK representative under GDPR Article 27. Should the appointment of either become required, we will appoint promptly and update this Policy accordingly. The operator listed above is responsible for handling privacy inquiries and is the appropriate point of contact for data-protection authorities and data subjects.

Effective Date: 2026-05-08

VYRA プライバシーポリシー

最終更新日: 2026-05-08

本プライバシーポリシー（以下「本ポリシー」といいます）は、VYRA（個人事業、屋号「VYRA Labs」、代表者：Shoji Nakasu。以下「当方」または「VYRA」といいます）が、モバイルアプリケーション「VYRA」、ウェブサイト（https://vyra-app.com）、および関連サービス（以下総称して「本サービス」といいます）の提供に際して、ユーザーの個人情報をどのように収集、利用、共有、保護するかを定めるものです。

本サービスをご利用になることで、ユーザーは本ポリシーを読み理解したことを認めるものとします。

1. はじめに

1.1 当方について

VYRAは、第15条に記載の個人事業者です。本サービスに関連して取り扱う個人情報について、当方が 個人情報取扱事業者（APPI）、データ管理者（data controller）（GDPR / UK GDPR）、ビジネス（business）（CCPA/CPRA）として位置づけられます。

個人情報の取扱いに関する苦情・相談の窓口、ならびに開示等の請求の受付窓口は、第15条記載のメールアドレスとなります（APPI第32条第1項第1号、第33〜35条準拠）。

1.2 適用範囲

本ポリシーは、本サービスを利用するすべてのユーザーに対し全世界的に適用されます。GDPR、UK GDPR、CCPA/CPRA、APPI、VCDPA、CPA、PIPEDA、LGPD、APPなどの現地法により追加の権利または義務が定められている場合は、それに従い、本ポリシーの第7条、第8条、第9条、第13条等に反映しています。

1.3 子どもについて

本サービスは、原則として満13歳未満の方（EEA・英国においては保護者同意のない満16歳未満の方）を対象としていません（第8条参照）。

2. 収集する情報

当方は、以下のカテゴリの個人情報を取得します。

2.1 ユーザーから提供される情報

カテゴリ	例
アカウント情報	メールアドレス、ハッシュ化されたパスワード、表示名
プロフィール情報	年齢、性別、身長、体重、体脂肪率、目標、目指す体型イメージ、トレーニング歴
ヘルス・フィットネスデータ	食事記録（食品名、カロリー、PFCマクロ）、ワークアウト記録（種目、重量、回数、セット数）、自己ベスト（PR）、体組成履歴（体重、体脂肪率）、食事写真、体型写真
ユーザー生成コンテンツ	プロフィール画像、共有用の進捗投稿、AIコーチに付けた名前、自由記述メモ
コミュニケーション	当方への問い合わせ内容、AIコーチとのやり取り
支払情報	サブスクリプションの種類・状態（カード番号や銀行口座等の決済詳細は決済プロバイダ側で処理・保管され、当方は保管しません）

2.2 自動的に収集される情報

カテゴリ	例
端末情報	端末モデル、OSバージョン、言語設定、端末ID（IDFV、Android ID等）、タイムゾーン
ネットワーク情報	IPアドレス、IPから推定される地域
利用ログ	表示画面、利用機能、アプリ内アクション、セッション時間、クラッシュログ、プッシュ通知への反応
クッキー類	Web版で使用するセッションクッキー（第10条参照）

2.3 第三者から取得する情報

Apple Sign-In、Google等の外部認証プロバイダ経由でログインする場合、ユーザーが付与した権限の範囲で、当該プロバイダから基本的なID情報（メールアドレス、氏名等）を受領します。

2.4 要配慮個人情報・センシティブ情報

体重、体脂肪率、体型画像、食事画像、健康・運動習慣に関するデータなど、一部のデータは、関連法令上、要配慮個人情報（APPI）、特別カテゴリの個人データ（GDPR第9条、健康データを含む）、センシティブ個人情報（CCPA/CPRA）に該当する可能性があります。当該情報は、ユーザーが該当機能を利用するために明示的に同意した場合に限り、本サービスの提供に必要な範囲で取り扱います。

なお、体型画像については、CCPA/CPRA上の「生体情報（biometric information）」には原則として該当しないと当方は理解していますが、ユーザーの居住法域においてより広く解釈される場合に備え、慎重に取り扱います。

2.5 取得しない情報

当方は以下の情報を取得しません。

正確なGPS位置情報（IPからの大まかな地域推定のみ）
連絡先帳（アドレス帳）
マイク・カメラの常時アクセス（食事写真・体型写真撮影時の単発アクセスのみ）
第三者広告ネットワークから取得するクロスサイト・トラッキング情報

3. 利用目的

当方は、個人情報を以下の目的で利用します。

目的	内容
サービス提供	本サービスの運営、ユーザー認証、AIによるトレーニング・栄養プランの生成、食事写真の解析、進捗トラッキング、プッシュ通知、決済処理
パーソナライズ	ユーザーの目標・履歴に応じたAIコーチ、プラン、ホーム画面ハイライトの最適化
サービス改善	バグ修正、アルゴリズム改善、新機能開発のための利用状況分析（統計・集計分析は匿名化データを使用）
不正利用防止	不正、詐欺、セキュリティインシデント、利用規約違反の検知・防止
コミュニケーション	お問い合わせへの回答、サービス上の重要なお知らせの送信、任意のマーケティング情報の送信（法令で要求される場合は同意を得たうえで）
法令遵守	適用法令の遵守、適法な行政・司法機関の要請への対応、税法・消費者保護法等で求められる記録の保管
アフィリエイトプログラム運営	紹介の追跡、報酬計算、不正検知、税務関連書類の作成（参加者のみ）

EEAおよび英国に居住するユーザーについて、当方が個人情報を取り扱う法的根拠は以下のとおりです。

法的根拠	該当する処理の例
契約の履行（第6条1項(b)）	アカウント作成、プラン生成、決済処理
同意（第6条1項(a)、特別カテゴリは第9条2項(a)）	ヘルスデータの処理、体型画像の処理、プッシュ通知、任意のマーケティング
正当な利益（第6条1項(f)）	集計分析、不正防止、セキュリティ、サービス改善（ユーザーの権利・自由とのバランスを評価したうえで実施）
法的義務（第6条1項(c)）	税務記録の保管、行政・司法機関の適法な要請への対応

ユーザーは、いつでも同意を撤回することができます（第7条）。撤回前に行われた処理の適法性には影響しません。

4. 第三者への提供および共有

当方は、金銭的対価と引き換えに個人情報を売却することはありません。個人情報の共有は、以下の場合に限り行います。

4.1 業務委託先（処理者）

当方は、機密保持・データ保護義務を含む契約のもとで、以下の業務委託先と個人情報を共有します。各委託先に対する監督は、APPI第25条（委託先の監督義務）に基づき適切に行います。

委託先	用途	共有データ	地域
Google LLC（Gemini API）	AIによるテキスト・画像解析	食事画像、体型画像、プロフィール・進捗を含むプロンプト	米国
Google LLC（Cloud / Firebase）	ホスティング、プッシュ通知、クラッシュレポート	サーバーログ、デバイストークン、クラッシュデータ	主に日本（asia-northeast1）。一部サービスで他リージョンを利用
Stripe, Inc.	Web決済	メールアドレス、課金情報、サブスク状態	米国
Apple Inc.	iOS課金	Apple ID 取引情報	米国
Google LLC（Play Billing）	Android課金	Google Play 取引情報	米国

Gemini APIにおけるAI学習への利用について: 当方は、Google LLCとの**有償API契約（Gemini API、Vertex AI 等）**に基づき、ユーザーの入力（テキスト・画像）が Googleの基盤モデルの学習に使用されない設定 で利用しています。詳細はGoogleのGemini API Additional Terms および Google Cloud Privacy Notice をご参照ください。

4.2 ユーザーの操作によるシェア

シェア機能を利用して進捗、自己ベスト、生成画像をSNSに投稿する場合、共有用画像とユーザーが選択した文言が、選択先プラットフォームに送信されます。当該プラットフォームに送信された後は、そのプラットフォームのプライバシーポリシーが適用されます。

4.3 集計済み・匿名化データ

ユーザー個人を特定できないよう不可逆的に変換された識別子（“anonHash”）にのみ紐づく集計・匿名化データを、サービス改善・統計・研究目的で第三者と共有することがあります。これらのデータからユーザー本人を再特定することはできません。

4.4 法令・安全のための開示

当方は、以下のいずれかに該当すると合理的に判断した場合、個人情報を開示することがあります。(a) 法令、規制、裁判所命令、適法な行政機関の要請への遵守、(b) 利用規約の執行、(c) 詐欺、セキュリティインシデント、人身への危害の防止、(d) 当方の権利・財産の保護。

4.5 事業承継

当方が買収、合併、資産譲渡、または法形態の変更（将来の法人化等）を行う場合、個人情報は承継先に引き継がれることがあります。当方は、事前に通知し、承継前に削除を希望する選択肢をユーザーに提供します。

4.6 ユーザーの個別同意がある場合

上記以外の場合は、ユーザーから個別の明示的な同意を得たうえで第三者と共有します。

5. データの保持期間

5.1 アクティブなアカウント

ユーザーのアカウントが有効である限り、または本サービスの提供に必要な期間、個人情報を保持します。

5.2 アカウント削除（7日間のクールダウン）

アカウント削除のリクエストを受けた場合、アカウントは 7日間のクールダウン期間 に入り、無効化されます。クールダウン経過後、本番システム上の個人データは恒久的かつ不可逆的に削除されます。

5.3 匿名化分析データ

削除後も、不可逆的な “anonHash” にのみ紐づく非識別データは、集計分析、AIモデル評価、サービス改善のために無期限に保持されることがあります。これらのデータからユーザー本人を再特定することはできません。

5.4 法令上の保持義務

以下の記録は、適用法令により一定期間保持されます。

記録の種類	保持期間	根拠
課金・税務関連記録	最長7年程度	日本の所得税法・消費税法・電子帳簿保存法等（適用される最長期間）
アフィリエイト報酬支払記録	最長7年程度	所得税法・支払調書作成義務
紛争に関連する記録	紛争解決および時効期間まで	法的請求の防御・行使

5.5 バックアップ

バックアップに含まれるデータは、削除後も最長30日程度残存することがあり、その後通常のローテーションで上書きされます。

6. データの安全管理

当方は、個人情報を保護するため、以下を含む技術的・組織的対策を講じています。

パスワードのハッシュ化：bcryptを使用し、平文パスワードは保存しません。
認証：JSON Web Token（JWT）を用い、短寿命のアクセストークンとローテーションされるリフレッシュトークンによる管理。
通信の暗号化：すべてのクライアント・サーバ間通信にHTTPS / TLSを利用。
保管時の暗号化：クラウド上のデータは保管時に暗号化。
最小権限の原則 に基づくアクセス制御。
異常アクセスの検知 のためのロギング・モニタリング。

完全なセキュリティを保証することはできませんが、当方は最善の努力を尽くします。万一個人データの漏えい、滅失、毀損等の事態（APPI第26条所定の事案）が発生した場合、当方は適用法令に従い、以下の対応を行います。

GDPR第33条: 監督機関への通知は、認識後72時間以内（実行可能な場合）。
GDPR第34条: データ主体の権利・自由に高いリスクがある場合、データ主体への遅滞ない通知。
APPI第26条・関係政令: 個人情報保護委員会への報告（速報は概ね3〜5日以内、確報は30日以内（不正アクセスは60日以内））、および本人への遅滞ない通知。
米国各州の漏えい通知法: 各州が定める通知期限・方法に従う通知。

7. ユーザーの権利

本条では、各法域でユーザーが行使できる主な権利を整理します。権利を行使するには、hello@vyra-app.com までご連絡いただくか、アプリ内アカウント設定をご利用ください。当方は適用法令で定める期間内（通常30〜45日）に対応します。一部のリクエストでは本人確認を求める場合があります。

ユーザーは以下の権利を有します。

アクセス権: 当方が保有する個人データの開示を求める権利
訂正権: 不正確・不完全な個人データの訂正を求める権利
削除権: 個人データの削除を求める権利（「忘れられる権利」）
処理制限権: 一定の場合に処理を制限する権利
データポータビリティ権: 構造化された機械可読形式でデータを受け取る権利
異議権: 正当な利益に基づく処理またはダイレクトマーケティングに対する異議申立権
同意撤回権: いつでも同意を撤回する権利
苦情申立権: 居住国の監督機関に苦情を申し立てる権利（第13条参照）

7.2 CCPA / CPRA（カリフォルニア州）

カリフォルニア州の住民であるユーザーは、以下の権利を有します。過去12か月間の各権利の行使を当方に請求することができ、当方は法令に従い対応します。

知る権利: 過去12か月間に収集された個人情報のカテゴリ、具体的な内容、収集元、利用目的、提供先を知る権利
削除権: 保有されている個人情報の削除を求める権利
訂正権: 不正確な個人情報の訂正を求める権利
販売・共有のオプトアウト: 当方は、CPRA上「販売」または「クロスコンテキスト行動広告のための共有」に該当する利用を行っていません（第12条参照）。
センシティブ個人情報の利用制限: 当方はCPRAで許可された目的にのみ利用しています。
差別禁止: 権利行使を理由に、サービス提供拒否、料金変更、品質低下等の差別的取扱いを行いません。

カリフォルニア法に従い、書面または電子委任により代理人による申請も可能です。本人確認のため、追加情報の提供をお願いする場合があります。

CCPA/CPRA に基づく個人情報のカテゴリ別収集状況（過去12か月）:

Cal. Civ. Code §1798.140 上の区分	収集の有無	開示先のカテゴリ
識別子（メール、IPアドレス、デバイスID）	あり	業務委託先（クラウド、AI解析）
Cal. Civ. Code §1798.80(e) のカテゴリ（氏名、連絡先）	あり	業務委託先
商業情報（購入履歴）	あり	決済プロバイダ
インターネット活動（利用ログ）	あり	業務委託先
地理的位置情報（IPからの大まかな地域）	あり	業務委託先
センシティブ個人情報（健康・体組成データ）	あり	業務委託先（AI解析）
生体情報	なし	—
教育情報・職業情報・推論情報	なし	—

7.3 バージニア（VCDPA）、コロラド（CPA）、コネチカット（CTDPA）、ユタ（UCPA）、テキサス（TDPSA）等の米国州法

該当する場合、ユーザーはアクセス、訂正、削除、ポータビリティ、ターゲティング広告・販売・特定のプロファイリングへのオプトアウトの権利を有します。リクエストは hello@vyra-app.com までお送りください。回答に不服がある場合、回答メールへの返信により異議申立てができます。

7.4 APPI（日本）

個人情報保護法（APPI）に基づき、ユーザーは当方に対し以下を請求できます。

開示（APPI第33条）: 保有個人データおよび第三者提供記録の開示
訂正・追加・削除（同第34条）: 内容が事実でない場合
利用停止または消去（同第35条第1項・第2項）: 違法に取得・利用された場合
第三者提供の停止（同第35条第3項・第4項）: 違法に提供された場合、または当該保有個人データを利用する必要がなくなった場合等
第三者提供記録の開示（同第33条第5項）

請求の際、APPI で認められる範囲で本人確認や合理的な手数料の負担をお願いすることがあります。当方は、原則として請求受領から 遅滞なく（通常2週間以内、最長30日以内） 対応します。

請求方法: hello@vyra-app.com まで「APPI開示等請求」と明記の上、メールにてご連絡ください。

7.5 PIPEDA（カナダ）、LGPD（ブラジル）、APP（オーストラリア）等

カナダ、ブラジル、オーストラリアその他の法域に居住するユーザーは、当該法令に基づく権利（通常、アクセス、訂正、削除、規制機関への苦情申立て等）を有します。詳細は hello@vyra-app.com までお問い合わせください。

8. 児童のプライバシー

本サービスは、満13歳未満の児童（現地法でより高い最低年齢が定められている場合はその年齢未満の児童）を対象としておらず、当該児童から個人情報を意図的に収集することはありません。

8.1 EEA・英国（満16歳未満）

EEAおよび英国においては、満16歳未満のユーザーの個人データを処理する場合、保護者または法定代理人による確認可能な同意が必要です（GDPR第8条）。EEA・英国に居住する13歳〜15歳のユーザーは、登録完了前にこの同意の確認を求められます。

8.2 COPPA（米国）

当方は、米国 Children’s Online Privacy Protection Act（COPPA）を遵守します。米国内の13歳未満の児童から、検証可能な保護者同意なしに個人情報を収集してしまったことが判明した場合、当該情報を速やかに削除します。

保護者・法定代理人の方で、お子様が本サービスに個人情報を提供したと思われる場合は、hello@vyra-app.com までご連絡ください。

9. 国際データ移転

9.1 主たるホスティング

本サービスの本番サーバーは 日本国内（Google Cloud asia-northeast1） に設置されています。

9.2 国境を越える移転

一部の業務委託先は日本国外でデータを処理します。具体的には以下のとおりです。

Google Gemini API の処理は米国その他のGoogleデータセンター地域で行われる場合があります。
Stripe の処理は米国その他のStripeリージョンで行われます。
Apple および Google Play Billing の決済処理は、各社のグローバルインフラで行われます。

9.3 移転の保護措置

EEA、英国、スイス等の規制対象地域から十分性認定のない国へ個人情報を移転する場合、当方は以下を含む適切な移転メカニズムを利用します。

欧州委員会承認の 標準契約条項（SCC）
英国からの移転に関する UK International Data Transfer Addendum
判例（Schrems II 等）で必要とされる場合の追加措置（暗号化、アクセス制御等）

移転に関する保護措置の詳細は hello@vyra-app.com までお問い合わせください。

10. クッキー・追跡技術

VYRAのモバイルアプリは、従来のブラウザクッキーを使用せず、プラットフォームレベルの識別子およびローカル保存される認証トークンを使用します。

VYRAのウェブサイトでは、サイトの運営に厳密に必要な セッションクッキー（認証、セキュリティ）を使用します。第三者の広告クッキーやクロスサイトトラッキングクッキーは使用していません。EUのePrivacy指令など、現地法で非必須クッキーへの同意が必要な場合は、クッキーバナー等を通じて事前に同意を取得します。

11. プッシュ通知

ユーザーがプッシュ通知をオプトインした場合、当方はワークアウトリマインダー、モチベーションメッセージ、重要なアカウント・サービス通知などを送信します。プッシュ通知は、端末の通知設定またはアプリ内設定からいつでも無効化できます。

12. 個人情報の販売・共有を行わないことの宣言

VYRA は、金銭的対価と引き換えに個人情報を販売することはありません。また、CPRAで定義される クロスコンテキスト行動広告のための「共有」 やこれに類する米国各州法上の概念に該当する処理は行いません。

当方はこれらの活動を行っていないため、ユーザーがオプトアウトのために特別な手続きを行う必要はありません。当方の取扱いに変更が生じた場合は、本ポリシーを更新し、明確なオプトアウト手段を提供したうえで、必要な同意を取得します。

13. 監督機関

当方の個人情報の取扱いが適用法令に違反していると考える場合、関係する監督機関に苦情を申し立てることができます。

地域	機関
日本	個人情報保護委員会（PPC） — https://www.ppc.go.jp
EEA	居住国のデータ保護機関（一覧: https://edpb.europa.eu ）
英国	Information Commissioner’s Office（ICO） — https://ico.org.uk
カリフォルニア州	California Privacy Protection Agency（CPPA） — https://cppa.ca.gov
カナダ	Office of the Privacy Commissioner of Canada（OPC） — https://www.priv.gc.ca
ブラジル	Autoridade Nacional de Proteção de Dados（ANPD） — https://www.gov.br/anpd
オーストラリア	Office of the Australian Information Commissioner（OAIC） — https://www.oaic.gov.au

監督機関に申し立てる前に、まずは hello@vyra-app.com までご連絡いただけますと幸いです。当方の対応により早期に解決できる場合があります。

14. 本ポリシーの変更

当方は、本ポリシーを随時改定することがあります。改定後の本ポリシーは、本書冒頭の「最終更新日」をもって反映されます。重要な変更については、本サービス内またはメールで合理的な期間を置いて事前に通知します。改定後の効力発生日以降に本サービスを利用した場合、改定後のポリシーに同意したものとみなされます。

15. お問い合わせ

プライバシーに関するお問い合わせ、ご請求、苦情は以下までお願いいたします。

屋号: VYRA Labs（個人事業主・代表者: 中洲翔司）
個人情報取扱事業者・運営責任者: Shoji Nakasu（中洲翔司）
所在地: 東京都渋谷区道玄坂1丁目10番8号渋谷道玄坂東急ビル2F-C
メール: hello@vyra-app.com
ウェブサイト: https://vyra-app.com

返信目安: 営業日2〜5日以内。法令上の請求への正式回答は、APPI/GDPR等の法定期間内に行います。

VYRAは小規模事業者であり、現時点ではGDPR第37条が要求する条件には該当しないため、データ保護責任者（DPO）およびGDPR第27条に基づくEU/UK代理人を任命していません。状況により任命義務が生じた場合は速やかに任命のうえ本ポリシーを更新します。プライバシーに関するお問い合わせの窓口、およびデータ保護機関・データ主体からの連絡先は、上記の運営責任者となります。

施行日: 2026年4月29日