Privacy Policy

Sumdle Privacy Policy

Last updated: 2026-07-27 (v1.0 launch)

Operator: Moru合同会社 (Moru LLC) — Representative: PARK DONGMIN (代表社員)

English

1. Information We Handle

Sumdle does not require account registration and does not ask for your name, email address, phone number, postal address, or password inside the app.

We may handle anonymous app identifiers, app settings, gameplay records, daily puzzle progress, streaks, share events, local notification state, ad consent state, ad events, analytics events, crash diagnostics, app version, platform, and approximate device information needed to operate and improve the app.

Some data is stored locally on your device, including preferences, gameplay history, completed dates, streak state, and consent state.

2. How We Use Information

We use information to provide the daily puzzle, Shadow Replay, results, stats, streaks, preferences, sharing, ads, local reminders, analytics, crash monitoring, abuse prevention, and release quality checks.

3. Ads and Consent

Free users may see Google AdMob interstitial and rewarded ads. In regions where Google requires privacy choices, the app uses Google's consent flow before requesting ads. On iOS, Apple App Tracking Transparency permission may be requested after a later engagement trigger, not on first launch.

When personalized ads are not available or consent is not obtained, the app is designed to request non-personalized ads where applicable.

4. Service Providers

• PostHog (EU host, eu.posthog.com): product analytics and feature flags. Anonymous nanoid + gameplay events. Session replay and autocapture are disabled. Retention: 12 months rolling.
• Sentry (EU host, de.sentry.io): crash and error monitoring. sendDefaultPii: false; email / name / phone / address / IP / advertising-ID-like keys are scrubbed in beforeSend. Retention: 90 days.
• Google AdMob and Google User Messaging Platform: ads, consent, and ad measurement. Configured with maxAdContentRating='PG', tagForChildDirectedTreatment=false, tagForUnderAgeOfConsent=false to match the 9+ / Everyone 10+ age rating. IDFA/AAID only after ATT consent.
• Cloudflare, Inc. (R2 + CDN): static seed JSON and asset delivery from global edge. No PII processed; IP visible only transiently at request time.
• RevenueCat, Inc.: NOT initialized in v1.0 (deferred to v1.1). When activated in v1.1, RevenueCat will process purchase receipts and an anonymous App User ID under SCC.
• Apple App Store / Google Play (Play Billing): app distribution and platform controls. In-app purchase processing applies from v1.1 only.
• Expo and device operating-system services: app platform services and local notifications.

5. Your Choices

• You can change language, sound, haptics, and available ad privacy options in Sumdle settings.
• You can change tracking and notification permissions in your device settings.
• You can delete local app data by uninstalling the app or clearing app data through your device.

6. Children

Sumdle is rated 9+ (App Store) / Everyone 10+ (Google Play / IARC). It is not directed to children under 13 (or 16 where GDPR-K applies). AdMob is configured with maxAdContentRating='PG', tagForChildDirectedTreatment=false, and tagForUnderAgeOfConsent=false. The App does not present a self-declared age gate; for EU/UK Member States where GDPR Art. 8 sets the digital-age-of-consent above 13, a 13–15-year-old user may therefore use the App without verifiable parental consent. We have evaluated this against EDPB Guidelines 05/2020 and concluded that the residual processing for those users in v1.0 is limited to non-personalized advertising and aggregate analytics under legitimate interest, because the App has no account login, UGC, chat, social graph, profile, precise location, or cross-property behavioral profile, and AdMob is restricted to the PG content rating with personalized advertising gated by ATT/UMP consent. We will reassess and add a dynamic tagForUnderAgeOfConsent path (region detection + parental-consent flow) at the v1.1 evaluation point per ADR-002 Decision 2. Parents or guardians of EU/UK users under 16 who object to this processing may contact info@moru.tech and we will delete the associated pseudonymous data promptly.

7. International Transfers

Where data is transferred outside the EEA / UK / Japan, we rely on Standard Contractual Clauses (SCCs) and supplementary safeguards as described in each processor's documentation. Information about the personal-data protection regime of the recipient country is available on request from info@moru.tech (改正APPI 第28条準拠).

8. California Residents (CCPA / CPRA)

We do not sell or share personal information as defined under the CCPA/CPRA. California residents may exercise their rights to know, delete, and correct by emailing info@moru.tech. A dedicated disclosure page is available at Do Not Sell or Share My Personal Information.

9. Security & Responsible Disclosure

Security researchers may report suspected vulnerabilities to info@moru.tech. A machine-readable contact is also published at /.well-known/security.txt (RFC 9116). Please do not exploit any issue beyond what is necessary to demonstrate it and do not access, modify, or exfiltrate data that does not belong to you.

10. Contact

For privacy questions, email info@moru.tech.

Moru合同会社, 〒150-0043 東京都渋谷区道玄坂1丁目10番8号 渋谷道玄坂東急ビル 2F-C, Japan.

日本語

運営者: Moru合同会社

1. 取り扱う情報

Sumdle はアカウント登録を必須としておらず、アプリ内で氏名、メールアドレス、電話番号、住所、パスワードの入力を求めません。

当社は、匿名のアプリ内識別子、アプリ設定、プレイ記録、デイリーパズルの進行、ストリーク、共有イベント、ローカル通知状態、広告同意状態、広告イベント、分析イベント、クラッシュ診断、アプリバージョン、プラットフォーム、端末に関する概略情報を取り扱う場合があります。

一部の情報は、設定、プレイ履歴、完了日、ストリーク、同意状態として端末内に保存されます。

2. 利用目的

当社は、デイリーパズル、Shadow Replay、結果、統計、ストリーク、設定、共有、広告、ローカル通知、分析、クラッシュ監視、不正防止、リリース品質確認のために情報を利用します。

3. 広告と同意

無料ユーザーには Google AdMob のインタースティシャル広告およびリワード広告が表示される場合があります。Google がプライバシー選択を求める地域では、広告リクエスト前に Google の同意フローを使用します。iOS では、初回起動時ではなく、その後の利用トリガー後に Apple App Tracking Transparency の許可を求める場合があります。

4. 外部サービス

• PostHog（EUホスト、eu.posthog.com）: プロダクト分析およびフィーチャーフラグ。匿名 nanoid + ゲームプレイイベント。セッションリプレイおよび自動取得は無効化。保有期間: 12か月。
• Sentry（EUホスト、de.sentry.io）: クラッシュ・エラー監視。sendDefaultPii: false 設定。メール／氏名／電話／住所／IP／広告ID 等のキーは beforeSend でスクラブ。保有期間: 90日。
• Google AdMob および Google User Messaging Platform: 広告、同意、広告測定。年齢区分 9+ / Everyone 10+ に整合させるため maxAdContentRating='PG'、tagForChildDirectedTreatment=false、tagForUnderAgeOfConsent=false を設定。IDFA/AAID は ATT 同意後のみ。
• Cloudflare, Inc.（R2 + CDN）: 静的シードJSON・アセット配信（グローバルエッジ）。PII は処理しません。
• RevenueCat, Inc.: v1.0 では未初期化（無効）。v1.1 で Pro Unlock 提供開始時に有効化予定（米国、SCC 締結）。
• Apple App Store / Google Play（Play Billing）: アプリ配布およびプラットフォーム管理。アプリ内課金処理は v1.1 以降に適用。
• Expo および端末OSのサービス: アプリ基盤サービスおよびローカル通知。

5. ユーザーの選択

ユーザーは、Sumdle の設定から言語、効果音、触覚フィードバック、利用可能な広告プライバシー設定を変更できます。また、端末設定からトラッキングおよび通知の許可を変更できます。

6. 子どもの利用

本アプリは年齢区分 9+（App Store）／ Everyone 10+（Google Play / IARC） で提供されます。13歳未満（GDPR が適用される地域では16歳未満）の利用者は対象外です。AdMob は maxAdContentRating='PG'、tagForChildDirectedTreatment=false、tagForUnderAgeOfConsent=false を設定しています。本アプリは自己申告型の年齢ゲートを設けていないため、EU/UK 加盟国で GDPR 第8条のデジタル同意年齢が 13 歳を超える地域では、保護者の検証可能な同意なしに 13〜15 歳のユーザーが利用する可能性があります。当社は EDPB Guidelines 05/2020 に照らし、本アプリにはアカウントログイン、UGC、チャット、ソーシャルグラフ、プロファイル、精密位置情報、第三者プロパティ横断のプロファイル構築がなく、AdMob は PG コンテンツレーティングに制限され、パーソナライズ広告は ATT/UMP 同意でゲートされていることから、v1.0 における当該ユーザーの残存処理は非パーソナライズ広告および集計分析（正当利益）に限定されると判断しました。`tagForUnderAgeOfConsent` の動的設定（地域検出＋保護者同意フロー）は v1.1 評価時点で再検討します（ADR-002 Decision 2）。EU/UK の 16 歳未満ユーザーの保護者の方で、本処理に異議がある場合は info@moru.tech までご連絡ください。当該仮名化データを速やかに削除します。

7. 外国にある第三者への提供

EEA / UK / 日本以外の国に所在する事業者へ個人データを提供することがあります。各社の Privacy Policy および SCC（標準契約条項）等の契約上の措置により、本人の権利利益保護のための継続的措置を講じています。提供先国（米国・グローバル）の個人情報保護制度に関する情報は、ご請求があった場合に info@moru.tech から提供いたします（改正APPI 第28条準拠）。

8. セキュリティ・脆弱性報告窓口

セキュリティ研究者の方は、発見した脆弱性を info@moru.tech までご報告ください。機械可読な連絡先は /.well-known/security.txt（RFC 9116）にも掲載しています。脆弱性の実証に必要な範囲を超えた攻撃や、第三者データへのアクセス・改ざん・持出しはお控えください。

9. 連絡先

プライバシーに関する問い合わせは info@moru.tech までお送りください。

Moru合同会社, 〒150-0043 東京都渋谷区道玄坂1丁目10番8号 渋谷道玄坂東急ビル 2F-C