Privacy Policy

1. Who we are (data controller)

Your Pacer ("we") is the controller of your personal data. Our entity of record will be confirmed at production launch (Phase 2). For privacy questions: privacy@yourpacer.run.

1. 当社について（データ管理者）

Your Pacer（以下「当社」）は、お客様の個人データの管理者 （Data Controller）です。運営事業者は本番ローンチ（Phase 2）時に 確定します。プライバシーに関するお問い合わせは privacy@yourpacer.run までお寄せください。

2. What data we collect, why, and for how long

2. 取得するデータ・目的・保存期間

3. Legal basis (GDPR Article 6 / 9)

• Account data — Contract performance (Art 6(1)(b))
• Health data (HRV, sleep, HR, GPS) — Explicit consent under Art 6(1)(a) + Art 9(2)(a)
• AI analysis of your individual data — Explicit consent
• ML training on pseudonymized data (see §7 for the precise meaning) — Explicit, opt-in, separately consentable, withdrawable. We do NOT use this category without that specific consent.
• Billing — Contract performance (Stripe is processor under separate DPA)

3. 法的根拠（GDPR 第6条・第9条）

• アカウントデータ — 契約履行（第6条1項(b)）
• 健康データ（HRV、睡眠、心拍、GPS）— 明示的同意（第6条1項(a) + 第9条2項(a)）
• 個別データの AI 分析 — 明示的同意
• 仮名化データの ML 学習（具体的意味は第7条参照）— 明示的・任意・ 個別同意可・撤回可能。本同意なしには本カテゴリの利用はしません。
• 課金 — 契約履行（Stripe は別 DPA に基づく処理者）

4. Who we share data with (sub-processors)

Cross-border transfers to USA-based processors rely on Standard Contractual Clauses (SCCs) and supplementary measures.

4. データの共有先（サブプロセッサ）

米国所在のプロセッサへの越境移転は、標準契約条項（SCCs）および 補完的措置に基づき実施されます。

5. Your rights

• Access: ask for a copy of your data (machine-readable JSON within 30 days).
• Rectification: edit demographic info via signup re-link or a reply email.
• Deletion: delete your account from settings. Personal records erased in 30 days.
• Portability: export your data in standard formats (JSON for activities, CSV for daily metrics).
• Withdraw consent: withdraw any granular consent anytime. Withdrawing the AI analysis consent stops coaching letters; withdrawing ML training consent excludes future data from training datasets.
• Object to ML training: opt out of ML training without affecting service.
• Lodge a complaint: with your local supervisory authority (PPC for Japan, EU national DPAs for EU residents).

5. お客様の権利

• アクセス権: ご自身のデータの写しを請求できます （30日以内に機械可読な JSON で提供）。
• 訂正権: デモグラフィック情報は再サインアップや メール返信で編集できます。
• 削除権: 設定画面からアカウントを削除できます。 個人記録は30日以内に消去されます。
• ポータビリティ権: データを標準フォーマット （アクティビティは JSON、日次メトリクスは CSV）でエクスポート できます。
• 同意の撤回: 各同意項目はいつでも個別に撤回 できます。AI 分析の撤回はコーチングメールの停止につながり、 ML 学習の撤回は今後の学習データセットから除外されます。
• ML 学習への異議: ML 学習を opt-out しても サービスには影響しません。
• 監督機関への申立: 居住地の監督機関（日本は 個人情報保護委員会、EU 居住者は加盟国の DPA）に申し立てが できます。

6. Security measures

• Encryption in transit (TLS 1.2+)
• Encryption at rest for OAuth tokens (pgcrypto)
• Postgres role separation (read-only analytics role separate from app role)
• Daily automated backups with 30-day retention
• (Phase 2 target) WAL archiving + point-in-time recovery
• (Phase 2 target) SOC 2 readiness assessment

β-stage transparency. During the closed β (until 2026-Q3), the production data store is on a single Tokyo Mac mini with iCloud-backed daily snapshots. Cloud HA migration is committed for Phase 2 (Fly.io Tokyo region + managed Postgres). β participants are informed of this posture and consent to it explicitly.

6. セキュリティ対策

• 通信時の暗号化（TLS 1.2 以上）
• OAuth トークンの保管時暗号化（pgcrypto）
• Postgres ロール分離（読取専用の分析用ロールとアプリ用ロールを分離）
• 毎日の自動バックアップ・30日保存
• （Phase 2 目標）WAL アーカイブ + ポイントインタイムリカバリ
• （Phase 2 目標）SOC 2 対応状況の評価

β段階の透明性。 クローズドβ期間中（〜2026-Q3）、 本番データストアは単一の東京 Mac mini 上にあり、iCloud による日次 スナップショットを取得しています。Phase 2 でのクラウド HA 移行 （Fly.io 東京リージョン + マネージド Postgres）にコミットしています。 β参加者にはこの状態を明示的に開示し、同意のうえご利用いただいて います。

7. ML training specifics

Plain words first, legal precision second: we do not sell or rent your data, do not use it for advertising, and do not share it with insurance companies, employers, or wellness platforms. What we may do — only if you opt in to ML training (consent #5) — is described below in honest terms.

7.1 Why we ask for this consent — and what does NOT depend on it

Your Pacer is a personalized coaching service. The accuracy of that coaching gets better as our underlying models learn from real-world training-response data. ML training, with your opt-in, makes pseudonymized contributions from many users available to that learning loop. Concretely, we may use the resulting cross-user patterns to:

• Detect training-response signals we couldn't see on small data (e.g., when a particular HRV pattern reliably precedes a poor week).
• Calibrate prescription recommendations against a wider population — for example, refining the heuristics behind our polarized base / threshold / interval prescriptions.
• Build (eventually) custom workout-suggestion models that go beyond what general-purpose LLMs do alone.

Who benefits. Improved models serve everyone using Your Pacer at the time the model is deployed — that includes other consenting users and your future self. ML training is, in that sense, a cooperative arrangement.

What does NOT depend on this consent — important. The personalized coaching applied to your individual data today is governed by the AI analysis consent (consent #4 in §3), not by this one. Opting out of ML training does not degrade your day-to-day coaching, and we will not penalize an opt-out by withholding any feature, content, or accuracy that opted-in users receive on identical inputs. This separation is required by GDPR Art 7(4) (consent must be freely given) and is something we actively enforce in the code path, not just in policy.

7.2 What "pseudonymized" means here (and why we don't say "anonymized")

Under GDPR, true anonymization means data is irreversibly stripped of identifying information so it can no longer be linked to you, even by us — and once that's the case, GDPR no longer applies to it. We do not claim that. Behavioral signals — GPS routes, heart-rate patterns over weeks, sleep architecture, training response curves — are biometrically identifying. Removing your name and email does not remove the fingerprint embedded in those signals.

What we actually do is pseudonymization (GDPR Art 4(5)): we strip the direct identifiers (name, email, account ID, external provider IDs) before the data enters a training pipeline. Pseudonymized data is still personal data under GDPR and is still protected by every right described in §5. We are simply being honest that we are not turning your data into something GDPR-exempt.

7.3 Operations we may perform on opted-in data

Note: within-user trend analysis (looking at your own data to coach you better) is part of the AI analysis consent and runs for every active user. The operations below are the cross-user things that this opt-in unlocks.

• Use cross-user pseudonymized patterns to retrain coaching prompts and (in the future) custom ML models that suggest workouts.
• For any data shared outside our infrastructure (e.g., with a future fine-tuning provider), apply k-anonymization with k ≥ 5 — meaning each released record is grouped with at least four similar records so individual users cannot be singled out within the released set. Even this falls short of full GDPR anonymization and is treated as a pseudonymous transfer.

7.4 Limits we accept

• No advertising profiling. The pseudonymized patterns serve only the coaching product.
• No third-party sharing for commercial reuse. Sub-processors named in §4 receive only what they need to do their job under DPA + SCCs.
• No insurance / employer / wellness-platform handoff.

7.5 Right to retroactive deletion — the technical limit

Data that has already been incorporated into a trained model (i.e. weights have absorbed it) cannot be removed from that model. This is a technical, not a policy, limit — current machine learning architectures do not support per-record forgetting. To preserve your full right to erasure under GDPR Art 17:

• Withdraw ML training consent BEFORE a training run begins; we will notify consenting users at least 30 days before any new training run.
• If you withdraw after a training run, your pseudonymized data is removed from raw tables and from future training datasets, but we cannot retroactively unwind the model that already incorporated it.

This limit is disclosed at the consent checkbox, in the Terms of Service, and again here. A model trained on your patterns is, in a real sense, partially you — withdrawing later cannot make that fully untrue.

7. ML 学習の詳細

分かりやすく言えば、 当社はあなたのデータを売らず、 貸さず、広告に使わず、保険会社・雇用主・ウェルネスプラットフォーム に共有しません。ML 学習（同意 #5）に opt-in いただいた場合のみ 当社が行うことを、率直に下記に記載します。

7.1 なぜこの同意を求めるのか — そして本同意に「依存しない」もの

Your Pacer はパーソナライズドなコーチングサービスです。コーチング の精度は、現実のトレーニング応答データから学習することで継続的に 向上していきます。ML 学習は、opt-in いただいた多数のユーザーから 仮名化された貢献を学習ループに供給する仕組みです。具体的には、 その結果得られるユーザー横断のパターンを、次の用途に利用します：

• 少数データでは見えなかったトレーニング応答シグナルの検知 （例：特定の HRV パターンが直後の不調週を予測する場合など）
• 処方推奨の母集団キャリブレーション — 例：ポラライズドな ベース / 閾値 / インターバル処方のヒューリスティクスを精緻化
• （将来的に）汎用 LLM の枠を超えたカスタムワークアウト提案 モデルの構築

誰が便益を受けるか。 改善されたモデルは、その モデル展開時点で Your Pacer を使っているすべてのユーザーに恩恵を もたらします。これには他の opt-in ユーザーと、将来のあなた 自身が含まれます。ML 学習はこの意味で協力的な取り決めです。

本同意に依存しないもの — 重要。 あなたの個別データに対する今日のパーソナライズドコーチング は、AI 分析の同意（第3条の同意 #4）の管理下にあり、本同意とは 無関係です。ML 学習の opt-out は日々のコーチングを劣化させず、 同じ入力に対して opt-in ユーザーが受け取る機能・コンテンツ・ 精度を opt-out ユーザーに対して保留することはありません。この 分離は GDPR 第7条4項（同意は自由に与えられたものでなければ ならない）に求められるもので、ポリシーだけでなくコード上で 積極的に担保しています。

7.2 ここでいう「仮名化」の意味（なぜ「匿名化」と称しないのか）

GDPR 上、真の匿名化とは、識別情報を不可逆的に取り除き、 当社自身を含めて誰もそのデータをあなたに紐付けられない状態を 指します — そしてその状態に達したデータには GDPR が適用されません。 当社はそうは主張しません。行動シグナル — GPS ルート、数週間に わたる心拍パターン、睡眠アーキテクチャ、トレーニング応答曲線 — は生体的に識別性を持ちます。氏名やメールアドレスを取り除いても、 これらシグナル自体に埋め込まれた指紋は除去されません。

実際に当社が行うのは仮名化（GDPR 第4条5項）です。 直接識別子（氏名、メール、アカウント ID、外部プロバイダ ID）を 学習パイプラインに投入する前に取り除きます。仮名化されたデータは GDPR 上引き続き個人データであり、第5条に記載されたすべての権利の 対象です。データを GDPR 適用外にしているわけではない、という事実 を率直にお伝えしています。

7.3 opt-in されたデータに対して当社が行いうる操作

補足：ユーザー内のトレンド分析（あなたを良くコーチング するためにあなたのデータを見ること）は AI 分析同意の範囲で、 アクティブな全ユーザーに対して実施されます。下記は本 opt-in に よってアンロックされるユーザー横断の操作です。

• ユーザー横断の仮名化パターンを用い、コーチングプロンプトを 再学習し、（将来的に）ワークアウトを提案するカスタム ML モデルを構築する。
• 当社のインフラ外に共有するデータ（例：将来の fine-tuning プロバイダ）には k-匿名化（k ≥ 5）を追加適用し、 各リリースレコードが少なくとも4件の類似レコードと同一グループ になるようにします。これにより個別ユーザーが リリースセット 内で特定されにくくなります。ただし、これも GDPR 上の完全な 匿名化には到達しないため、引き続き仮名化された移転として 扱います。

7.4 当社が受け入れる制限

• 広告プロファイリングは行いません。 仮名化されたパターンはコーチングプロダクトのためのみに利用 されます。
• 商業再利用のための第三者共有は行いません。 第4条記載のサブプロセッサは、DPA + SCCs に基づき業務遂行に 必要な範囲のみを取得します。
• 保険会社／雇用主／ウェルネスプラットフォームへの 受け渡しは行いません。

7.5 事後的な削除権 — 技術的限界

既に学習済みモデルに組み込まれた（重みに吸収された）データは、 当該モデルから取り除くことができません。これは ポリシーではなく技術的限界です。現在の機械学習アーキテクチャは レコード単位の「忘却」をサポートしていません。GDPR 第17条の 消去権を完全に維持するには：

• 学習 run の開始前に ML 学習同意を撤回して ください。新しい学習 run の開始30日前に同意者宛に通知します。
• 学習 run の後に撤回した場合、生テーブルおよび今後の 学習データセットからは仮名化データが除外されますが、既に当該 データを取り込んだモデルを事後的に巻き戻すことはできません。

この限界は、同意チェックボックス、利用規約、本ポリシーの3か所 で開示しています。あなたのパターンで学習されたモデルは、ある 意味で部分的にあなた自身であり、後からそれを完全に「ない」もの にすることはできません。

8. Children

We do not knowingly collect data from anyone under 16. Our minimum signup age is 16.

8. 未成年

当社は16歳未満の方からデータを意図的に取得しません。最低登録 年齢は16歳です。

9. Changes

Material changes require renewed consent (in-app modal + email notification). Minor changes are logged in a public changelog at /legal/changelog.

9. 変更

実質的な変更は再同意を要します（アプリ内モーダル＋メール通知）。 軽微な変更は /legal/changelog の公開変更履歴に記録します。