プライバシーポリシー

1. 当社の立場

当社は、患者等に関する診療音声、文字起こし、SOAP下書きその他診療関連データについて、利用医療機関等を委託元とする処理委託先として取り扱います。当該取扱いは、個人情報保護法第27条第5項第1号の委託に基づくものです。

当社が個人情報取扱事業者として直接取得・管理する情報は、利用医療機関等の担当者情報、契約情報、請求情報、サポート対応情報等です。

当社が本サービス提供のために外部サービスを利用する場合、当該外部サービスへの再委託も、利用目的の達成に必要な範囲で行う委託として整理します。

患者等への説明、録音、同意取得、診療上の判断、診療録の作成・保存は、利用医療機関等の責任で行うものとします。

なお、本サービスで生成されるSOAP下書きは、医師その他医療従事者の確認・編集を経て電子カルテ等に転記される下書きであり、医師法・医療法上の保存義務を負う正式な診療録ではありません。

2. 取得・処理する情報

当社は、以下の情報を取得または処理します。

• 利用医療機関等に関する情報: 医療機関名、担当者名、メールアドレス、契約プラン、請求情報、問い合わせ内容等
• 診療関連データ: 診療音声、文字起こし、SOAP下書き、入力・編集されたメモ、患者氏名、年齢、症状、病歴、診療内容、処方、検査結果その他診療に関する情報
• 利用ログ等: IPアドレス、端末情報、ログイン履歴、操作履歴、監査ログ、エラーログ等
• 決済情報: 契約プラン、支払状況、決済結果、Stripeが発行する顧客ID・請求ID等

3. 利用目的

• 本サービスの提供、運営、保守、改善
• 診療音声の文字起こし、SOAP下書きその他文書案の生成、保存、閲覧、編集、出力
• アカウント登録、認証、権限管理、契約管理
• 請求、決済、領収書発行、支払状況の確認
• 問い合わせ対応、サポート、障害対応
• 不正利用、不正アクセス、情報漏えい等の防止
• 法令、契約、本ポリシーへの違反対応
• メンテナンス、仕様変更、重要なお知らせの通知
• 匿名加工情報または仮名加工情報としての統計分析およびサービス改善
• 上記に付随する目的

4. AIモデルの学習への不利用

当社は、患者情報、診療音声、文字起こし、SOAP下書きその他診療関連データを、当社または第三者のAIモデルの学習、再学習、ファインチューニングその他AIモデル改善の目的で利用しません。

OpenAI APIについては、API経由のデータが明示的なオプトインなしにモデルの学習・改善に使用されない方針に基づき利用します。当社は、診療関連データを学習利用にオプトインしません。

ただし、外部サービス事業者において、不正利用防止、セキュリティ確保、障害対応、法令遵守等のため、契約条件に基づき必要なログ等が保存される場合があります。

5. 委託先・外部サービス・越境移転

当社は、本サービスの提供に必要な範囲で、以下の外部サービスを利用します。

米国には、連邦レベルで日本の個人情報保護法に相当する包括的な個人情報保護法はなく、医療、金融、通信等の分野別法および州法により規制されています。

当社は、外国にある事業者に個人データを提供または処理委託する場合、個人情報保護法第28条その他関係法令に従い、必要な情報提供、同意取得、相当措置の確認、契約上の保護措置、委託先管理を行います。

患者等に関する診療関連データについては、利用医療機関等が本人への説明・同意取得を行う主体となります。当社は、利用医療機関等が必要な説明を行えるよう、外部サービス、移転先、保護措置等に関する情報を提供します。

6. 第三者提供

当社は、以下の場合を除き、本人の同意なく個人データを第三者に提供しません。

• 法令に基づく場合
• 人の生命、身体または財産の保護のために必要な場合
• 公衆衛生の向上等のために特に必要な場合
• 国または地方公共団体等への協力が必要な場合
• 利用目的の達成に必要な範囲で取扱いを委託する場合
• 事業承継に伴い提供する場合
• 利用医療機関等の指示または契約に基づく場合
• その他法令で認められる場合

7. 安全管理措置

当社は、個人情報および診療関連データの漏えい、滅失、毀損、不正アクセス等を防止するため、アクセス制御、認証管理、暗号化、ログ管理、権限管理、従業者教育、委託先管理、インシデント対応体制の整備等、必要かつ適切な安全管理措置を講じます。

当社は、いわゆる3省2ガイドラインに沿って、安全管理措置の整備・改善に努めます。

• 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」
• 総務省・経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第2.0版」
• 厚生労働省「医療機関等におけるサイバーセキュリティ対策チェックリストマニュアル～医療機関等・事業者向け～（令和7年5月）」

8. 漏えい等発生時の対応

個人データの漏えい、滅失、毀損その他の事故が発生し、または発生したおそれがある場合、当社は、速やかに事実関係を調査し、被害拡大防止、原因究明、再発防止に必要な措置を講じます。

法令上報告対象となる場合、当社は、個人情報保護委員会への速報、確報その他必要な報告を行い、本人への通知を行います。速報は原則として発覚日から概ね3〜5日以内、確報は原則として発覚日から30日以内に行います。ただし、不正の目的で行われたおそれがある場合は、確報期限が60日以内となる場合があります。

患者等に関する診療関連データについては、当社は利用医療機関等に速やかに通知し、利用医療機関等による本人通知、個人情報保護委員会への報告その他必要な対応に協力します。必要な場合には、利用医療機関等を通じて本人への通知を行います。

利用医療機関等の担当者情報等、当社が個人情報取扱事業者として直接管理する情報については、当社が法令に従って本人通知その他必要な対応を行います。

9. 保存期間・削除

診療音声、文字起こし、SOAP下書きその他診療関連データは、契約期間中保存します。契約終了後は、法令上、契約上、セキュリティ上または紛争対応上必要な場合を除き、90日以内に削除または匿名化します。

監査ログは、取得日から3年間保存します。契約終了後も、セキュリティ、監査、法令対応または紛争対応のため必要な範囲で保存する場合があります。

診療録その他法令上保存義務のある記録の保存・管理は、利用医療機関等の責任で行うものとします。

10. 匿名加工情報・仮名加工情報

当社は、法令に従い、個人を識別できないよう加工した匿名加工情報または仮名加工情報を作成し、統計分析およびサービス改善のために利用することがあります。

匿名加工情報を作成または第三者提供する場合、当社は法令に従い必要な事項を公表します。仮名加工情報を利用する場合、当社は法令に従い、再識別を行わず、適切に管理します。

11. 開示、訂正、利用停止等

当社は、本人または代理人から、保有個人データの開示、訂正、追加、削除、利用停止、消去、第三者提供停止、第三者提供記録の開示等を求められた場合、本人確認のうえ、法令に従い対応します。

患者等に関する診療関連データについては、当社は利用医療機関等から委託を受けて処理しているため、原則として診療を受けた利用医療機関等を通じてご連絡ください。

12. Cookie・アクセス解析

当社は、本サービスの認証、ログイン状態の維持、セキュリティ確保、不正利用防止のため、Cookieその他類似技術を利用することがあります。

当社は、本ポリシー改定日時点において、Google Analytics等のアクセス解析サービスを利用していません。

13. 本ポリシーの変更

当社は、法令、サービス内容、外部サービス、セキュリティ上の必要性等に応じて、本ポリシーを変更することがあります。

変更後の内容は、本サービスまたは当社ウェブサイト上で公表します。利用目的、第三者提供、越境移転、安全管理措置その他重要な変更を行う場合、当社は、契約管理者宛にメールで個別通知し、必要に応じて効力発生日の7日前までに通知します。ただし、法令対応、セキュリティ対応、緊急対応その他やむを得ない場合は、この限りではありません。

14. 事業者情報・お問い合わせ先

会社名：GENNAI株式会社

法人番号：6080401027397

本店所在地：静岡県浜松市中央区入野町4923番地の7

代表取締役：平出景詩

個人情報保護管理者：平出景詩

E-mail：tsukusuta@gmail.com

受付時間：平日10時から17時まで