Privacy Policy
Last updated: May 15, 2026 · Effective: May 15, 2026
SkyNimbus Inc. ("SkyNimbus," "we," "us") is committed to protecting your personal information in accordance with Japan's Act on the Protection of Personal Information (APPI) and applicable international data protection laws. This policy describes how we collect, use, store, and protect your personal information when you use the SkyNimbus cloud governance platform.
1. Data Controller
2. Personal Information We Collect
We collect the following categories of personal information, each for a specific and limited purpose:
| Data Category | Examples | Purpose of Use | Retention |
|---|
| Account Information | Name, email address, company name | Account creation, authentication, communication | Duration of account + 30 days |
| Authentication Data | Password hash, MFA tokens, SSO tokens | Secure access to your account | Active session duration; tokens purged on expiry |
| Cloud Connection Credentials | AWS/Azure/GCP API keys, role ARNs | Read-only access to your cloud cost and resource data | Duration of connection; deleted on disconnect |
| Cloud Spend Data | Service costs, resource usage, billing periods | Cost analysis, budgeting, anomaly detection, governance | Duration of account or per customer agreement |
| Usage Data | Login timestamps, pages visited, features used | Product improvement, security monitoring | 12 months rolling |
| Support Data | Ticket content, replies | Customer support | Duration of account + 90 days |
| Payment Records | Payment amount, method, invoice references | Billing, invoicing | 7 years (tax/legal requirement) |
3. Purpose of Use
We use your personal information exclusively for the following purposes. We will not use your information beyond these stated purposes without your prior consent:
- Service provision — Operating the SkyNimbus platform, including cloud cost analysis, governance scoring, anomaly detection, and budget management
- Authentication & security — Verifying your identity, preventing unauthorized access, enforcing MFA
- Customer support — Responding to tickets, troubleshooting issues
- Billing — Processing payments, generating invoices
- Product improvement — Analyzing usage patterns to improve features (aggregated/anonymized where possible)
- Legal compliance — Meeting regulatory obligations including APPI, tax records retention
- Security monitoring — Detecting and preventing fraud, unauthorized access, or abuse
4. Third-Party Provision & Sub-Processors
We do not sell your personal information. We share data with the following service providers only as necessary to operate our platform:
| Provider | Purpose | Data Shared | Location |
|---|
| Resend | Transactional email delivery | Email address, name | United States |
| Cloud hosting provider | Server infrastructure | All platform data (encrypted at rest) | See data residency section |
| AWS/Azure/GCP APIs | Cloud cost data retrieval (on your behalf) | Your cloud API credentials (read-only) | Per your cloud provider regions |
| Let's Encrypt | SSL/TLS certificate issuance | Domain name only | United States |
All sub-processors are contractually obligated to protect your data. We maintain agreements ensuring security measures equivalent to our own.
5. Cross-Border Data Transfers
Your data may be processed in jurisdictions outside Japan. When this occurs, we ensure protection through:
- Contractual safeguards with all sub-processors
- Encryption in transit (TLS 1.2+) and at rest
- Our Self-Hosted Database option, which allows you to keep all operational data within your own infrastructure in Japan or any jurisdiction you choose
For customers requiring data residency in Japan, our self-hosted database feature provides full tenant data isolation — your cloud spend data, connections, budgets, and governance data remain in your PostgreSQL instance, under your control.
6. Data Security
Technical Measures
- Passwords hashed with bcrypt (12 rounds)
- AES-256-CBC encryption for stored credentials
- HTTP-only secure cookies for session management
- Multi-factor authentication (TOTP)
- TLS/SSL for all data in transit
- Role-based access control (5 permission tiers)
- API key authentication with hashed storage
Organizational Measures
- Comprehensive audit logging of all access and changes
- Principle of least privilege for all system access
- Time-bound administrative access with audit trail
- Regular security reviews
7. Your Rights Under APPI
As an individual whose personal information we hold, you have the following rights. To exercise any of these rights, contact privacy@skynimbus.net.
| Right | Description | How to Exercise |
|---|
| Access / Disclosure | Request disclosure of your retained personal data | Settings → My Data → Download, or email privacy@skynimbus.net |
| Correction | Request correction of inaccurate personal data | Settings → Profile, or email privacy@skynimbus.net |
| Deletion | Request deletion of your personal data | Settings → My Data → Delete Account, or email privacy@skynimbus.net |
| Cessation of Use | Request we stop using your data for specific purposes | Email privacy@skynimbus.net |
| Cessation of Third-Party Provision | Request we stop sharing your data with third parties | Email privacy@skynimbus.net |
We will respond to all data subject requests within 14 business days. Identity verification may be required.
8. Data Retention & Deletion
We retain personal information only as long as necessary for the purposes stated in this policy:
- Account data is deleted within 30 days of account closure
- Authentication tokens are automatically purged upon expiry
- Audit logs are retained for 24 months for security purposes
- Payment records are retained for 7 years per tax requirements
- Support tickets are retained for 90 days after account closure
When data is deleted, it is permanently removed from our active systems. Backup retention does not exceed 90 days.
9. Cookies & Tracking
SkyNimbus uses only essential cookies required for platform functionality:
- sn_access — Session authentication (HTTP-only, 1 hour)
- sn_refresh — Session refresh (HTTP-only, 7 days)
We do not use advertising cookies, analytics trackers, or third-party tracking pixels. No cookie consent banner is required as we only use strictly necessary cookies.
10. Breach Notification
In the event of a data breach that may affect your rights and interests:
- We will notify the Personal Information Protection Commission (PPC) promptly
- We will notify affected individuals without delay via email
- We will provide details of the nature of the breach, data affected, and remedial measures taken
11. Changes to This Policy
We may update this policy to reflect changes in our practices or legal requirements. Material changes will be communicated via email to all registered users at least 30 days before taking effect.
12. Contact
プライバシーポリシー
最終更新日: 2026年5月15日 · 施行日: 2026年5月15日
SkyNimbus Inc.(以下「SkyNimbus」「当社」)は、個人情報の保護に関する法律(APPI)および適用される国際的なデータ保護法に従い、お客様の個人情報を保護することをお約束します。本ポリシーは、SkyNimbusクラウドガバナンスプラットフォームのご利用に際し、当社がどのように個人情報を収集、利用、保管、保護するかについて説明するものです。
1. データ管理者
2. 収集する個人情報
当社は、以下の個人情報を特定かつ限定された目的のために収集します:
| データ区分 | 例 | 利用目的 | 保存期間 |
|---|
| アカウント情報 | 氏名、メールアドレス、会社名 | アカウント作成、認証、連絡 | アカウント期間 + 30日 |
| 認証データ | パスワードハッシュ、MFAトークン、SSOトークン | アカウントへの安全なアクセス | セッション期間中;期限切れ時に削除 |
| クラウド接続認証情報 | AWS/Azure/GCP APIキー、ロールARN | クラウドコスト・リソースデータへの読み取り専用アクセス | 接続期間中;切断時に削除 |
| クラウド利用データ | サービスコスト、リソース使用量、請求期間 | コスト分析、予算管理、異常検知、ガバナンス | アカウント期間中または契約に基づく |
| 利用状況データ | ログインタイムスタンプ、閲覧ページ、使用機能 | 製品改善、セキュリティ監視 | 12か月間 |
| サポートデータ | チケット内容、返信 | カスタマーサポート | アカウント期間 + 90日 |
| 支払記録 | 支払額、方法、請求書番号 | 請求、インボイス発行 | 7年(税務・法的要件) |
3. 利用目的
当社は、お客様の個人情報を以下の目的にのみ使用します。事前の同意なく、これらの目的を超えて利用することはありません:
- サービス提供 — クラウドコスト分析、ガバナンススコアリング、異常検知、予算管理を含むSkyNimbusプラットフォームの運営
- 認証・セキュリティ — 本人確認、不正アクセス防止、MFA の適用
- カスタマーサポート — チケット対応、トラブルシューティング
- 請求 — 決済処理、インボイス発行
- 製品改善 — 機能改善のための利用パターン分析(可能な限り集計・匿名化)
- 法令遵守 — APPI、税務記録保持等の規制上の義務の履行
- セキュリティ監視 — 不正行為、不正アクセス、悪用の検知・防止
4. 第三者提供・委託先
当社はお客様の個人情報を販売しません。プラットフォーム運営に必要な範囲で、以下のサービスプロバイダーとのみデータを共有します:
| 提供先 | 目的 | 共有データ | 所在地 |
|---|
| Resend | トランザクションメール配信 | メールアドレス、氏名 | 米国 |
| クラウドホスティング | サーバーインフラ | 全プラットフォームデータ(暗号化済み) | データレジデンシーの項を参照 |
| AWS/Azure/GCP API | クラウドコストデータ取得(お客様に代わり) | お客様のクラウドAPI認証情報(読み取り専用) | お客様のクラウドリージョン |
| Let's Encrypt | SSL/TLS証明書発行 | ドメイン名のみ | 米国 |
5. 越境データ移転
お客様のデータは日本国外で処理される場合があります。その場合、以下により保護を確保します:
- 全委託先との契約上の保護措置
- 通信時(TLS 1.2+)および保存時の暗号化
- セルフホストデータベースオプション — お客様自身のインフラストラクチャ(日本国内またはお客様が選択する管轄区域)で全運用データを保持可能
日本国内でのデータレジデンシーを必要とするお客様向けに、セルフホストデータベース機能はテナントデータの完全な分離を提供します。クラウド利用データ、接続情報、予算、ガバナンスデータはお客様のPostgreSQLインスタンスに残り、お客様の管理下に置かれます。
6. データセキュリティ
技術的措置
- bcrypt(12ラウンド)によるパスワードハッシュ化
- 保存された認証情報のAES-256-CBC暗号化
- セッション管理用HTTP-onlyセキュアCookie
- 多要素認証(TOTP)
- 全データ通信におけるTLS/SSL
- ロールベースアクセス制御(5段階の権限)
- ハッシュ保存によるAPIキー認証
組織的措置
- 全アクセスおよび変更の包括的監査ログ
- 全システムアクセスへの最小権限の原則
- 監査証跡付き時限管理者アクセス
- 定期的なセキュリティレビュー
7. APPIに基づくお客様の権利
当社が保有する個人情報の本人として、以下の権利を有します。権利行使については privacy@skynimbus.net までご連絡ください。
| 権利 | 内容 | 行使方法 |
|---|
| 開示請求 | 保有する個人データの開示を請求 | 設定 → マイデータ → ダウンロード、または privacy@skynimbus.net へメール |
| 訂正請求 | 不正確な個人データの訂正を請求 | 設定 → プロフィール、または privacy@skynimbus.net へメール |
| 削除請求 | 個人データの削除を請求 | 設定 → マイデータ → アカウント削除、または privacy@skynimbus.net へメール |
| 利用停止請求 | 特定の目的でのデータ利用の停止を請求 | privacy@skynimbus.net へメール |
| 第三者提供停止請求 | 第三者へのデータ共有の停止を請求 | privacy@skynimbus.net へメール |
全てのデータ主体の請求には14営業日以内に回答します。本人確認が必要な場合があります。
8. データの保存と削除
当社は、本ポリシーに記載された目的に必要な期間のみ個人情報を保存します:
- アカウント閉鎖後30日以内にアカウントデータを削除
- 認証トークンは期限切れ時に自動削除
- 監査ログはセキュリティ目的で24か月間保存
- 支払記録は税務要件により7年間保存
- サポートチケットはアカウント閉鎖後90日間保存
9. Cookie・トラッキング
SkyNimbusはプラットフォームの機能に必要な必須Cookieのみを使用します:
- sn_access — セッション認証(HTTP-only、1時間)
- sn_refresh — セッション更新(HTTP-only、7日間)
当社は広告Cookie、アナリティクストラッカー、サードパーティトラッキングピクセルを使用しません。
10. 漏洩時の通知
お客様の権利・利益に影響を及ぼす可能性のあるデータ漏洩が発生した場合:
- 個人情報保護委員会(PPC)に速やかに報告します
- 影響を受ける個人に遅滞なくメールで通知します
- 漏洩の性質、影響を受けるデータ、講じた是正措置の詳細を提供します
11. 本ポリシーの変更
当社は、慣行の変更や法的要件を反映するために本ポリシーを更新する場合があります。重要な変更については、施行日の少なくとも30日前に登録ユーザー全員にメールで通知します。
12. お問い合わせ
