genome
Genome

プライバシーポリシー

最終更新日:2026年4月

1. はじめに

[Company Name](以下「当社」)は、お客様のDNAを理解するためのゲノム解析プラットフォームを運営しています。当社はお客様のプライバシーを真剣に受け止めています。特に、最も個人的な情報の一つである遺伝データについては細心の注意を払います。

本ポリシーでは、収集するデータ、収集の理由、保護方法、およびお客様の権利について説明します。本ポリシーは、当社のウェブサイトおよびサービスのすべてのユーザーに適用されます。

当社は、一般データ保護規則(EU 2016/679、以下「GDPR」)および適用される各国のデータ保護法に準拠して個人データを処理します。遺伝データの処理における法的根拠は、GDPR第9条第2項(a)に基づくお客様の明示的な同意です。

2. 収集するデータ

遺伝データ

DNA生データファイル(23andMe、AncestryDNA等のサービスから)をアップロードすると、お客様のジェノタイプデータを受け取ります。これにはバリアントコール(SNPs)および関連するメタデータが含まれます。このデータは、同意ページで明示的な同意をいただいた後にのみ処理されます。あなたのデータ、あなたの同意.

アカウントデータ

  • メールアドレス
  • ハッシュ化されたパスワード(平文パスワードは保存されません)
  • 氏名(入力された場合)
  • 同意記録およびタイムスタンプ

利用データ

プラットフォームの安定運用のために最小限の利用データを収集します:ページ訪問、機能利用、エラーログ。サードパーティのアナリティクスやトラッキングピクセルは使用しません。広告主とデータを共有することはありません。

3. 遺伝データの処理方法

遺伝データは、GDPR第9条に基づく個人データの「特別カテゴリー」に分類されます。解析開始前に、専用の同意ページでお客様の明示的かつ十分な情報に基づく同意をいただいた場合にのみ処理します。

当社は、以下の目的でお客様の遺伝データを処理します:

  • パーソナライズされたゲノムレポートの生成(健康特性、保因者ステータス、ウェルネスインサイト)
  • 遺伝バリアントのAIを活用した解釈の提供
  • お客様のプロファイルに関連する新しい研究の通知(オプトインした場合のみ)

当社は、お客様の遺伝データを保険引受、雇用判断、広告、またはお客様が同意した範囲を超える目的で使用することはありません。お客様のデータを第三者に販売することは一切ありません。

4. データの保存とセキュリティ

お客様のデータは、欧州連合内でのみ保存および処理されます。当社は以下のセキュリティ対策を実施しています:

  • 保存時および転送時の暗号化すべての遺伝ファイルおよび個人データはAES-256で暗号化されます。すべての接続はTLS 1.3を使用します。
  • EU域内のインフラストラクチャお客様のデータはSupabaseのフランクフルト(ドイツ)リージョンに保存されます。コンピューティング処理はフランスにあるScaleway GPUサーバーで実行されます。
  • HDS認証当社のコンピューティングプロバイダー(Scaleway)は、フランスの健康データホスティングの最高基準であるHébergeur de Données de Santé(HDS)認証を取得しています。
  • アクセス制御遺伝データへのアクセスは自動処理パイプラインに限定されます。人間がお客様の生の遺伝ファイルを閲覧することはありません。

5. 第三者処理事業者

当社は、プラットフォームの運営のために限られた数のサブプロセッサーを利用しています。各事業者はセキュリティ慣行およびGDPR準拠に基づいて選定されています。

Supabase(データベースおよび認証)

アカウントデータ、同意記録、暗号化された遺伝ファイルを保存します。EU(フランクフルト)でホスティング。SupabaseはGDPRに準拠しており、データ処理契約(DPA)を提供しています。

Scaleway(GPUコンピューティング)

ゲノム解析パイプラインを実行します。フランスに設置、HDS認証取得済み。お客様の遺伝データはこれらのサーバーで処理され、解析セッション終了後は保持されません。

OpenRouter(LLM解釈)

匿名化されたバリアントデータを送信し、結果の自然言語による解釈を生成します。送信されるのは特定の遺伝バリアントのみであり、完全なファイル、氏名、メールアドレスは送信されません。OpenRouterは処理のために送信されたデータを保存しません。

当社は、上記以外の第三者とお客様のデータを共有することはありません。新しいサブプロセッサーを追加する場合は、本ポリシーを更新し、お客様に通知します。

6. お客様の権利

GDPRに基づき、お客様は個人データに関して以下の権利を有します:

  • アクセス権当社が保有するすべての個人データのコピーを請求できます。
  • 訂正権不正確な個人データを訂正できます。
  • 消去権データの削除を請求できます。アカウント設定からいつでも遺伝ファイルおよびアカウントを削除できます。
  • データポータビリティ権構造化された機械可読形式でデータを受け取ることができます。
  • 同意撤回権遺伝データの同意はいつでも撤回できます。これは、撤回前に行われた処理の適法性に影響を与えません。
  • 苦情申立権所管のデータ保護当局に連絡できます(フランスの場合:CNIL)。

これらの権利を行使するには、privacy@[domain].comまでご連絡いただくか、アカウント設定のセルフサービスオプションをご利用ください。30日以内に対応いたします。

7. データの保持

データ種別保持期間
遺伝ファイルおよびレポート削除を依頼するまで(/account経由)
アカウントデータアカウントを削除するまで
同意記録最終操作から5年間(法的義務)
監査ログ5年間(法規制準拠)

データを削除すると、30日以内に当社のシステムから完全に削除されます。バックアップコピーは90日以内に消去されます。同意記録および監査ログは、法的義務を果たすためにより長期間保持されます。

8. Cookie

当社は認証目的のみにCookieを使用します:

  • セッションCookie(HttpOnly、Secure)— ログイン状態を維持するJWTトークンです。JavaScriptからアクセスできず、HTTPS経由でのみ送信されます。

トラッキングCookie、広告Cookie、サードパーティアナリティクスは使用しません。当社のCookieはサービスの機能に不可欠なものであるため、Cookie同意バナーは不要です(ePrivacy指令第5条第3項の免除)。

9. 未成年者

当社のサービスは18歳未満の方を対象としていません。未成年者の個人データを意図的に収集することはありません。お子様が当社にデータを提供したと思われる場合は、直ちにご連絡ください。当該データを削除いたします。

10. 本ポリシーの変更

当社は本ポリシーを随時更新する場合があります。特に遺伝データの取り扱いに関する重要な変更を行う場合は、メールで通知し、プラットフォーム上にお知らせを表示します。本ページ上部の「最終更新日」は常に最新バージョンを反映しています。

11. お問い合わせ

本プライバシーポリシーまたは当社のデータ取り扱いについてご質問がある場合は、以下までご連絡ください:

[Company Name]

データ保護担当

メールアドレス: privacy@[domain].com

プライバシーに関するすべてのお問い合わせに30日以内に対応することを目指しています。

ホームに戻る