プライバシーポリシー

1. 基本方針

tegaki-ocr（以下「本サービス」）の運営者（以下「当社」）は、個人情報保護法（個人情報の保護に関する法律）および 厚生労働省・経済産業省・総務省が定める「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」 （3省2ガイドライン）を遵守し、利用者および患者さんの個人情報を適切に保護することを基本方針とします。

2. 収集する個人情報

当社は、本サービスの提供にあたり、以下の個人情報を収集します。

• 医療機関（クリニック等）のご担当者様の氏名・メールアドレス・パスワード（アカウント登録情報）
• 問診票の読み取り処理に付随して生じる、患者さんの氏名・住所・電話番号・生年月日・既往歴・症状など （要配慮個人情報を含む）
• 問診票の撮影画像データ
• サービス利用ログ（アクセス日時・IPアドレス・操作履歴等）

患者さんの問診票データは、個人情報保護法第2条第3項に規定する「要配慮個人情報」に該当します。 当社は医療機関から情報処理業務を受託する立場として、当該情報を厳重に管理します。

3. 利用目的

収集した個人情報は、以下の目的のみに使用します。

• 本サービス（手書き問診票のAI読み取り・データ管理）の提供
• アカウントの認証・管理
• サービスに関する重要なお知らせの送信（障害情報・規約変更等）
• 不正利用の検知・防止
• サービスの改善および品質向上（個人を特定しない統計情報として使用する場合のみ）

4. 第三者提供

当社は、法令に定める場合を除き、本人の同意なく個人情報を第三者に提供しません。

ただし、本サービスの提供にあたり、以下の再委託先に個人情報の処理を委託します。 各社との間で個人情報保護に関する契約を締結し、適切な監督を行います。

5. 安全管理措置

当社は、個人情報の漏洩・滅失・毀損を防止するため、以下の措置を講じます。

• すべての通信にTLS 1.2以上の暗号化を適用
• サービスへのアクセスログを記録・定期的に監査
• クリニックごとのテナント分離（他院のデータに絶対アクセスできない設計）
• パスワードのハッシュ化保存（bcrypt）
• 本番環境への人的アクセスを最小権限の原則で制限
• インシデント対応手順の整備および従業者への教育

6. データの保存場所

• データベース（文字起こしデータ・アカウント情報）：Supabase 東京リージョン（ap-northeast-1）に保管します。
• 問診票の撮影画像：Cloudflare R2 APACリージョンに保管します。

AIによる文字認識処理（Google Gemini API・Anthropic Claude API）は推論時のみ外部APIに送信され、 外部APIサービス側には保存されません。

7. 保存期間・削除

• 利用中は、アカウントが有効な期間中データを保存します。
• 契約終了（アカウント削除・解約）後、90日以内にすべてのデータを完全削除します。
• ご要望に応じて、削除完了の証明書（削除証明書）を発行します。
• 法令により保存義務が生じる場合は、当該法令の定める期間保存します。

8. 漏洩発生時の対応

個人情報の漏洩・滅失・毀損等のインシデントが発生した場合、当社は以下の対応を行います。

• 発覚から24時間以内に、影響を受けるクリニックへ第一報を通知します。
• クリニックは委託元として個人情報保護委員会への速報義務を負います。当社はクリニックの対応を全面的にサポートします。
• 原因究明・被害拡大防止措置・再発防止策を速やかに実施し、報告書を作成します。

9. 開示・訂正・削除の請求手続き

ご本人（またはその代理人）は、当社が保有する個人情報について、開示・訂正・追加・削除・利用停止・ 第三者提供の停止を請求することができます。

請求は下記お問い合わせ先までメールにてご連絡ください。本人確認のうえ、合理的な期間内に対応します。

10. プライバシーポリシーの改定

当社は、法令の改正やサービス内容の変更等に伴い、本ポリシーを改定することがあります。 重要な変更を行う場合は、サービス内またはメールにて事前にお知らせします。 改定後のポリシーは、本ページへの掲載をもって効力を生じるものとします。