本プライバシー通知は、Gnomi App Corp（GNOMI）による個人情報の処理に適用されます。これには、当社のモバイルアプリケーション、gnomi.comの当社ウェブサイト、およびその他のオンラインまたはオフラインの提供物（総称してサービス）が含まれます。

1. 本プライバシー通知の更新

当社は本プライバシー通知を随時更新することがあります。更新した場合、当社のウェブサイトに更新されたプライバシー通知を掲載してお知らせするほか、他の方法でもお知らせすることがあります。

2. 当社が収集する個人情報

当社はお客様から提供された個人情報、お客様がサービスを利用する際に自動的に収集される個人情報、および第三者から取得する個人情報を収集します。

A. お客様から直接提供される個人情報

• アカウント情報： ユーザー名、メールアドレス、パスワード、所在国、およびアカウントに保存されるその他の情報
• プロフィール情報： 名前、役職、経歴、リンクされたソーシャルメディアアカウント、性別および誕生日（非公開）
• インタラクティブ機能： メッセージング、コメント、ソーシャルメディア機能を通じて提出されるコンテンツ
• 購入： GNOMI Premiumサブスクリプションの支払い情報
• コミュニケーション： メールまたはチャットツールを通じて当社に送信される情報
• 調査： お客様が参加する調査からの情報
• コンテスト： 懸賞やコンテストからの情報
• イベント： 会議や見本市からの情報
• 求人応募： 求人に応募する場合の連絡先情報と履歴書

B. 自動的に収集される個人情報

• デバイス情報： IPアドレス、ユーザー設定、Cookieの識別子、ブラウザ情報、位置情報
• 利用情報： 訪問したページ、検索語句、コンテンツとの相互作用、活動の頻度と期間
• Cookieおよびテクノロジー： サービスの利用に関する情報を収集するためのCookie、ピクセルタグ、ウェブビーコン

C. 第三者から収集される個人情報

GNOMIをソーシャルメディアアカウント（Reddit、LinkedIn、Meta、X）と連携させる場合や、第三者のログインサービスを使用する場合、第三者サービスから個人情報を収集することがあります。

3. 個人情報の使用方法

A. サービスの提供

• お客様の情報の管理と機能へのアクセス提供
• カスタマーサポートとコミュニケーション
• 支払いの処理
• 求人応募の処理

B. サービスの改善と新製品の開発

• AIと機械学習技術のトレーニング
• サービスの改善と強化

C. 管理目的

• セキュリティと不正防止
• 分析とエンゲージメントの測定
• 品質管理と安全性
• 法令遵守

D. マーケティング

適用法で許可されている範囲内で、Eメールキャンペーンを通じてマーケティングメッセージやオファーを提供するために個人情報を使用することがあります。

F. 自動化された意思決定

サービスとのやり取りに基づいてカスタマイズされたコンテンツを提供するために、プロファイリングを含む自動化された意思決定を行うことがあります。

4. 個人情報の開示方法

A. サービス提供のための開示

• サービスプロバイダー： AI/MLサービス、ホスティング、カスタマーサービス、分析、マーケティング、ITサポート
• 他のユーザー： あなたが他のGNOMIユーザーと共有することを選択した情報
• サードパーティーサービス： あなたが接続または対話するサービス
• ビジネスパートナー： サービスを提供するために協力するパートナー
• 関連会社： 当社の企業関連会社
• 広告パートナー： 無料ユーザーの場合、ターゲット広告のために広告パートナーと情報を共有することがあります

B. 当社または他者を保護するための開示

法的要請に従い、権利と安全を保護し、ポリシーを執行し、または調査を支援するために情報を開示することがあります。

C. 事業取引

合併、買収、またはその他の企業取引に関連して、あなたの情報が開示される場合があります。

5. あなたのプライバシーの選択と権利

あなたのプライバシーの選択

• メール通信： メールに記載されているリンクを使用して配信を解除
• テキストメッセージ： 「STOP」と返信してオプトアウト
• モバイルデバイス： プッシュ通知と位置情報設定を調整する
• クッキー： ブラウザ設定を調整する（注：機能性に影響する可能性があります）
• Do Not Track： 当社はDNTシグナルに対応していません

あなたのプライバシー権

あなたには以下の権利がある場合があります：

• 当社があなたの個人情報を処理しているかどうかを確認する
• あなたの個人情報へのアクセスまたはポータビリティを要求する
• あなたの個人情報の訂正を要求する
• あなたの個人情報の削除を要求する
• 処理の制限または処理への異議申し立てを要求する
• ターゲット広告、販売、またはプロファイリングのオプトアウト
• 同意を撤回する

6. 個人情報の国際移転

個人情報は、データ保護法が異なる国を含め、世界中のどこでも転送、処理、保存される場合があります。EU/UKからの転送については、保護措置としてEU標準契約条項を使用する場合があります。

7. 個人情報の保持

当社は、お客様がサービスを利用している限り、または目的を達成し、サービスを提供し、紛争を解決し、法的義務を遵守するために必要な限り、個人情報を保存します。

8. EU/UK GDPRに関する補足通知

このセクションは、EUまたは英国のGDPRの対象となる個人情報に適用されます。場合によっては、個人情報の提供が法律または契約によって要求されることがあります。必要な情報を提供しないことを選択した場合の結果についてお知らせします。

9. 子どもの個人情報

本サービスは16歳未満の子どもを対象としておらず、当社は故意に子どもから個人情報を収集することはありません。お子様が適用法に違反して情報をアップロードしたと思われる場合は、当社までご連絡ください。

10. プロモーションプライバシー通知

GNOMI App Corp.（以下「スポンサー」）は、氏名、メールアドレス、居住国または州、および適格性の確認と賞品の提供に必要な情報など、参加者から提出された個人情報を収集し処理します。この情報は、プロモーションの管理、不正防止、適格性の確認、および賞品の提供のみに使用されます。

欧州経済領域または英国に所在する参加者については、スポンサーは契約の履行（プロモーションの管理）およびプロモーションの運営と安全確保におけるスポンサーの正当な利益に基づいて個人データを処理します。参加者がマーケティングコミュニケーションの受信を選択した場合、処理は同意に基づいて行われます。プロモーションへの参加は、マーケティングの同意を提供することを条件としていません。

スポンサーは、プロモーションの管理、コミュニケーション、分析、および賞品の提供を支援するためにサービスプロバイダーを利用することがあります。個人データは、スポンサーまたはそのサービスプロバイダーが事業を行うアメリカ合衆国またはその他の国に転送され処理される場合があり、必要に応じて適切な法的保護措置が適用されます。

個人データは、プロモーション終了後最大12か月間保持され、その後削除または匿名化されます。ただし、法的または規制上の目的でより長期の保持が必要な場合を除きます。プロモーションは、18歳以上または自分の管轄区域での成人年齢に達している個人のみが参加できます。

適用法によっては、参加者は個人データへのアクセス、訂正または削除の要求、処理の制限または異議申し立て、またはデータポータビリティの要求をする権利を有する場合があります。EEAまたは英国の参加者は、地域のデータ保護機関に苦情を申し立てることもできます。米国居住者は、適用される州法に基づく追加のプライバシー権を有する場合があります。

個人データに関する要請は以下に提出することができます： privacy@gnomi.com

11. データ保持および廃棄ポリシー

GDPRおよび適用されるプライバシー法令遵守文書

2. GDPRおよび適用されるプライバシー法令遵守声明

GNOMIは、GDPRがGNOMIの処理活動に適用される場合を含め、適用されるデータプライバシーおよびデータ保護法令への遵守を支援するために、この定義され実施されたデータ保持および廃棄ポリシーを維持します。本ポリシーは、保存制限、データ最小化、目的制限、完全性および機密性、説明責任、ならびにデータ主体の削除および制限要求の適法な取扱いを含む、GDPR準拠の保持および廃棄原則を運用化するように設計されています。

GNOMIの保持および廃棄管理は、法律、規制、契約、セキュリティ、不正防止、会計、監査、紛争解決、または正当な事業目的のために継続的な保持が必要とされる場合を除き、個人データが収集された目的またはその他の適法に処理される目的のために必要な期間を超えて保持されないことを保証することを意図しています。

GNOMIがPlaidまたは類似のプロバイダーを通じてユーザー承認済みの金融口座またはポートフォリオ情報を処理する場合、GNOMIは、承認された機能を提供し、セキュリティを維持し、契約上の義務を満たし、不正を防止し、適用法令を遵守するために必要な期間に金融統合データの保持を制限するように設計された保持および廃棄管理を適用します。

3. 適用範囲

本ポリシーは、GNOMIまたはGNOMIに代わって行動する第三者サービスプロバイダーによって収集、処理、保存、送信、または維持されるすべてのデータに適用されます。これには、本番システム、クラウドサービス、アプリケーションデータベース、ユーザーアカウントシステム、金融統合システム、ポートフォリオ分析システム、AI生成金融インテリジェンスシステム、金融分析システム、Plaid統合、証券口座統合、銀行統合、セキュリティログ、分析環境、カスタマーサポートツール、ベンダープラットフォーム、企業記録、バックアップ、および災害復旧システムが含まれます。

本ポリシーは、GNOMIに代わってデータを作成、アクセス、管理、保存、処理、送信、保持、削除、または廃棄するGNOMI従業員、契約者、コンサルタント、サービスプロバイダー、およびその他の承認された人員に適用されます。

4. ポリシー声明

GNOMIは、サービスを提供および改善し、承認されたユーザー機能をサポートし、セキュリティを維持し、契約上および法律上の義務を満たし、事業運営を行い、GNOMI、そのパートナー、およびそのユーザーを保護するために必要な期間のみデータを保持します。データが必要でなくなった場合、GNOMIは適切な管理的、技術的、および手続き的管理を使用してそれを削除、匿名化、集約、または安全に廃棄します。

保持期間は、データタイプ、処理目的、ユーザー関係、法的根拠、事業上の必要性、契約上の義務、規制要件、およびセキュリティ要件に基づいています。GNOMIは、保持および廃棄慣行が事業、製品、システム、ベンダー、および適用されるプライバシー義務に対して適切であり続けることを確認するために定期的に見直しを行います。

GNOMIは、ポートフォリオ分析、分散分析、ポートフォリオセンチメント生成、AI生成金融インサイト、不正防止、および統合サポートを含む、ユーザーが要求した承認済み金融インテリジェンス機能を提供するために必要な期間のみ、ユーザー承認済み金融統合データを保持します。

5. GDPR準拠の保持原則

• 保存制限:GNOMIは、法律、契約、セキュリティ、紛争解決、監査、会計、またはコンプライアンス要件によって長期保持が正当化される場合を除き、関連する処理目的に必要な期間のみ個人データを保持します。
• データ最小化:GNOMIは、保持されるデータを関連する事業、製品、セキュリティ、法律、またはコンプライアンス目的のために合理的に必要なものに制限します。
• 目的制限:GNOMIは、データが収集された目的またはその他の適法に処理された目的に基づいて保持を評価します。
• 完全性および機密性:GNOMIは、適切なアクセス制御、最小権限許可、監視、および安全な取扱い慣行により保持されたデータを保護します。
• 説明責任:GNOMIは、保持および廃棄決定に対する所有権、レビュー、および実施責任を維持します。
• データ主体の権利:GNOMIは、適用されるプライバシー法令およびあらゆる適法な例外に従って、適用される削除、訂正、制限、および異議申立て要求を処理します。
• ユーザー承認制限:金融統合データは、ユーザーによって承認され、適用される適法な処理根拠によってサポートされる期間および目的のためにのみ保持および処理されます。

6. データ分類

GNOMIは、機密性、処理目的、適用される義務、および運用上の使用に基づいてデータを分類します。保持および廃棄管理は、データの性質およびそれが存在するシステムに応じて適用されます。

• 顧客およびユーザーデータ:アカウント関連情報、ユーザープロフィール情報、設定、製品使用データ、サポート通信、およびサービス関連記録。
• 金融接続データ:ユーザーが承認した証券口座データ、銀行関係データ、ポートフォリオ保有資産、取引メタデータ、投資口座メタデータ、残高、金融機関識別子、金融統合認証情報またはトークン、AI生成金融インサイト、ポートフォリオ分析出力、およびPlaidまたは類似の金融統合プロバイダーを通じて処理される関連情報。
• AI生成金融インテリジェンスデータ:ポートフォリオセンチメント分析、分散分析、金融サマリー、アカウントレベルのAI出力、および承認された金融統合から生成されるユーザー固有の関連金融インテリジェンス。
• セキュリティおよび運用ログ:認証記録、アクセスログ、監査ログ、モニタリングデータ、システムアクティビティログ、およびインシデント対応記録。
• ビジネスおよび管理データ:契約、ベンダー記録、請求記録、企業記録、法的記録、税務記録、および内部運用文書。
• 集約された、匿名化された、または非識別化されたデータ:識別可能な個人と合理的に関連付けられない分析、製品改善データ、およびレポートデータ。

7. 保持スケジュール

GNOMIは以下のカテゴリーに従って保持期間を適用します。特定の期間は、法律、契約、セキュリティ上の必要性、技術システム要件、または承認されたビジネス上の必要性により要求される場合に調整されることがあります。特定の保持期間が法的に要求されない場合、GNOMIは該当する目的に必要な期間のみデータを保持し、その後削除、匿名化、または安全に廃棄します。

データカテゴリ	主な目的	保持基準	廃棄方法
アカウントおよびユーザープロフィールデータ	アカウント運用、認証、ユーザーサポート、サービス提供	アカウントがアクティブである間、およびセキュリティ、不正防止、法的、監査、またはサポート目的で必要とされる閉鎖後の限定期間保持されます。	削除、匿名化、またはアクティブシステムからの安全な消去。
ユーザー承認済み金融統合データ	承認された金融インテリジェンス機能の提供、ユーザーが要求した機能、統合サポート、およびセキュリティ	ユーザーが承認された金融接続を維持している間、または承認された金融インテリジェンス機能を提供し、セキュリティを維持し、不正を防止し、適法な事業運営をサポートし、契約上の義務を履行し、または法的および規制上の要件を満たすために必要な間のみ保持されます。取り消された、切断された、期限切れの、または非アクティブな統合は、運用上および法的要件に従って削除、無効化、匿名化、またはトークン取り消しされます。	アクティブシステムからの削除、安全なトークン取り消し、匿名化、法的に要求される場合の制限付きアーカイブ保持、または安全な廃棄。
AI生成の金融インサイトおよびポートフォリオ分析	ポートフォリオインテリジェンス、分散分析、センチメント分析、AIチャット機能、ユーザーが要求した分析	関連するユーザーアカウントがアクティブであり、機能が有効である間保持され、削除要求、セキュリティ要件、法的義務、および運用上の必要性に従います	削除、匿名化、集約、または安全な廃棄
サポートおよびコミュニケーション記録	カスタマーサポート、問題解決、品質保証、およびコンプライアンス	要求を解決し、サービス記録を維持し、ビジネスまたは法的要件をサポートするために必要な期間保持されます。	期限切れ時の削除または安全なアーカイブ廃棄。
セキュリティ、アクセス、および監査ログ	セキュリティ監視、不正防止、インシデント検出、アクセスレビュー、監査、およびシステム整合性	セキュリティ目的、システム要件、および法的または契約上の義務に適した期間保持されます。	スケジュールされた期限切れ、安全な消去、または制限付きアーカイブ廃棄。
請求、税務、企業、および法的記録	会計、税務、コーポレートガバナンス、監査、契約管理、および法令遵守	適用法、監査基準、契約、またはコーポレートガバナンス要件によって要求される期間保持されます。	法的またはビジネス上の必要性の期限切れ後の安全な廃棄。
集約された、匿名化された、または識別不能化されたデータ	分析、製品改善、研究、レポート作成、およびビジネスインテリジェンス	データが合理的に識別可能でなく、適用法の下で個人データの範囲外である場合、より長い期間保持される場合があります。	継続的な使用、さらなる集約、または不要になった時点での廃棄。
バックアップおよび災害復旧データ	事業継続性、セキュリティ復旧、およびシステム復元	バックアップライフサイクルスケジュールに従って保持され、法的保全の対象でない限り、通常のバックアップローテーションを通じて上書きまたは消去されます。	スケジュールされた上書き、期限切れ、または安全な破棄。

8. データ削除および安全な廃棄手順

GNOMIは、管理的、技術的、および手続き的統制を通じてデータ削除および廃棄を実施します。廃棄方法は、データの種類、システム、機密性、保持要件、および技術的実現可能性に基づいて選択されます。

• データが不要になった場合の本番稼働システムからの削除またはパージ。
• GNOMIが合理的に識別可能な個人データを保持することなく分析または製品インサイトを保持する必要がある場合の匿名化または集約。
• 法的保全、セキュリティ、監査、会計、紛争解決、または技術的制約により削除が一時的に制限される場合のデータの制限または無効化。
• 承認された削除、破壊、またはアクセス取消プロセスを使用した記録およびエクスポートの安全な廃棄。
• GNOMIに代わってデータが処理される場合に保持および廃棄義務が運用化されていることを確認するためのシステムおよびベンダーのレビュー。
• 統合が切断、期限切れ、または不要になった場合のPlaidアクセストークン、OAuth認証情報、API認証情報、および関連する統合シークレットの取消および削除。
• 関連する基礎的な金融統合が取り消されまたは削除された場合のAI生成金融インサイトの削除または匿名化。ただし、保持が別途要求される場合を除く。

9. GDPRデータ主体の要求およびアカウント閉鎖

GDPRまたはその他の適用されるプライバシー法が適用される場合、GNOMIは、アクセス、訂正、削除、制限、異議、およびポータビリティに関するデータ主体の要求を、適用される法的要件および合法的例外に従って処理します。GNOMIは、要求者の身元、データの性質、適用される法的根拠、システム要件、およびデータを保持する合法的義務に基づいて要求を評価します。

検証されたアカウント閉鎖または検証された削除要求があった場合、GNOMIは、法的、規制的、契約的、セキュリティ、不正防止、会計、監査、紛争解決、または正当な事業目的のために保持が要求または許可されない限り、本番稼働システムから該当する個人データを削除、匿名化、または制限します。バックアップからデータを直ちに削除できない場合、データは通常の使用から保護され、該当するバックアップライフサイクルを通じて削除されます。

技術的に実現可能で法的に許可される場合、GNOMIは、金融統合の切断、金融アクセストークンの取消、関連するポートフォリオ分析データの削除、およびユーザー承認済み金融統合に関連するAI生成金融インサイトの削除に関する検証済み要求を処理します。

10. 法的保全および保持例外

GNOMIは、データが法的保全、紛争、調査、規制要求、監査要件、セキュリティインシデント、契約上の義務、会計上の義務、またはその他の合法的な事業要件の対象となる場合、通常の保持または削除スケジュールを一時停止することがあります。法的保全または承認された例外の対象となるデータは、例外が適用される期間のみ保持され、その後、該当する保持および廃棄プロセスに戻されます。セキュリティ、不正防止、不正使用防止、紛争解決、監査、規制審査、またはその他の合法的なコンプライアンス義務により、金融統合記録またはセキュリティ関連の金融メタデータの限定的な継続保持が必要となる場合があります。

11. ベンダー、処理者、およびサードパーティシステム

GNOMIがサードパーティサービスプロバイダーを使用してデータを保存または処理する場合、GNOMIは、ベンダーレビュー、該当する場合の契約上の義務、および運用統制を通じて適切な保持および廃棄処理を要求します。処理者またはサービスプロバイダーとして機能するプロバイダーについて、GNOMIは、保持、削除、機密保持、セキュリティ、および支援義務が該当する契約、データ処理条件、またはベンダー統制において対処されることを期待します。

GNOMIは、サービスの性質、データの機密性、および適用されるプライバシーおよびセキュリティ要件に応じて、ベンダーのデータ取扱慣行を適切にレビューします。GNOMIが、ベンダーまたは処理者が保有するデータに適用される検証済み削除要求を受け取った場合、GNOMIは、合法的例外を条件として、該当するベンダーワークフローを通じて削除、制限、または匿名化要求を伝達または実行するための合理的な措置を講じます。

GNOMIは、Plaidおよびその他の金融統合プロバイダーについて、適切な契約的、プライバシー、セキュリティ、保持、削除、機密保持、および規制コンプライアンス統制を評価します。

必要に応じて、GNOMIは、金融統合データを含む国境を越えた処理についてGDPR準拠のデータ転送保護措置を実装します。

12. バックアップおよび災害復旧

バックアップまたは災害復旧システムに含まれるデータは、本番稼働システムから削除された後、限定的な期間存続する場合があります。バックアップデータは不正アクセスから保護され、ライフサイクル統制、保持スケジュール、および予定された上書きまたは削除の対象となります。GNOMIは、セキュリティ、災害復旧、法的、または運用上の必要性のために復元が必要な場合を除き、該当する削除要求後にバックアップデータを通常の業務処理に使用しません。バックアップシステム内に保持される金融統合データおよびAI生成金融インサイトは、アクセス制限、暗号化統制、ライフサイクル管理、および安全な上書き手順の対象となります。

13. 実施および責任

GNOMIの経営陣、セキュリティ、エンジニアリング、製品、運用、およびコンプライアンス担当者は、それぞれの責任範囲内でこのポリシーを適用する責任を負います。従業員および契約者は、承認された保持、削除、アクセス制御、および廃棄手順に従わなければなりません。承認されたプロセス外でのデータの無許可保持、エクスポート、コピー、または廃棄は禁止されています。

14. 定期的レビュー

このポリシーは、少なくとも年1回、およびGNOMIの製品、システム、ベンダー、データ処理活動、法的要件、契約上の義務、またはセキュリティ態勢に重大な変更があった場合にレビューされます。レビューは、保持基準、廃棄手順、GDPR準拠の慣行、ベンダー統制、および運用実施が適切かつ効果的であることを確認することを目的としています。レビューでは、新しい金融統合機能、AI金融分析機能、ポートフォリオ分析システム、Plaid統合の変更、および進化するプライバシーまたは金融データ義務を考慮する必要があります。

15. コンプライアンス確認

GNOMIは、このポリシーをデータ保持、削除、および廃棄に関する有効な会社文書として維持します。このポリシーは、該当する場合のGDPRを含む適用されるデータプライバシー法へのコンプライアンスをサポートし、GNOMIがデータを保持、削除、匿名化、および廃棄する方法について定義された実施可能なフレームワークを提供するように設計されています。

16. 承認

GDPR準拠の保持および削除慣行を含むデータ保持および廃棄に関する有効な会社ポリシーとしてGNOMI経営陣により承認されました。

12. 情報セキュリティポリシー

GDPRおよび適用されるプライバシー法の管理を含む

2. 適用範囲

本ポリシーは、すべてのGNOMI従業員、創業者、役員、契約者、コンサルタント、サービスプロバイダー、ベンダー、システム、アプリケーション、クラウド環境、データベース、ソースコードリポジトリ、本番資産、企業デバイス、ユーザーデータ、パートナーデータ、およびGNOMI製品とサービスを提供するために使用されるその他の情報資産に適用されます。

本ポリシーは、ユーザー承認済み証券口座データ、銀行関係データ、ポートフォリオ保有資産、取引メタデータ、金融統合トークン、AI生成ポートフォリオ分析、および金融インテリジェンス出力を含む、個人データ、機密データ、およびGNOMIによってまたはGNOMIに代わって処理される規制対象データを含む、会社、顧客、ユーザー、財務、技術、運用、認証、API、およびベンダー管理データに適用されます。

3. 法的、規制的、およびプライバシーコンプライアンス

GNOMIは、その事業に関連する適用されるすべての情報セキュリティおよびプライバシー法、規則、規制、および契約要件へのコンプライアンスを支援するために、セキュリティプログラムを設計および運用します。これには、適用される場合、以下が含まれます:

• 一般データ保護規則(GDPR)および適用されるEU/EEAデータ保護要件;
• 適用される場合、UK GDPRおよびデータ保護法要件;
• 適用される場合、CCPA/CPRAおよびニューヨークSHIELD法を含む米国州プライバシーおよびセキュリティ法;
• GNOMIがそれらの義務の対象となるデータを処理する範囲において、GLBAおよびFTCセーフガードルール要件;
• データ保護、機密保持、アクセス制御、インシデント通知、およびベンダーセキュリティ要件を含む、契約パートナーセキュリティ義務;
• 適用される侵害通知、データ最小化、保持、削除、およびユーザー権利要件;
• 金融統合環境に適用されるPlaid契約セキュリティおよびデータ取扱義務;
• ユーザー承認済み金融統合に関連する適用される金融データプライバシー、保護、および消費者保護義務。

法律、契約、またはパートナー要件が本ポリシーよりも厳格な義務を課す場合、より厳格な基準が適用されます。GNOMIは、本ポリシーが適用される法的、規制的、パートナー、およびセキュリティ要件と整合性を保つことを確保するために、定期的に本ポリシーを見直します。

4. GDPRおよびプライバシー・バイ・デザイン要件

GNOMIは、個人データを含むシステムおよびプロセスにプライバシー・バイ・デザインおよびセキュリティ・バイ・デザインの原則を適用します。GDPRが適用される場合、GNOMIのセキュリティおよびプライバシー管理は、以下の原則を支援するように設計されています:

• データ処理活動における適法性、公正性、および透明性;
• 目的の制限および正当なビジネス、製品、法的、セキュリティ、またはユーザー承認済み目的のためのみのデータ使用;
• データ最小化および記載された目的に合理的に必要なデータのみの収集;
• 正確性および適切な訂正または削除プロセス;
• 定義された保持および削除基準による保存期間の制限;
• 適切な技術的および組織的措置による完全性および機密性;
• プライバシーおよびセキュリティ管理の文書化、所有権、レビュー、および実施による説明責任。
• ユーザー承認済み金融データ処理は、同意の範囲、契約上の必要性、または要求された機能に適用されるその他の適法な根拠に制限されなければなりません。
• 金融インテリジェンス機能およびAI生成ポートフォリオ分析機能は、データ最小化、最小権限アクセス、安全な処理、および適切なユーザー透明性管理を組み込まなければなりません。

GNOMIは、適用される場合、アクセス、訂正、削除、制限、ポータビリティ、および異議申立てを含むデータ主体の権利プロセスを支援します。リクエストは、適用される法律およびGNOMIの内部プライバシー、セキュリティ、保持、および法的保全要件に基づいて評価されます。

5. セキュリティガバナンスと説明責任

• 経営幹部は、GNOMIが会社の規模、リスクプロファイル、製品、データ、およびパートナー義務に適した情報セキュリティプログラムを維持することを保証する責任を負います。
• セキュリティ責任は、エンジニアリング、製品、運用、法務、および経営幹部のステークホルダーに適切に割り当てられます。
• セキュリティ要件は、製品開発、ベンダー選定、アクセス管理、インシデント対応、データ取扱い、および運用上の意思決定に組み込まれます。
• GNOMIは、アクセス制御、データ保持、インシデント対応、ベンダー管理、およびセキュアな開発慣行を含む、本ポリシーを実施するための内部手順および支援管理策を維持します。

6. リスク管理

GNOMIは、機密性、完全性、可用性、プライバシー、または法令遵守に影響を与える可能性のある情報セキュリティリスクを特定、評価、軽減、および監視します。リスクレビューには、システムアーキテクチャ、データフロー、ベンダー依存関係、認証制御、アクセス権限、本番環境、新製品機能、サードパーティ統合、およびインシデント履歴が含まれる場合があります。

重大なリスクは、是正、受容、移転、または追加の管理策のために適切な管理者にエスカレーションされます。リスク対応の決定は、法的要件、パートナー義務、ユーザーへの影響、セキュリティへの影響、および事業継続性を考慮する必要があります。

リスク評価は、金融統合、Plaid依存関係、AI生成金融分析機能、ポートフォリオ分析システム、金融データアクセス制御、モデル出力、およびサードパーティ金融データフローを考慮する必要があります。

7. データ分類と取扱い

GNOMIは、機密性、ビジネス価値、法的義務、およびリスクに応じてデータを分類し保護します。データカテゴリには、公開、内部、機密、センシティブ、個人、金融、認証、ソースコード、セキュリティ、およびパートナーデータが含まれる場合があります。

• センシティブデータおよび個人データは、正当なビジネス上の必要性を持つ権限のある担当者のみがアクセスする必要があります。
• データは、承認されたシステムおよび適切な保護措置を使用して保存、送信、および処理される必要があります。
• シークレット、認証情報、トークン、APIキー、秘密鍵、および証明書は、平文リポジトリ、保護されていない文書、チャットメッセージ、または未承認のシステムに保存してはなりません。
• 本番データは、承認され適切に保護、最小化、匿名化、または仮名化されている場合を除き、非本番環境にコピーしてはなりません。
• データ取扱いは、GNOMIの保持、削除、廃棄、およびプライバシー要件に整合する必要があります。
• ユーザー承認済み証券口座データ、銀行情報、ポートフォリオ保有資産、取引メタデータ、AI生成金融インサイト、およびポートフォリオセンチメント出力は、センシティブデータとして分類される必要があります。
• 金融統合データは、承認されたシステムおよび承認されたワークフローを通じてのみ処理される場合があります。
• 本番金融統合データは、最小化、匿名化、仮名化、またはその他の適切な保護がされていない限り、開発環境またはテスト環境にコピーしてはなりません。

8. アイデンティティおよびアクセス管理

GNOMIは、本番資産、クラウドリソース、管理ツール、システム、ソースコードリポジトリ、およびセンシティブデータへのアクセスを制限するように設計されたアクセス制御を実施します。アクセスは、役割、ビジネス上の必要性、最小権限、および承認要件に基づいて付与されます。

• 役割ベースのアクセス制御(RBAC)は、システムおよびアプリケーションでサポートされている場合に使用されます。
• 特権および管理者アクセスは、権限のある担当者に制限され、定期的にレビューされます。
• 集中型アイデンティティおよびアクセス管理ソリューションは、ユーザー認証および承認を管理するために適切な場合に使用されます。
• 多要素認証は、サポートされている場合、特権アカウントおよび重要なシステムに対して必須です。
• アクセスレビューおよび監査は、アクセスが引き続き適切であることを検証するために定期的に実施されます。
• アクセスは、担当者が役割を変更、責任を移転、またはGNOMIとの関係を終了する際に変更または取り消されます。
• サービスアカウント、OAuthトークン、API認証情報、およびTLS証明書を含む非人間認証は、承認され、安全に保存され、必要最小限の権限にスコープされ、不要になった際にローテーションまたは取り消される必要があります。
• 金融統合システム、Plaid管理環境、AI金融インテリジェンスシステム、およびユーザー金融データセットへのアクセスは、正当な運用、セキュリティ、コンプライアンス、またはサポートの必要性を持つ権限のある担当者に制限される必要があります。
• ユーザー承認済み金融口座データを取得または分析できるシステムへの管理者アクセスは、サポートされている場合、多要素認証を必要とします。

9. 本番資産のセキュリティ

• 本番環境は、アクセス制御、ログ記録、監視、安全な構成、および変更管理の実践を通じて保護されなければなりません。
• 本番環境へのアクセスは、承認された運用上または技術上の必要性を有する担当者に制限されます。
• 本番システムへの変更は、リスクと緊急性に基づいて、適切なレビュー、テスト、承認、および展開の実践に従わなければなりません。
• 機密性の高い本番データは、正当な業務上、法的、セキュリティ上、または運用上の目的で承認されない限り、エクスポート、ダウンロード、または転送されるべきではありません。
• 緊急時の本番環境へのアクセスは、制限され、ログに記録され、使用後にレビューされなければなりません。
• ユーザーが承認した金融統合データを処理するシステムは、適切なログ記録、監視、暗号化、アクセス制限、および安全な構成管理を実装しなければなりません。
• AIが生成した金融インサイトおよびポートフォリオ分析の出力へのアクセスは、関連するユーザー金融データの機密性と一致する形で制限されなければなりません。

10. 暗号化、シークレット、および鍵管理

GNOMIは、機密データ、認証情報、および通信を保護するために適切な技術的保護措置を使用します。暗号化は、転送中の機密データに使用されなければならず、サポートされ適切である場合には保管中の機密データにも適用されなければなりません。シークレット、トークン、証明書、鍵、および認証情報は、承認された安全なシステムに保存され、不正な使用または開示から保護されなければなりません。

鍵および認証情報は、侵害された場合、不要になった場合、または担当者もしくはベンダーのアクセスが変更された場合に、ローテーション、無効化、または取り消しを行わなければなりません。認証情報は、承認されたサービスアカウント管理が使用される場合を除き、ユーザー間で共有されてはなりません。

Plaid API認証情報、金融統合トークン、OAuth認証情報、Webhookシークレット、リフレッシュトークン、および関連する金融統合シークレットは、暗号化され、安全に保存され、不正アクセスから保護されなければなりません。

11. ログ記録、監視、およびセキュリティレビュー

GNOMIは、そのシステムおよびリスクプロファイルに適したログ記録および監視の実践を維持します。ログには、認証イベント、管理活動、アプリケーションイベント、システム活動、本番環境の変更、アクセス変更、およびセキュリティ関連のエラーまたはアラートが含まれる場合があります。

• ログは、セキュリティイベント、運用上の問題、アクセス異常、およびインシデントを調査するために必要に応じてレビューされます。
• セキュリティ関連のイベントは、調査および是正のために責任者にエスカレーションされます。
• 監視およびアラート管理は、システム、ベンダー、および業務リスクの進化に応じて更新されます。
• 個人データまたは機密情報を含むログは、GNOMIの保持およびプライバシー義務と一致する形で保護され、保持されなければなりません。
• セキュリティ監視には、金融統合活動、Plaid統合イベント、トークン管理イベント、金融データセットへの特権アクセス、およびユーザー金融情報に関わる異常なアクセスパターンを含めるべきです。

12. 安全な開発および変更管理

GNOMIは、ソフトウェア開発および製品提供にセキュリティを組み込みます。セキュリティ要件は、GNOMIシステムの設計、開発、テスト、展開、および保守の際に考慮されます。

• コード変更は、適切な場合、本番環境への展開前にレビューされるべきです。
• セキュリティに影響を与える変更は、認証、認可、データフロー、API、統合、本番インフラストラクチャ、または機密データに関わる変更を含め、リスクについて評価されなければなりません。
• 依存関係、ライブラリ、およびサードパーティコンポーネントは、既知の脆弱性を軽減するために適切にレビューおよび更新されるべきです。
• 内部レビュー、サードパーティレポート、監視、またはベンダー通知を通じて特定された脆弱性は、深刻度および業務への影響に基づいてトリアージおよび是正されなければなりません。
• 金融統合、Plaid API、AIが生成したポートフォリオ分析、金融分析機能、またはユーザー金融データフローに関わるセキュリティに影響を与える変更は、展開前に適切なセキュリティおよびプライバシーレビューを受けなければなりません。

13. ベンダーおよびサードパーティのセキュリティ

GNOMIは、処理されるデータの種類、提供されるサービス、運用上の依存性、セキュリティ態勢、法的義務、および契約上の要件に基づいて、サードパーティベンダー、処理者、副処理者、および統合パートナーを評価します。

• 機密情報、個人情報、財務情報、またはユーザーデータを処理するベンダーは、適切なセキュリティおよびプライバシー保護措置について審査されなければなりません。
• 契約には、適切な場合、機密保持、データ保護、セキュリティ、アクセス制御、インシデント通知、保持、削除、および再処理者の義務を含める必要があります。
• GNOMIシステムまたはデータへのベンダーアクセスは、承認された使用に限定され、不要になった場合は取り消されなければなりません。
• GNOMIは重要なベンダーリスクを監視し、適切な場合、ベンダーからセキュリティ文書、証明書、またはコンプライアンス証拠を要求することがあります。
• PlaidおよびPlaidに関連する再処理者を含む金融統合プロバイダーは、セキュリティ態勢、データ保護管理、規制コンプライアンスの整合性、および契約上のプライバシー義務について評価されなければなりません。
• EUまたは英国の金融統合データを含む国境を越えた転送は、必要に応じて適切な合法的転送メカニズムを利用しなければなりません。

14. インシデント対応および侵害通知

GNOMIは、セキュリティインシデントを特定、調査、封じ込め、是正、文書化、および伝達するためのインシデント対応手順を維持します。セキュリティインシデントには、不正アクセス、データ露出、認証情報の侵害、システム侵害、データ損失、マルウェア、サービス中断、または機密性、完全性、可用性の侵害の疑いが含まれる場合があります。

• インシデントは、適切な社内関係者に速やかにエスカレーションされなければなりません。
• GNOMIは、性質、範囲、影響を受けるシステム、影響を受けるデータ、ユーザーへの影響、パートナーへの影響、法的義務、および是正措置を評価します。
• ユーザー、規制当局、パートナー、ベンダー、またはその他の当事者への通知は、適用法、契約、またはGNOMIのインシデント対応決定により必要とされる場合に行われます。
• インシデントから得られた教訓は、管理、手順、トレーニング、監視、およびベンダー監督の改善に使用される場合があります。
• 金融統合システム、Plaid認証情報、証券会社または銀行情報、ポートフォリオ分析システム、またはAI生成金融インテリジェンス出力に関わるインシデントは、調査および封じ込めのために優先されなければなりません。

15. データ保持、廃棄、および法的保全

GNOMIは、製品提供、ユーザーアカウント管理、セキュリティ、不正防止、分析、法令遵守、財務記録、契約上の義務、紛争解決、および正当な事業運営を含む、収集または処理された目的のために合理的に必要な期間のみ情報を保持します。

• 個人データは、法的、規制上、契約上、セキュリティ上、または正当な事業保持ニーズに従うことを条件として、不要になった場合は削除、匿名化、または安全に廃棄されなければなりません。
• ユーザーの削除およびアカウント閉鎖要求は、適用されるプライバシー法およびGNOMIの保持要件に従って処理されます。
• バックアップおよびログは、定義されたライフサイクル慣行に従って保持および廃棄され、技術的、セキュリティ上、または法的要件により削除が遅延する場合があります。
• 法的保全は、法的、規制上、監査、調査、または紛争目的のために情報を保存する必要がある場合、削除または廃棄を一時停止することがあります。
• 金融統合データおよびAI生成金融インサイトは、合法的な保持要件に従うことを条件として、承認された機能に不要になった場合は削除、匿名化、制限、またはトークン取り消しされなければなりません。

16. 人事セキュリティおよびトレーニング

会社システム、本番資産、または機密データへのアクセス権を持つGNOMIの人員および契約者は、本ポリシーおよび適用されるセキュリティ手順に従わなければなりません。人員は、認証情報を保護し、承認されたシステムを使用し、疑わしいセキュリティインシデントを報告し、分類および知る必要性の要件に従ってデータを取り扱うことが期待されます。

セキュリティおよびプライバシーの意識向上は、GNOMIの製品、リスク、およびコンプライアンス義務の進化に応じて、オンボーディング、役割固有のガイダンス、社内コミュニケーション、および継続的な更新を通じて提供される場合があります。

金融統合システムまたはユーザー承認済み金融データへのアクセス権を持つ人員は、金融データの取り扱い、プライバシー義務、安全な処理、フィッシング防止、トークンセキュリティ、およびインシデントエスカレーション手順に関する追加のガイダンスを受ける場合があります。

17. 事業継続性および可用性

GNOMIは、重要なサービスの継続性および可用性をサポートするための合理的な措置を維持します。管理には、クラウドレジリエンス、バックアップ、監視、インシデントエスカレーション、ベンダー依存関係レビュー、災害復旧計画、およびシステムの重要性とリスクに基づく運用対応手順が含まれる場合があります。事業継続性計画では、可用性リスク、ベンダー停止、トークン障害、および金融統合サービスの中断を含む、Plaidおよびその他の金融統合プロバイダーへの依存関係を考慮する必要があります。

18. 例外

本ポリシーに対する例外は、事業上の必要性、リスク、補償管理、期間、および法的または契約上の要件に基づいて、適切なGNOMI管理者によって承認されなければなりません。例外は、適切な場合に文書化され、是正されるか正式に受け入れられるまで定期的に見直されなければなりません。

19. 執行

本ポリシーの遵守を怠った場合、アクセス取り消し、是正要件、ベンダー措置、懲戒処分、契約解除、または違反の性質および重大性に応じたその他の措置が取られる場合があります。GNOMIは、疑わしい違反を調査し、会社システム、ユーザー、パートナー、およびデータを保護するための是正措置を講じることがあります。