Rorkでアプリを作って公開する直前、コードでも UI でもなく プライバシーポリシー で詰まるという話を本当によく聞きます。私自身、最初の数本は「他のアプリの文面をなんとなく真似する」レベルで出してしまい、App Store の審査で Guideline 5.1.1 - Privacy - Data Collection and Storage を理由に何度かリジェクトされました。
この記事は、私が Rork で作ったアプリを App Store / Google Play に出すときに毎回使い回している日本語テンプレートと、Rork ならではの記載ポイントをまとめたものです。Stripe・Supabase・AdMob といった「Rorkユーザーがよく使うサービス」を前提にしているので、組み合わせを変えながらコピーして使ってください。
なぜ Rork アプリには専用のプライバシーポリシーが必要なのか
Rork はビルドの面倒を見てくれますが、プライバシーポリシーの自動生成まではしません。当然ですが、アプリが何を収集しているかを一番把握しているのは開発者本人だからです。
ここで難しいのが、Rork で作ったアプリは「自分は何も書いていないのに、知らないうちに通信が走っている」ケースがあることです。たとえば私の経験では:
- AI チャット機能を入れた瞬間に、入力テキストが OpenAI のサーバーへ送られていた
- 画像生成を組み込んだアプリで、生成リクエストが Replicate を経由していた
- 認証に Supabase を使っただけで、メールアドレスと IP アドレスが Supabase 側に記録されていた
これらは全て「サードパーティへの個人情報送信」に該当します。プライバシーポリシーに書かないと、App Store の審査で確実に引っかかります。逆にいうと、Rork のプロジェクトで使っているサービスを正直に書いていけば、ほぼテンプレ通りで審査は通ります。
関連: Rorkアプリの審査でPrivacy Manifestエラーが出たときの対処法
App Store が求める5つのデータカテゴリを最初に整理する
App Store Connect の「App Privacy」セクションでは、収集データを以下の大きなカテゴリで申告します。プライバシーポリシーもこの分類に沿って書くと、審査担当者がチェックしやすくなります。
- 連絡先情報: メールアドレス・氏名・電話番号
- ユーザーコンテンツ: ユーザーがアプリ内で作ったテキスト・画像・音声
- 識別子: ユーザー ID・デバイス ID(IDFA など)
- 使用状況データ: タップ・閲覧・購入履歴
- 診断: クラッシュログ・パフォーマンスデータ
私は Rork でアプリを作るとき、まずこの5カテゴリを上から順に「うちのアプリは何を集めるか」と書き出してから、ポリシー文に落とし込んでいます。順番が決まっていると、書き漏らしが激減します。
コピペで使える日本語テンプレート(Rork標準構成版)
以下は Rork で「認証は Supabase、決済は Stripe、AI は OpenAI、広告は AdMob」という典型構成を使ったときのテンプレートです。サービスを使っていない箇所は丸ごと削除してください。
# プライバシーポリシー
最終更新日: 2026年4月27日
[アプリ名](以下「本アプリ」)を提供する [運営者名](以下「当方」)は、
利用者のプライバシーを尊重し、以下の方針に従って個人情報を取り扱います。
## 1. 取得する情報
本アプリは、以下の情報を取得することがあります。
- **アカウント情報**: メールアドレス、ユーザー名(Supabase Auth 経由)
- **決済情報**: 購入履歴、サブスクリプション状態(Stripe 経由。
クレジットカード番号は当方のサーバーには一切保存されません)
- **AI 利用ログ**: チャット入力内容、生成された応答(OpenAI API 経由)
- **広告識別子**: 広告配信のための識別子(AdMob、利用者の同意がある場合のみ)
- **クラッシュ・利用統計**: 端末モデル、OS バージョン、アプリのクラッシュログ
## 2. 利用目的
取得した情報は、以下の目的でのみ利用します。
- アカウント認証および本人確認
- 有料機能の提供および課金管理
- AI 機能の応答生成およびサービス品質改善
- アプリの不具合修正およびパフォーマンス改善
- 利用規約に違反する行為の検知
## 3. 第三者への提供
当方は、以下の第三者サービスに対して必要最小限の情報を送信します。
- Supabase Inc.(米国): 認証およびデータベース
- Stripe, Inc.(米国): 決済処理
- OpenAI, L.L.C.(米国): AI 応答生成
- Google LLC(米国): AdMob 広告配信、Google Analytics 利用統計
各サービスのプライバシーポリシーは下記をご参照ください。
- [Supabase Privacy Policy](https://supabase.com/privacy)
- [Stripe Privacy Policy](https://stripe.com/privacy)
- [OpenAI Privacy Policy](https://openai.com/policies/privacy-policy)
- [Google Privacy Policy](https://policies.google.com/privacy)
## 4. 国外への移転について
上記サービスはいずれも米国を主たる拠点としており、
利用者の個人情報が日本国外へ移転される可能性があります。
利用者は本アプリを利用することで、これに同意するものとします。
## 5. 利用者の権利
利用者は、いつでも以下の権利を行使できます。
- 自身のアカウント情報の閲覧・修正・削除を請求すること
- 当方からの広告メールの受信停止を請求すること
- データ削除を請求すること([連絡先メール] までご連絡ください)
## 6. お問い合わせ
本ポリシーに関するお問い合わせは、以下までお願いいたします。
[運営者名] / [連絡先メールアドレス]このテンプレを GitHub Pages や Notion の公開ページに置き、URL を App Store Connect の「Privacy Policy URL」に登録するのが最短ルートです。
Rork ユーザーが特に書き漏らしやすい3つのポイント
審査リジェクトの相談を受けるとき、私が最初に確認するのは決まってこの3点です。
① AI への入力テキストが「ユーザーコンテンツ」に該当する
Rork で AI チャット機能を実装した場合、ユーザーが打ち込んだプロンプトは「ユーザーコンテンツ」かつ「第三者(OpenAI など)に送信されるデータ」になります。これを書かずに公開すると、ほぼ確実にリジェクトされます。
私の場合は、AI 機能のあるアプリでは必ず以下の一文を太字で入れるようにしました。
ご注意: AI機能をご利用の際、入力されたテキストは応答生成のため OpenAI のサーバーへ送信されます。個人情報や機密情報の入力はお控えください。
② Stripe の領収書メール送信先が「連絡先情報」に該当する
Stripe で決済すると、デフォルトでは Stripe からユーザー宛に領収書メールが送られます。このメールアドレスは「Stripe に渡している」ため、第三者提供として明示が必要です。書かずに済ませる方法は基本的にないので、テンプレ通り Stripe を第三者として記載しておきましょう。
③ AdMob を入れた瞬間に「IDFA」が登場する
無料アプリで AdMob を入れる場合、App Tracking Transparency のダイアログが必要になります。プライバシーポリシーには「広告識別子を取得する場合がある」と必ず書き、アプリ起動時に正しく ATT 許諾ダイアログを出してください。これは Rorkアプリのプライバシーマニフェスト対応ガイド と合わせて読むと理解が早いです。
英語版も必ず用意する:審査担当者は英語で読む
App Store の審査担当者は世界中におり、日本語ポリシーだけだと「読めないので追加情報を要求」というメッセージが返ってくることがあります。私は最近、日本語版を書いたら必ず DeepL や ChatGPT に翻訳させて、英語版も同じ URL の /en/ 配下に置くようにしています。
英語版を作るときは「Privacy Policy」「Effective Date」「Information We Collect」「How We Use Your Information」「Third-Party Services」「Your Rights」「Contact Us」というセクション名を使うと、審査担当者にとって馴染みのある構成になります。直訳ではなく、英語圏の慣例に合わせるのがコツです。
公開後のメンテナンス:いつ更新するか
プライバシーポリシーは「一度書いたら終わり」ではありません。私が更新ルールにしているのは次の3つのタイミングです。
- 新しい外部サービスを組み込んだとき(例: PostHog で分析を始めた)
- データの保存場所や保存期間を変更したとき
- 法律が変わったとき(例: 改正個人情報保護法、EU の DSA)
更新したら必ず「最終更新日」を書き換え、大きな変更があった場合はアプリ内通知で利用者に告知します。これを怠ると、後から「同意していない」と言われた際に反論しづらくなります。
App Store 審査全体の流れについては Rork Maxアプリの審査ガイド もあわせて読むと、リリース前の最終チェックがしやすくなります。
まずは1本、テンプレを使ってリリースしてみる
プライバシーポリシーは法律の話が絡むので「完璧に書いてから出そう」と思うと永遠に出せません。私の経験では、上のテンプレで [アプリ名] と [連絡先メール] だけ書き換えて GitHub Pages に置けば、ほとんどのRorkアプリは初回審査を通ります。
まずは1本、Rork で作りかけのアプリにこのテンプレを当てて、App Store Connect の Privacy Policy URL 欄を埋めてみてください。「これで提出できる」という状態になるだけで、リリースまでの心理的なハードルが一気に下がります。テンプレは土台であって、運用しながら自分のアプリに合わせて磨いていけば十分です。
実装面で個人情報の取り扱いをもっと深く理解したい方は、Rorkアプリのプライバシーとデータ保護ガイド を続けて読むと、コード側でやっておくべきことが見えてきます。