Privacy Policy

1. Overview

Letterveil is an app for writing letters to your future self, sealing them, and opening them on a chosen date. This Privacy Policy explains what information Letterveil processes, why it processes it, and what choices you have.

Operator

Operator: ClueNode
Contact: cluenode@gmail.com

2. Information We Process

• Letter data: title, body text, created/sealed/opened timestamps, scheduled open date, reply/thread relations, and lifecycle state (draft/sealed/opened/hidden)
• Attached photos: images you choose from your gallery or capture with the camera (EXIF metadata is removed automatically when the letter is sealed)
• Reflection notes: body text, timestamp, optional emotion tag, and visibility (normal/hidden)
• App settings: language, theme, paper style, notification time, app-lock toggle, lifetime seal count, and similar preferences
• Purchase data: in-app purchase receipts and transaction details from Apple App Store / Google Play
• Crash diagnostics: anonymous diagnostic data sent automatically to Sentry on crashes or unhandled errors (stack trace, OS version, app version, locale, anonymous device identifier). Letter contents, photos, and user-written text are not included.

3. How We Collect Information

• Information you directly enter or attach in the app (letters, photos, reflections, settings)
• Timestamps and state records generated automatically by your actions (sealing, opening, hiding)
• Operating system permission status when you grant notifications, camera, photo library, or biometric access
• Transaction data passed through the store when you initiate or restore an in-app purchase
• Diagnostic data sent automatically when the app crashes or encounters an unhandled error

4. Why We Use Information

• To support writing, sealing, opening, replying, and thread display of letters
• To enable reflection notes, emotion tags, and search across them
• To deliver scheduled-open notifications and D-1 reminders, when enabled
• To create and restore user-initiated encrypted backup files
• To enforce app lock and Hidden Box access via biometric / device credential
• To verify in-app purchases, grant entitlements, and restore purchases
• To diagnose crashes and unhandled errors so we can improve stability

5. Storage and Retention

Letterveil is local-first; almost all data is stored only on your device.

• Letters, photos, reflections: stored locally in a SQLCipher-encrypted (AES-256) database. The encryption key is kept in iOS Keychain / Android Keystore and only accessible after your device is unlocked. Data persists on your device until you delete it or remove the app.
• Encrypted backup files (.futureletter): when you choose to export, files are saved to a location you pick (Files app, iCloud Drive, Google Drive, etc.). Backups are encrypted with AES-256-GCM + PBKDF2-HMAC-SHA256 (600,000 iterations). The operator cannot access these files.
• Android automatic backup: we disable Android's system auto-backup and device-to-device transfer (allowBackup=false, dataExtractionRules) to prevent unintended off-device data flow.
• iOS system backup: if you have iCloud Backup enabled, your device backup may include the app's data per OS defaults. The data remains SQLCipher-encrypted within that backup.
• Crash diagnostics: sent to Sentry (United States) and retained per Sentry's default policy (typically 30–90 days) before automatic deletion.
• In-app purchase receipts: used only to verify entitlement on-device; we do not store them on any server we operate. Receipts retained by Apple or Google follow each provider's own terms.

6. Sharing and Service Providers

We do not sell personal information, and we do not transmit your letters, photos, or reflections to any third party. The following service providers are used to operate the service:

• In-app purchases: Apple Inc. (App Store) / Google LLC (Google Play) — payment processing and receipt verification
• Crash reporting: Functional Software, Inc. (Sentry) — United States — receives and stores anonymous diagnostic data

International transfer: Sentry is hosted in the United States. Crash diagnostic data may be transferred to and processed in the United States. The categories of data transferred are described under "Crash diagnostics" in Section 2; the purpose is the stability improvement described in Section 4.

7. Permissions and Device Features

• Notifications: optional, used for scheduled-open and D-1 reminders
• Camera / Photo library: optional, used only when you attach a photo to a letter
• Biometric / device credential: optional, used for app lock and Hidden Box. Only the success/failure result is used; biometric templates never leave the OS.
• Internet: used only for in-app purchase processing and crash report delivery. Letter data is never sent over the internet.

You can revoke any of these permissions at any time in your device settings.

8. Your Choices

• You can edit or delete any draft letter at any time.
• For sealed letters: undo within 1 hour of sealing, or delete within 7 days (and at most until the day before the scheduled open date). After that, edits and deletions are restricted to protect the sealed record.
• You can edit a reflection note within 10 minutes of saving it.
• All data is removed when you uninstall the app (except backup files you exported).
• You can revoke notification, camera, photo, and biometric permissions in your device settings at any time.
• For privacy-related questions, contact us at the email above.

9. Children

Letterveil is not designed to provide services directly to children where parental consent is required under applicable law. Users below the relevant age must use the service in accordance with applicable law and the guidance of their parent or guardian.

10. Changes to This Policy

We may update this policy when the service, applicable law, or operational policies change. For material changes we will provide notice through the app or by updating the effective date at the top of this page.

1. 概要

Letterveilは、未来の自分に手紙を書いて封印し、指定した日付に開封するアプリです。 本ポリシーは、Letterveilがどのような情報を取り扱い、どの目的で利用し、ユーザーに どのような選択肢があるかを説明します。

運営者情報

運営者: ClueNode
連絡先: cluenode@gmail.com

2. 取り扱う情報

• 手紙データ: タイトル、本文、作成・封印・開封の時刻、開封予定日、返信・スレッド関係、ライフサイクル状態(下書き/封印/開封/非表示)
• 添付写真: ユーザーがギャラリー/カメラから選択した画像(封印時にEXIFメタデータを自動的に除去します)
• 開封メモ(Reflection): 本文、作成時刻、感情タグ、表示状態(通常/非表示)
• アプリ設定: 言語、テーマ、便箋スタイル、通知時刻、アプリロックの有無、累計封印数など
• 購入関連情報: Apple App Store / Google Play経由のアプリ内購入レシートおよび取引情報
• クラッシュ診断情報: アプリのクラッシュや未処理エラーが発生した際にSentryへ自動送信される匿名診断情報(スタックトレース、OSバージョン、アプリバージョン、ロケール、匿名端末識別子)。手紙の本文・写真・ユーザー入力テキストは含まれません。

3. 情報の取得方法

• ユーザーがアプリ内で直接入力または添付した情報(手紙、写真、メモ、設定)
• 封印・開封・非表示などのアクションに伴い自動生成される時刻・状態の記録
• 通知、カメラ、写真ライブラリ、生体認証などをユーザーが許可した時点でのOSの権限状態
• ストアでアプリ内購入を開始または復元する際に渡される取引情報
• アプリのクラッシュまたは未処理エラー発生時に自動送信される診断情報

4. 利用目的

• 手紙の作成・封印・開封・返信・スレッド表示機能の提供
• 開封メモ(Reflection)、感情タグ、検索機能の提供
• 開封日通知およびD-1通知の配信(ユーザーが有効にした場合)
• ユーザー自身が作成する暗号化バックアップファイルの作成・復元
• 生体認証/端末資格情報を用いたアプリロックおよび非表示ボックスの保護
• アプリ内購入の検証、権限付与、購入の復元
• クラッシュ・エラー診断によるアプリの安定性向上

5. 保存場所と保存期間

Letterveilはローカル優先のアプリであり、ほぼ全てのデータが端末内にのみ保存されます。

• 手紙・写真・開封メモ: 端末内ストレージにSQLCipher(AES-256)で暗号化されたデータベースとして保存されます。暗号化キーはiOS Keychain / Android Keystoreに保管され、端末のロック解除後にのみアクセス可能です。ユーザーが削除するかアプリをアンインストールするまで端末に残ります。
• 暗号化バックアップファイル(.futureletter): エクスポート時に、ユーザーが選択した保存先(ファイルアプリ、iCloud Drive、Google Driveなど)に保存されます。ファイルはAES-256-GCM + PBKDF2-HMAC-SHA256(600,000 iterations)で暗号化されます。運営者はこのファイルにアクセスできません。
• Android自動バックアップ: 端末データの意図しない外部流出を防ぐため、Androidのシステム自動バックアップおよび端末間自動転送をいずれも無効化しています(allowBackup=false、dataExtractionRules)。
• iOSシステムバックアップ: ユーザーがiCloudバックアップを有効にしている場合、OSの既定動作によりアプリデータが端末バックアップに含まれることがあります。その場合もデータはSQLCipherで暗号化された状態で保管されます。
• クラッシュ診断情報: Sentry(米国)へ送信され、Sentryの既定ポリシー(通常30〜90日)に従って一定期間保持された後に自動削除されます。
• アプリ内購入レシート: 端末内での権限確認のみに使用し、運営者のサーバーには保存しません。決済事業者(Apple、Google)側の保管はそれぞれの規約に従います。

6. 第三者提供および委託

当社はユーザーの個人情報を販売しません。また、ユーザーが作成した手紙・写真・メモを 第三者に送信することはありません。サービス提供のため、以下のカテゴリの事業者を 利用しています。

• アプリ内課金: Apple Inc. (App Store) / Google LLC (Google Play) — 決済処理およびレシート検証
• クラッシュレポート: Functional Software, Inc. (Sentry) — 米国 — 匿名診断情報の受信および保管

国外移転: Sentryは米国に所在するサービスです。クラッシュ診断情報は サービス提供のため米国へ移転されて処理される可能性があります。移転される項目は 第2条のクラッシュ診断情報と同一であり、移転目的は第4条の安定性向上のためです。

7. 権限と端末機能

• 通知権限: 開封日通知およびD-1通知のために任意で利用されます。
• カメラ/写真ライブラリ: 手紙に写真を添付する場合のみ任意で利用されます。
• 生体認証/端末資格情報: アプリロックおよび非表示ボックスのアクセスに任意で利用されます。認証結果のみが用いられ、生体情報自体はOSの外に出ることはありません。
• インターネット接続: アプリ内購入の処理およびクラッシュレポートの送信時にのみ利用されます。手紙データはインターネット上に送信されません。

これらの権限は、いつでも端末設定から撤回できます。

8. ユーザーの選択

• 下書きの手紙はいつでも編集・削除できます。
• 封印された手紙は封印後1時間以内であれば封印を取り消せます。それ以降は7日以内(または開封予定日の前日まで)であれば削除可能です。それ以降は記録の保護のため編集・削除は制限されます。
• 開封メモ(Reflection)は保存後10分以内であれば編集できます。
• アプリをアンインストールすると、すべてのデータが端末から削除されます(エクスポート済みのバックアップファイルを除く)。
• 通知、カメラ、写真、生体認証などの権限は、いつでも端末設定から撤回できます。
• 個人情報の取り扱いに関するお問い合わせは、上記メールアドレスまでご連絡ください。

9. 子どもの情報

Letterveilは、保護者の同意が必要な年齢の子どもに対して直接サービスを提供することを 意図して設計されていません。該当年齢のユーザーは、適用される法令および保護者の 指示に従ってサービスを利用してください。

10. 改定

本ポリシーは、サービス内容、適用される法令、運営方針の変更に応じて更新される ことがあります。重要な変更がある場合は、アプリ内通知または本ページ上部の 発効日の更新によって通知します。