カムイダッシュ プライバシーポリシー

シムディ合同会社（以下「当社」）は、PaaS「カムイダッシュ」（以下「本サービス」）におけるユーザーに関する情報の取扱いについて、以下のとおり定めます。

---

1. 適用範囲

本ポリシーは、当社が本サービスの提供に関連して取り扱う、ユーザーに関する情報に適用されます。

※本サービス上でユーザーが提供するアプリ（ユーザーのアプリ）の利用者（エンドユーザー）に関する情報（例：ユーザーのアプリが収集する個人情報）は、原則としてユーザーが自らの責任で取得・利用等を行うものであり、ユーザーはエンドユーザーに対し適切なプライバシー通知等を行うものとします。

---

2. 当社が取得する情報

当社は、以下の情報を取得します。

(1) アカウント情報

• GitHub OAuthにより取得されるGitHub ID、ユーザー名、表示名、アバターURL、メールアドレスその他ユーザー識別・ログインのために必要な情報
• メールアドレス、メール認証状況、権限情報、通知・連絡に必要な情報
• セッションID、認証トークン、APIキー・Personal Access Tokenの名称、スコープ、暗号化またはハッシュ化された値、最終利用日時その他認証・API利用に関する情報

(2) サービス利用・設定に関する情報

• PJ、アプリ、DB、ジョブ、カスタムドメインその他本サービス上で作成・設定されるリソースに関する情報
• アプリ名、DB名、レプリカ数、スペック、環境変数、コマンド、ヘルスチェック、言語、リージョン、接続設定その他デプロイ・運用に必要な設定情報
• GitHub連携に関する情報（GitHub AppのインストールID、Organization名またはユーザー名、リポジトリ名、ブランチ名、ディレクトリ、webhook、GitHub Actions ID、デプロイに関するメタデータ等）
• ファイルアップロード、ソースコード、DBデータ、設定情報その他ユーザーコンテンツ

(3) 決済・請求に関する情報

• 課金・請求に必要な情報（支払状況、請求履歴等）
• Stripe Customer ID、Payment Method ID、請求書ID、通貨、請求金額、税額、支払状況その他請求処理に必要な情報
• カード番号等の決済情報はStripeが取り扱い、当社は保持しません。当社は、カードブランド、下4桁、有効期限、発行国、カード識別子等、支払方法の確認・管理に必要な情報を保持する場合があります。

(4) ログ情報

当社は本サービス運用のため、以下のログを収集します。

• アプリログ（保持：14日または1000行のいずれか早い方）
• デプロイログ（保持：14日）

また、当社は本サービスの安定運用・セキュリティ確保・不正利用防止のため、管理画面、API、webhook等へのアクセスに関するログ（IPアドレス、ユーザーエージェント、リクエスト時刻、リクエストID、認証方法、操作対象、URL、クエリ、サニタイズ済みリクエスト本文、レスポンスステータス、エラー内容、処理時間等）を取得する場合があります。

(5) お問い合わせ情報

• お問い合わせ内容、連絡先、対応履歴等

---

3. 利用目的

当社は取得した情報を、以下の目的で利用します。

1. 本サービスの提供、本人確認、アカウント管理
2. GitHub連携、デプロイ、ビルド、ホスティング、DB、カスタムドメイン、ログ表示その他本サービスの各機能の提供
3. 利用料金の請求、決済、未払い対応
4. 本サービスの運用、保守、障害対応、セキュリティ対応、不正利用防止、監査
5. サポート対応、問い合わせ対応
6. 重要なお知らせ、ライフサイクル通知、請求・支払に関する通知その他本サービスに関する連絡
7. 法令遵守、紛争対応、権利保護

---

4. 第三者提供・委託

1. 当社は、法令に基づく場合等を除き、本人の同意なく個人情報を第三者に提供しません。
2. 当社は、本サービスの提供に必要な範囲で、決済（Stripe）、GitHub連携、インフラ運用、ストレージ、DNS・配信、メール・通知配信、監視・ログ管理等の業務を第三者に委託することがあります。この場合、当社は委託先を適切に監督します。
3. 委託先には国外の事業者が含まれる場合があり、当社は法令に従い必要な措置を講じます。

---

5. 当社によるユーザーコンテンツ等へのアクセス

当社は、通常の運用においてユーザーのアプリやユーザーコンテンツに恒常的にアクセスすることはありません。 ただし、以下の場合に、必要最小限の範囲でアクセスすることがあります。

• ユーザーからのサポート依頼に対応するために必要な場合
• 法令に基づく開示要請への対応等、法令上必要な場合
• セキュリティ上の重大な問題に対処するために必要な場合

---

6. 保存期間・削除

1. 当社は、利用目的の達成に必要な期間、ユーザーに関する情報を保持します。
2. 退会後のユーザーコンテンツは、退会から1か月経過後に削除します（ただし、法令対応等のため必要な場合を除きます）。
3. ログの保持期間は「2.(4)ログ情報」のとおりです。ただし、監査、セキュリティ、法令対応、紛争対応、課金・会計処理のために必要な情報は、必要な期間保持する場合があります。

---

7. データの保存場所

本サービスに関する主要なデータは、現時点では日本国内のクラウドリージョンで保存・処理されます。外部サービスまたは委託先において国外で保存・処理される場合があります。将来これを変更する場合、当社は適切な方法で周知します。

---

8. Cookie等・アクセス解析

当社は、ログイン状態の維持、セキュリティ、言語設定、OAuth認証の状態管理、本サービスの改善等のため、Cookie等の識別子を利用します。また、Cookie等を用いたアクセス解析ツール等を利用する場合があります。

---

9. 安全管理措置

当社は、取り扱う情報の漏えい、滅失又はき損の防止その他の安全管理のために、合理的な組織的・技術的・物理的安全管理措置を講じます。

---

10. 開示等の請求

ユーザーは、当社所定の方法により、当社が保有するユーザー本人に関する情報について、開示、訂正、利用停止等を求めることができます。手続の詳細はお問い合わせ窓口までご連絡ください。

---

11. 本ポリシーの変更

当社は、法令・運用・機能変更等に応じて本ポリシーを変更することがあります。変更後のポリシーは、当社が定める方法で周知します。

---

12. お問い合わせ窓口

本ポリシーに関するお問い合わせは、以下までご連絡ください。 [email protected]