セキュリティ・データ保護への取り組み

利用者情報・介護記録・スタッフ情報を含むすべての永続化データは、Supabase の東京リージョン (ap-northeast-1)で保管されます。データの物理的な所在地は日本国内です。

バックアップも同じ国内リージョン内で行われ、海外への自動転送は行いません。

• 通信: すべての HTTP 通信は TLS 1.2 以上 で暗号化（HSTS 有効）
• 保管: データベースは Supabase 側で暗号化された状態で保管 (AES-256)
• バックアップ: 暗号化された状態で保管

Supabase の Row Level Security (RLS)により、データベースのレコード単位でアクセス権限を制御しています。 利用者・介護記録・スタッフ情報は所属施設の facility_id に紐付き、他施設のデータが構造的に取得できない仕組みです。

認証はパスワードベース (Supabase Auth) で、パスワードはハッシュ化されて保管されます。 現時点では多要素認証 (MFA) は未対応ですが、有料プランでの導入を検討中です。

有料プランの決済は Stripe を通じて行われ、PCI DSS 準拠の Stripe 側で処理されます。

クレジットカード番号や CVV 等のカード情報は当社サーバーには一切保存されません。 当社が保持するのは Stripe Customer ID と Subscription ID のみです。

法令に基づく場合を除き、ご登録の個人情報・介護記録を第三者に提供することはありません。

サービス運営上必要な以下の外部サービスへのデータ送信については、各サービスの DPA (データ処理契約) に基づき適切に取り扱われます。

• • Supabase (データベース・認証・ストレージ)
• • Vercel (ホスティング)
• • Stripe (決済処理)
• • Anthropic Claude API (介護記録の AI 構造化)
• • OpenAI Whisper API (音声 → テキストの文字起こし)
• • Resend (お問い合わせ受付メール送信)

サイト改善のため Vercel Analytics / Speed Insights / Microsoft Clarity (設定時のみ) を利用していますが、これらは LP・公開ページの利用状況のみ を計測します。

お客様が登録された介護記録・利用者情報・スタッフ情報は計測対象外です。 認証後のダッシュボード内の操作データを第三者の解析サービスに送信することはありません。

音声入力・テキスト処理に Anthropic Claude / OpenAI Whisper API を利用しています。 各社の API 利用規約により、これらに送信されたデータは モデルの学習には使用されない ことが約束されています (両社の API は学習除外がデフォルト)。

送信される情報は介護記録作成に必要な音声・テキストの最小限のみで、 利用者氏名等は含まないようプロンプト設計しています。

施設・ユーザー単位でのデータ削除リクエスト、および介護記録のエクスポート (CSV / PDF) には お問い合わせフォーム 経由でご対応いたします (β版運用中のため、自動化された削除フローは順次整備予定)。

利用者ご自身からの開示・訂正・利用停止等のご請求も同フォームよりお受けします。

厚生労働省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の考え方を参考に、技術的・組織的安全管理措置を整備しています。

β版運用中のため、第三者認証 (ISMS / プライバシーマーク等) は未取得ですが、 有料運用フェーズに向けて取得の準備を進めています。

システム障害・データ侵害等のインシデント発生時は、影響を受けるお客様に 速やかに通知し、原因・影響範囲・再発防止策を共有します。

※ β版段階のため SLA (稼働率保証)・対応時間 (RTO/RPO) の数値コミットは 現時点では行っておりません。詳細は契約時に個別相談ください。