プライバシーポリシー
Casey における個人情報、利用情報、トレーニングデータその他の情報の取扱い方針です。
Casey プライバシーポリシー
制定日:2026年06月14日
最終改定日:2026年06月27日
合同会社Ishify(以下「当社」といいます。)は、当社が提供するAI模擬患者サービス「Casey」(以下「本サービス」といいます。)におけるユーザーの個人情報、利用情報、トレーニングデータその他の情報の取扱いについて、以下のとおりプライバシーポリシー(以下「本ポリシー」といいます。)を定めます。
本サービスを利用する方は、本ポリシーの内容を確認し、同意した上で本サービスを利用するものとします。
第1条 基本方針
当社は、個人情報の保護に関する法律その他関連法令、ガイドラインおよび本ポリシーを遵守し、ユーザーの個人情報を適切に取り扱います。
当社は、本サービスが医師、医学生、研修医、医療従事者、医学教育関係者等を対象とするAI模擬患者サービスであることを踏まえ、ユーザーの登録情報、学習履歴、会話ログ、評価結果、診断推論データその他の情報を適切に管理します。
当社は、本サービスにおいて取得した情報を、医学教育、臨床推論トレーニング、教育研究、サービス改善、AI模擬患者の品質改善、事業開発その他本ポリシーに定める目的の範囲で利用します。
当社は、法令に基づく場合、本人の同意がある場合、または本ポリシーに定める場合を除き、個人を特定できる形でユーザーの個人情報またはトレーニングデータを外部に公表しません。
第2条 定義
本ポリシーにおいて使用する用語の意味は、以下のとおりとします。
「本サービス」とは、当社が提供するAI模擬患者サービス「Casey」およびこれに関連するウェブサイト、アプリケーション、API、教材、評価機能、学習管理機能、サポート等をいいます。
「ユーザー」とは、本サービスを利用する医師、医学生、研修医、医学教育関係者、医療従事者、法人ユーザーの所属者その他当社が認める者をいいます。
「法人ユーザー」とは、大学、医学部、医療機関、研修施設、教育機関、企業その他本サービスを組織として利用する者をいいます。
「管理者」とは、法人ユーザーにおいて、所属ユーザーの利用状況、学習履歴、評価結果等を閲覧または管理する権限を付与された者をいいます。
「個人情報」とは、個人情報の保護に関する法律に定める個人情報をいいます。
「個人データ」とは、個人情報の保護に関する法律に定める個人データをいいます。
「保有個人データ」とは、個人情報の保護に関する法律に定める保有個人データをいいます。
「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、健康診断等の結果、診療・調剤に関する情報その他、法令上その取扱いに特に配慮を要する個人情報をいいます。
「トレーニングデータ」とは、ユーザーによる本サービスの利用に伴い取得または生成される会話ログ、回答内容、診断推論、鑑別診断、検査選択、身体所見への回答、評価結果、スコア、フィードバック、学習履歴、利用履歴その他のデータをいいます。
「実患者情報」とは、実在する患者または第三者を識別し得る情報、診療録、検査結果、医用画像、紹介状、退院サマリー、患者ID、診察券番号その他実際の医療または診療に関する情報をいいます。
「匿名加工情報」とは、特定の個人を識別できず、かつ元の個人情報を復元できないように法令に従って加工された情報をいいます。
「統計情報」とは、特定の個人を識別できない形式で集計、分析または加工された情報をいいます。
「仮名加工情報」とは、他の情報と照合しない限り特定の個人を識別できないように加工された情報をいいます。
第3条 取得する情報
当社は、本サービスの提供にあたり、以下の情報を取得することがあります。
1. 登録情報
当社は、ユーザー登録、本人確認、資格確認、アカウント管理のため、以下の情報を取得することがあります。
氏名
メールアドレス
電話番号
所属機関名
所属部署(または学部)、役職
医師、医学生(学年ごと)、研修医、看護師等の属性
医師免許取得年(医学生は除く)
ログインID、パスワード、認証情報
その他当社が登録または資格確認のために必要と判断する情報
2. 法人・教育機関利用に関する情報
法人ユーザーが本サービスを導入する場合、当社は以下の情報を取得することがあります。
法人名、学校名、医療機関名、研修施設名
部署、講座、診療科、学年、クラス、研修プログラム名
管理者の氏名、メールアドレス、役職
所属ユーザーの一覧、アカウント情報、利用権限
課題、授業、研修、評価プログラムに関する情報
管理者によるコメント、評価、設定情報
その他法人利用に必要な情報
3. トレーニングデータ
当社は、本サービスの利用に伴い、以下のトレーニングデータを取得することがあります。
AI模擬患者との会話ログ
問診内容、質問内容、回答内容
診断名、鑑別診断、臨床推論の内容
身体所見、検査、画像、治療方針等に関する選択・回答
回答までの時間、操作履歴、利用順序
スコア、評価結果、到達度、フィードバック
誤答傾向、改善点、学習進捗
実施症例、実施回数、学習履歴
課題提出状況、レポート、振り返りコメント
その他本サービスの教育・評価・改善に必要な情報
4. 技術情報および利用情報
当社は、本サービスの安定運用、セキュリティ確保、品質改善、利用状況分析のため、以下の情報を取得することがあります。
IPアドレス
端末情報
OS、ブラウザ、アプリケーションの種類およびバージョン
Cookie、広告識別子、端末識別子その他類似技術により取得される情報
アクセス日時、ログイン履歴、閲覧履歴、操作ログ
エラーログ、クラッシュログ、パフォーマンスログ
利用した機能、利用頻度、利用時間
リファラ、アクセス元、通信環境
不正利用検知、セキュリティ監査に必要なログ
5. 決済・契約に関する情報
有料プランまたは法人契約を利用する場合、当社は以下の情報を取得することがあります。
契約者名
請求先情報
支払状況
請求書、見積書、領収書に関する情報
決済手段に関する情報
契約プラン、契約期間、更新状況
その他料金請求および契約管理に必要な情報
なお、クレジットカード番号等の決済情報は、原則として決済代行事業者が管理し、当社はカード番号全体を保存しません。ただし、利用する決済サービスの仕様により異なる場合があります。
6. 問い合わせ・サポート情報
当社は、問い合わせ対応、本人確認、サポート、苦情対応のため、以下の情報を取得することがあります。
氏名、メールアドレス、所属
問い合わせ内容
サポート対応履歴
本人確認に必要な情報
不具合、障害、セキュリティ問題に関する報告内容
当社との連絡履歴
7. 実患者情報について
本サービスはAI模擬患者を用いた教育・訓練サービスであり、実患者情報の入力を予定していません。
ユーザーは、本サービスに実患者情報を入力してはなりません。
ただし、ユーザーが誤って実患者情報を入力した場合、当社は、当該情報の削除、非表示化、アクセス制限、調査、再発防止措置その他必要な対応を行うことがあります。
第4条 情報の取得方法
当社は、以下の方法により情報を取得します。
ユーザーが本サービス上で直接入力する方法
ユーザーがAI模擬患者と対話することにより自動的に生成・記録される方法
本サービスの利用時にアクセスログ、操作ログ、Cookie等を通じて自動取得する方法
法人ユーザー、教育機関、医療機関、研修施設等から提供を受ける方法
決済事業者、認証事業者、クラウド事業者、外部サービス事業者等から提供を受ける方法
問い合わせ、アンケート、イベント、説明会、キャンペーン等を通じて取得する方法
その他適法かつ公正な方法
第5条 利用目的
当社は、取得した情報を以下の目的で利用します。
1. 本サービスの提供・運営
ユーザー登録、本人確認、ログイン認証のため
医師、医学生、研修医、医学教育関係者等の利用資格確認のため
AI模擬患者との対話機能を提供するため
問診、診察、臨床推論、診断、検査選択、治療方針検討等のシミュレーションを提供するため
学習履歴、実施症例、回答内容、評価結果を表示するため
スコア、フィードバック、改善点、到達度を提示するため
課題、授業、研修、テスト、評価プログラムを提供するため
サポート、問い合わせ対応、本人確認のため
利用料金の請求、決済、契約管理のため
本サービスに関する重要なお知らせを通知するため
2. 医学教育および学習支援
医学教育、臨床推論教育、問診トレーニング、診断推論トレーニングを支援するため
ユーザーの学習進捗、到達度、弱点、誤答傾向を分析するため
教材、症例、評価基準、フィードバック内容を改善するため
教員、指導医、研修管理者による教育指導を支援するため
OSCE、臨床実習、初期研修、専門研修その他医学教育プログラムにおける学習支援を行うため
3. 法人・教育機関向け機能の提供
法人ユーザーの管理者に対し、所属ユーザーの利用状況、学習履歴、評価結果等を提供するため
授業、研修、課題、評価プログラムの実施状況を管理するため
法人ユーザーごとの利用状況レポート、教育効果分析、到達度分析を作成するため
法人契約、アカウント発行、権限管理、請求管理を行うため
法人ユーザーとの契約上必要な対応を行うため
4. 研究利用
医学教育、臨床推論教育、AI教育支援、教育評価、学習効果に関する研究を行うため
ユーザーの学習行動、診断推論過程、誤答傾向、フィードバック効果を分析するため
学会発表、論文、研究報告、教育資料の作成に利用するため
共同研究、委託研究、産学連携研究を実施するため
研究倫理審査、研究計画、研究管理、監査対応を行うため
研究成果を外部に公表する場合、当社は、個人を特定できない統計情報、匿名加工情報または十分に非識別化された情報として利用します。
5. AIモデル・サービス改善
AI模擬患者の応答品質を改善するため
症例設計、会話設計、評価アルゴリズム、フィードバック生成方法を改善するため
不適切な回答、医学的に不正確な回答、評価ミス、システムエラーを検出・修正するため
新機能、新サービス、新教材、新評価指標を開発するため
本サービスの安全性、信頼性、利便性を向上させるため
AIモデル、プロンプト、評価基準、分析手法を検証・改善するため
6. 事業開発・ビジネス利用
本サービスの利用状況、ニーズ、改善点を分析するため
新サービス、新プラン、新教材、法人向け機能を企画・開発するため
営業資料、サービス紹介資料、導入事例、利用統計を作成するため
市場分析、事業戦略、価格設計、プロダクト改善に利用するため
ユーザーに対し、本サービスまたは関連サービスに関する案内を行うため
営業資料、サービス紹介資料、導入事例等に利用する場合、当社は、法令に基づく場合または本人の同意がある場合を除き、個人を特定できない統計情報、集計情報、匿名加工情報または十分に非識別化された情報として利用します。
7. セキュリティ・不正利用防止
不正アクセス、不正利用、なりすまし、アカウント不正使用を防止するため
セキュリティ監査、ログ監査、障害調査を行うため
実患者情報、第三者の個人情報、機密情報の誤入力または不適切入力に対応するため
システム障害、データ破損、情報漏えい等のインシデントに対応するため
利用規約違反の調査、対応、再発防止を行うため
8. 法令遵守・紛争対応
法令、ガイドライン、行政機関、裁判所その他公的機関の要請に対応するため
開示、訂正、利用停止、削除、第三者提供停止等の請求に対応するため
契約違反、不正利用、紛争、訴訟、苦情、問い合わせに対応するため
会計、税務、監査、内部統制、記録保存に対応するため
その他法令上または契約上必要な対応を行うため
第6条 AIモデルの学習・改善への利用
当社は、トレーニングデータを、AI模擬患者の応答品質、医学教育上の有用性、評価精度、フィードバック品質の改善のために利用することがあります。
AI推論・音声処理等の基盤レイヤーとして外部AI APIを利用する場合がありますが、AI模擬患者としての会話設計、症例・評価ロジック、詳細レポート生成フロー、ガードレール、医療教育向けの体験設計は当社側で実装・制御しており、外部AIをそのまま提供するだけの構成ではありません。
当社は、AIモデルの改善にあたり、必要に応じて、個人を直接識別する情報の削除、仮名化、匿名化、集計、マスキングその他の安全管理措置を講じます。
当社は、法令に基づく場合、本人の同意がある場合、または本ポリシーに定める場合を除き、個人を特定できる情報を外部に公表しません。
外部のAI API、LLM、機械学習基盤その他第三者サービスを利用する場合、当社は、当該外部サービスに送信される情報の範囲、利用目的、保存期間、学習利用の有無、国外移転の有無その他必要な事項について、可能な範囲で本ポリシーまたは別途定める一覧表において説明します。
外部AI事業者が、当社から送信された個人データまたはトレーニングデータを当該外部AI事業者の汎用モデル学習に利用する場合、当社は、法令に従い、必要な同意取得その他の措置を講じます。
当社が利用する外部AIサービスにおいて、送信データが汎用モデルの学習に利用されない契約または設定がある場合、当社は、当該契約または設定を適切に管理します。
第7条 実患者情報および要配慮個人情報の取扱い
本サービスは、実在する患者の診断、治療、処方、検査、救急対応その他の医療行為に利用することを目的としていません。
ユーザーは、本サービスに実患者情報を入力してはなりません。
実患者情報には、以下の情報が含まれます。
患者の氏名、住所、電話番号、メールアドレス
患者ID、診察券番号、保険証情報
顔写真、音声、動画、医用画像
電子カルテ、診療録、紹介状、退院サマリー
検査結果、処方情報、看護記録、診療経過
受診日、医療機関名、地域、病名、年齢、職業等の組み合わせにより患者が特定され得る情報
患者家族、医療従事者、同僚、教員、学生その他第三者の個人情報または機密情報
ユーザーが誤って実患者情報または第三者の個人情報を入力した場合、ユーザーは速やかに当社に連絡するものとします。
当社は、実患者情報または第三者の個人情報が入力された可能性があると判断した場合、当該情報の削除、非表示化、アクセス制限、利用停止、調査、記録、再発防止措置その他必要な対応を行うことがあります。
当社は、実患者情報または要配慮個人情報が含まれる個人データの漏えい等が発生し、または発生したおそれがある場合、法令に従い、個人情報保護委員会への報告、本人への通知その他必要な対応を行います。
第8条 法人ユーザー・教育機関への情報提供
ユーザーが法人ユーザーの提供、指定または管理するアカウントを利用する場合、当社は、当該法人ユーザーとの契約に基づき、以下の情報を法人ユーザーの管理者に提供することがあります。
氏名、メールアドレス、所属、学年、職位
アカウント利用状況
ログイン履歴、利用日時、利用回数
実施症例、課題提出状況、学習履歴
スコア、評価結果、到達度、フィードバック
誤答傾向、改善点、進捗状況
管理者が設定した授業、研修、課題、評価プログラムに必要な情報
その他法人ユーザーとの契約に基づき必要な情報
個別の会話ログ、診断推論内容、詳細な回答内容を法人ユーザーの管理者に提供する場合、当社は、本サービス上の表示、法人ユーザーからの説明、契約、同意取得その他適切な方法により、ユーザーに提供範囲を明示します。
法人ユーザーは、所属ユーザーに対し、管理者が閲覧できる情報の範囲、利用目的、成績評価または研修評価への利用有無、保存期間、問い合わせ先その他必要な事項を事前に説明するものとします。
個人ユーザーが個人として登録したアカウントの情報を、後日、法人ユーザーに提供する場合、当社は、法令上認められる場合を除き、必要に応じて本人の同意を取得します。
法人ユーザーに提供された情報の取扱いについては、当該法人ユーザーの規程、プライバシーポリシー、教育・研修制度、契約条件等が適用される場合があります。
第9条 第三者提供
当社は、以下の場合を除き、ユーザーの個人データを第三者に提供しません。
本人の同意がある場合
法令に基づく場合
人の生命、身体または財産の保護のために必要があり、本人の同意を得ることが困難である場合
公衆衛生の向上または児童の健全な育成の推進のために特に必要があり、本人の同意を得ることが困難である場合
国の機関、地方公共団体またはその委託を受けた者が法令上の事務を遂行することに協力する必要があり、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがある場合
法人ユーザーとの契約に基づき、当該法人ユーザーの管理者に対して所属ユーザーの情報を提供する場合
共同研究、委託研究、教育研究その他の研究目的で、法令、研究倫理指針、契約および本ポリシーに従い、必要な範囲で提供する場合
合併、会社分割、事業譲渡その他事業承継に伴い提供する場合
その他法令上認められる場合
当社は、研究発表、論文、学会発表、営業資料、サービス紹介資料等において情報を利用する場合、法令に基づく場合または本人の同意がある場合を除き、個人を特定できない統計情報、匿名加工情報または十分に非識別化された情報として利用します。
当社は、要配慮個人情報を第三者に提供する場合、法令上認められる場合を除き、あらかじめ本人の同意を取得します。
第10条 委託
当社は、利用目的の達成に必要な範囲で、個人情報、個人データ、トレーニングデータその他の情報の取扱いの全部または一部を外部事業者に委託することがあります。
委託先には、以下の事業者が含まれる場合があります。
クラウドサービス事業者
AI API、LLM、機械学習基盤の提供事業者
データ分析事業者
認証サービス事業者
決済代行事業者
メール配信事業者
カスタマーサポート事業者
セキュリティ監査、ログ分析、脆弱性診断を行う事業者
研究支援、統計解析、論文作成支援を行う事業者
その他本サービスの提供、保守、改善に必要な事業者
当社は、委託先に対し、個人情報の安全管理、秘密保持、再委託、漏えい時の報告、契約終了時の返還または削除その他必要な事項を定め、必要かつ適切な監督を行います。
委託先が外国に所在する場合、当社は、法令に従い、必要な情報提供、同意取得、契約上の保護措置その他必要な対応を行います。
第11条 外国にある第三者への提供・国外移転
当社は、本サービスの提供、運営、保守、AI処理、データ保存、分析、決済、サポートその他本ポリシーに定める目的のため、外国に所在する事業者に個人データまたはトレーニングデータを提供し、または取り扱わせることがあります。
外国にある第三者への個人データの提供が個人情報保護法上の本人同意を必要とする場合、当社は、あらかじめ以下の情報を本人に提供した上で、本人の同意を取得します。
提供先の外国の名称
当該外国における個人情報保護制度に関する情報
提供先が講じる個人情報保護措置に関する情報
提供先の名称または類型
提供される個人データの項目
提供先における利用目的
その他法令上必要な情報
当社が利用する外国所在の主な外部サービス、外部委託先および利用事業者の具体的な名称、所在国、利用目的、保存期間その他の取扱いは、別紙4に記載します。
米国で個人データを取り扱う事業者への提供は、別紙4で移転先国および保護措置等を示したうえで、ご本人の同意に基づき行います。
Supabaseに保存される利用者情報、利用ログおよびトレーニングデータは、日本国内のリージョンに保管されます。
当社は、本条に定める情報提供および本人の同意取得が完了するまでの間、本人の同意を要する外国にある第三者への個人データの提供を行いません。
提供先の外国または外部サービスが変更される場合、当社は、法令に従い、必要に応じて本ポリシーの変更、ユーザーへの通知または同意取得を行います。
第12条 共同利用
当社は、個人データを共同利用する場合、あらかじめ以下の事項を本ポリシーまたは別途当社が定める方法により公表します。
共同利用される個人データの項目
共同利用者の範囲
共同利用者の利用目的
個人データの管理責任者の氏名または名称、住所、代表者名
その他法令上必要な事項
当社は、現時点において、ユーザーの個人データを共同利用していません。共同利用を開始する場合、当社は、法令に従い、必要な事項を公表します。
第13条 匿名加工情報・統計情報の取扱い
当社は、取得した個人情報、トレーニングデータ、利用履歴、評価結果その他の情報を、特定の個人を識別できない統計情報として作成し、利用することがあります。
当社は、統計情報を以下の目的で利用することがあります。
医学教育研究
学習効果分析
教材・症例・評価基準の改善
AI模擬患者の品質改善
サービス利用状況の分析
営業資料、サービス紹介資料、導入事例の作成
論文、学会発表、講演、研究報告
新サービス、新機能、事業開発
当社は、匿名加工情報を作成する場合、法令に従い、特定の個人を識別できず、かつ元の個人情報を復元できないよう適切に加工します。
当社は、匿名加工情報を第三者に提供する場合、法令に従い、提供される匿名加工情報に含まれる個人に関する情報の項目および提供方法を公表し、提供先に対して当該情報が匿名加工情報であることを明示します。
当社は、匿名加工情報を第三者に提供し、または研究発表、論文、学会発表、営業資料、サービス紹介資料等に利用する場合、本サービス上の表示、当社ウェブサイトへの掲載、個別の通知その他適切な方法により、提供項目、提供方法、利用目的等を公表します。必要に応じて、ユーザーへの説明または同意取得を行います。
当社は、匿名加工情報または統計情報について、特定の個人を識別する行為、元の個人情報を復元する行為、またはこれらを試みる行為を行いません。
第14条 仮名加工情報の取扱い
当社は、医学教育研究、AI改善、品質検証、統計分析、サービス改善その他本ポリシーに定める目的のため、個人情報を仮名加工情報として加工し、利用することがあります。
仮名加工情報は、当社内部において、元の個人情報と照合できる可能性があるため、当社は、法令に従い、照合に必要な情報を安全に管理します。
当社は、法令上認められる場合を除き、仮名加工情報を第三者に提供しません。
当社は、仮名加工情報について、利用目的の範囲を超えた利用を行わないよう、アクセス制限、権限管理、ログ管理その他必要な安全管理措置を講じます。
第15条 Cookie等の利用
当社は、本サービスの利便性向上、ログイン状態の維持、セキュリティ確保、利用状況分析、広告・マーケティング、サービス改善のため、Cookie、広告識別子、端末識別子、アクセス解析ツールその他類似技術を利用することがあります。
当社は、Cookie等により以下の情報を取得することがあります。
アクセス日時
閲覧ページ
利用機能
端末情報
ブラウザ情報
IPアドレス
リファラ
操作ログ
その他本サービスの利用状況に関する情報
ユーザーは、ブラウザ設定によりCookieを無効化することができます。ただし、Cookieを無効化した場合、本サービスの一部機能を利用できないことがあります。
当社が外部のアクセス解析ツール、広告配信サービス、マーケティングツール等を利用する場合、当社は、必要に応じて、外部送信される情報、送信先、利用目的、停止方法等を本ポリシーまたは別途定める外部送信一覧において表示します。
現時点で、第三者提供の外部アクセス解析ツールは導入していません。管理画面の analytics は、当社が管理する利用ログ、API使用量等をアプリ内で集計するものです。今後外部アクセス解析ツールを導入する場合は、外部送信される情報、送信先、利用目的、停止方法等を本ポリシーまたは別途定める外部送信一覧に表示します。
第16条 安全管理措置
当社は、個人情報、個人データ、トレーニングデータその他の情報の漏えい、滅失、毀損、不正アクセス、不正利用を防止するため、必要かつ適切な安全管理措置を講じます。
当社は、以下の安全管理措置を講じるよう努めます。
1. 組織的安全管理措置
個人情報保護に関する責任者の設置
情報管理規程、アクセス管理規程、インシデント対応手順の整備
個人データの取扱状況の記録
委託先管理、再委託管理
内部監査、点検、改善
2. 人的安全管理措置
従業者に対する秘密保持義務の設定
個人情報保護、医療情報、セキュリティに関する教育
権限を有する者以外によるアクセスの制限
退職者、異動者の権限削除
3. 物理的安全管理措置
入退室管理
機器、媒体、書類の管理
盗難、紛失、破壊への対策
不要となったデータ、媒体、書類の適切な廃棄
4. 技術的安全管理措置
アクセス制御
認証、権限管理、多要素認証
通信の暗号化
保存データの暗号化またはこれに準ずる保護
ログ取得、監査、異常検知
脆弱性対策、セキュリティパッチ適用
不正アクセス対策、マルウェア対策
バックアップ、復旧手順の整備
5. 外的環境の把握
外国において個人データを取り扱う場合、当該外国の個人情報保護制度を把握するよう努めます。
外国に所在する外部サービスを利用する場合、当該サービス提供者の安全管理措置、契約条件、データ保存地域、再委託の有無等を確認するよう努めます。
医療機関・大学病院等に本サービスを提供する場合、当社は、必要に応じて医療情報システムの安全管理に関する考え方を踏まえたセキュリティ対応を検討します。
第17条 保存期間
当社は、取得した情報を、利用目的の達成に必要な範囲で保存します。
当社における主な保存期間は、以下のとおりとします。
| 情報の種類 | 保存期間 |
|---|---|
| アカウント情報 | ユーザーが本サービスを利用している期間。退会後は、法令、契約、紛争対応、不正利用防止、料金精算その他正当な理由がある場合を除き、30日以内に削除または匿名化します。 |
| 本人確認・資格確認情報 | 確認完了後5年間、または法令・契約上必要な期間 |
| 会話ログ、回答内容、診断推論 | 取得日から原則5年間。ただし、退会または契約終了後は、法令、契約、研究倫理、監査、紛争対応、セキュリティ確保その他正当な理由がある場合を除き、30日以内に削除または匿名化します。 |
| 学習履歴・評価結果 | 取得日から原則5年間、または法人契約に定める期間。ただし、退会または契約終了後は、正当な理由がある場合を除き、30日以内に削除または匿名化します。 |
| 法人ユーザー関連情報 | 契約期間中および契約終了後5年間、または個別契約に定める期間 |
| 問い合わせ履歴 | 対応完了後5年間 |
| 決済・請求情報 | 会計、税務その他法令上必要な保存期間 |
| アクセスログ・セキュリティログ | 取得日から原則5年間を上限として、セキュリティ確保および監査に必要な期間 |
| 研究用データ | 研究計画、倫理審査、契約または法令に定める期間 |
| 匿名加工情報・統計情報 | 期間の定めなく利用する場合があります |
当社は、保存期間が経過した情報または利用目的の達成に不要となった情報について、法令、契約、研究倫理、監査、紛争対応、セキュリティ確保その他正当な理由がある場合を除き、削除、匿名化、非識別化その他適切な方法により処理します。
退会または契約終了後であっても、当社は、法令遵守、料金精算、紛争対応、不正利用防止、監査、研究、統計分析、サービス改善その他正当な目的のために必要な範囲で情報を保存することがあります。
第18条 ユーザーによる管理・同意撤回
ユーザーは、当社が定める方法により、登録情報の確認、変更、削除を行うことができます。
ユーザーは、当社からのマーケティングメール、キャンペーン案内、サービス案内について、当社が定める方法により配信停止を求めることができます。ただし、契約、セキュリティ、障害、規約変更、重要なお知らせ等、本サービスの運営上必要な通知は停止できない場合があります。
ユーザーは、研究利用、AI改善利用、統計分析利用等について、当社が別途定める範囲で同意の撤回または利用停止を求めることができます。
研究利用の具体的な範囲、共同研究先、倫理審査の要否、追加同意の要否および同意撤回の取扱いは、研究計画、共同研究契約、個別の説明文書その他適用される条件に応じて定めます。
ただし、以下の情報については、同意撤回または利用停止の請求後も、引き続き利用される場合があります。
既に匿名加工情報または統計情報として加工された情報
既に論文、学会発表、研究報告、営業資料等として公表された情報
法令、契約、研究倫理、監査、紛争対応上保存が必要な情報
法人ユーザーの教育記録、研修記録、成績管理上保存が必要な情報
不正利用防止、セキュリティ確保、障害対応に必要な情報
法人ユーザーの管理下で利用しているアカウントについては、削除、修正、利用停止、同意撤回等の手続に関して、当該法人ユーザーの規程または契約条件が適用される場合があります。
第19条 開示、訂正、利用停止等の請求
ユーザーは、当社が保有する自己の保有個人データについて、法令に従い、利用目的の通知、開示、訂正、追加、削除、利用停止、消去、第三者提供の停止、第三者提供記録の開示を請求することができます。
請求を行う場合、ユーザーは、第25条に定める問い合わせ窓口に連絡するものとします。
当社は、請求者が本人または正当な代理人であることを確認するため、本人確認書類、委任状その他必要な情報の提出を求めることがあります。
当社は、法令に基づき、請求に応じる必要がある場合、合理的な期間内に対応します。
以下の場合、当社は、請求の全部または一部に応じないことがあります。
本人確認ができない場合
代理権を確認できない場合
法令上、開示等の対象とならない場合
本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
法令に違反することとなる場合
既に匿名加工情報または統計情報として加工され、特定の個人を識別できない場合
当社は、請求手続を分かりやすくするため、問い合わせ窓口、本人確認方法、手数料の有無等を本ポリシーまたは当社ウェブサイトに表示します。
利用目的の通知または開示にあたり、当社は、法令に従い、手数料を定めることがあります。
第20条 未成年者の個人情報
未成年者が本サービスを利用する場合、法定代理人の同意を得た上で利用するものとします。
法人ユーザーの授業、研修、教育課程、試験、実習等の一環として未成年者が利用する場合、当該法人ユーザーは、必要に応じて、本人または法定代理人に対し、本サービスの利用、個人情報の取扱い、学習履歴・評価結果の共有範囲等について説明し、必要な同意を取得するものとします。
当社は、未成年者の個人情報について、年齢、利用目的、利用場面に応じて適切に取り扱います。
第21条 外部サービス・外部リンク
本サービスは、外部サービス、外部ウェブサイト、外部教材、外部システムへのリンクまたは連携機能を含む場合があります。
外部サービスにおける個人情報の取扱いについては、当該外部サービス提供者のプライバシーポリシー、利用規約その他の条件が適用されます。
ユーザーは、外部サービスを利用する場合、当該外部サービスの規約およびプライバシーポリシーを確認するものとします。
第22条 インシデント対応
当社は、取り扱う個人データの漏えい、滅失または毀損の防止その他の安全管理のために、必要かつ適切な措置を講じます。
当社は、個人情報、個人データ、トレーニングデータその他の情報に関する漏えい、滅失、毀損、不正アクセス、不正利用その他のインシデントが発生し、または発生したおそれがある場合、速やかに事実関係を調査します。
当社は、法令上必要な場合、個人情報保護委員会その他関係機関への報告、本人への通知、公表、再発防止策の実施その他必要な対応を行います。
実患者情報または第三者個人情報が誤入力された場合、当社は、削除、非表示化、アクセス制限、調査、記録、再発防止その他必要な対応を行います。
ユーザーは、本サービスに関する不正利用、情報漏えい、脆弱性、実患者情報の誤入力その他セキュリティ上の問題を認識した場合、速やかに当社に連絡するものとします。
第23条 AIサービスとしての透明性・説明
当社は、本サービスがAIを用いた模擬患者サービスであることをユーザーに明示します。
当社は、AIによる応答、評価、フィードバック、スコアリングには不確実性があり、常に正確、完全または最新であるとは限らないことを、利用規約、本サービス上の表示その他適切な方法により説明します。
当社は、AI模擬患者、評価機能、フィードバック機能について、必要に応じて、利用目的、機能の概要、限界、注意事項、データ利用の範囲を説明します。
当社は、AIサービス提供者として、透明性、安全性、公平性、説明可能性、プライバシー保護等の観点から、本サービスの継続的な改善に努めます。
第24条 本ポリシーの変更
当社は、法令改正、ガイドライン変更、サービス内容の変更、外部サービスの変更、データ利用目的の変更その他必要に応じて、本ポリシーを変更することがあります。
当社は、本ポリシーを変更する場合、変更後の内容および効力発生日を、本サービス上への表示、当社ウェブサイトへの掲載、メール送信その他当社が適切と判断する方法により通知または公表します。
個人情報の利用目的、第三者提供、国外移転、AIモデル学習利用、法人ユーザーへの共有範囲その他ユーザーに重要な影響を与える変更を行う場合、当社は、法令に従い、必要に応じて個別の通知または同意取得を行います。
変更後の本ポリシーは、当社が定める効力発生日から適用されます。
第25条 問い合わせ窓口
本ポリシー、本サービスにおける個人情報の取扱い、開示等の請求、苦情、相談、実患者情報の誤入力、セキュリティ上の問題その他の問い合わせは、以下の窓口までご連絡ください。
運営会社:合同会社Ishify
所在地:〒158-0094 東京都世田谷区玉川一丁目15番2-2702号
代表者:髙橋宏瑞
個人情報保護管理責任者:個人情報保護窓口
問い合わせ先:info@ishify-ai.com
受付時間:平日9:00-17:00
別紙1 取得情報・利用目的の一覧
| 取得情報 | 主な利用目的 |
|---|---|
| 氏名、メールアドレス、所属、職位、学年 | 登録、本人確認、資格確認、アカウント管理 |
| 医籍登録番号、学生証、所属証明 | 医師・医学生等の利用資格確認 |
| 会話ログ、回答内容、診断推論 | AI模擬患者機能、学習評価、フィードバック、研究、AI改善 |
| 学習履歴、実施症例、利用回数 | 学習進捗表示、教育管理、法人向けレポート |
| スコア、評価結果、到達度 | 学習支援、法人管理者への共有、教育研究 |
| IPアドレス、端末情報、操作ログ | セキュリティ、不正利用防止、障害対応、利用分析 |
| 問い合わせ内容 | サポート、本人確認、苦情対応、品質改善 |
| 決済・請求情報 | 料金請求、決済、契約管理、会計処理 |
| Cookie等により取得される情報 | 利便性向上、利用状況分析、サービス改善 |
別紙2 法人ユーザーへの共有情報
法人ユーザーの管理下で本サービスを利用する場合、以下の情報が法人ユーザーの管理者、教員、指導医、研修管理者等に共有される場合があります。
| 情報 | 共有の有無 |
|---|---|
| 氏名、メールアドレス、所属、学年、職位 | 共有される場合があります |
| 利用回数、ログイン履歴、実施症例 | 共有される場合があります |
| 課題提出状況、学習進捗 | 共有される場合があります |
| スコア、評価結果、到達度 | 共有される場合があります |
| フィードバック、改善点 | 共有される場合があります |
| 会話ログ、診断推論の詳細 | 契約・設定・同意内容により共有される場合があります |
| 個人アカウントでの利用履歴 | 原則として共有しません。ただし、本人同意または法令上認められる場合を除きます |
別紙3 登録画面等で取得する主な同意・確認
当社は、本サービスの登録、申込、利用開始その他必要な場面において、以下の同意または確認を取得することがあります。
- 利用規約への同意
- プライバシーポリシーへの同意
- 実患者情報・第三者個人情報を入力しないことの確認
- 会話ログ、回答内容、評価結果、学習履歴を本サービス提供・改善に利用することへの同意
- トレーニングデータを医学教育、研究、AI改善、サービス開発に利用することへの同意
- 個人を特定できない統計情報・匿名加工情報を論文、学会発表、営業資料、サービス紹介資料等に利用することへの同意
- 法人アカウントの場合、学習履歴、評価結果、利用状況等が管理者、教員、指導医等に共有されることへの同意
- 外国にある第三者への個人データ提供または国外移転がある場合、その内容への同意
- 外部AI APIへのデータ送信およびAI改善利用に関する同意
- マーケティングメールの受信同意(任意)
国外移転とトレーニングデータの二次利用については、登録・申込画面等で分かりやすく表示します。
別紙4 外部委託先・利用事業者一覧
当社は、本サービスの提供にあたり、以下の事業者を利用しています。
| 区分 | 事業者名 | 業務内容 | 所在国・保存先 | 保存期間・取扱い |
|---|---|---|---|---|
| 外部AI事業者 | OpenAI, L.L.C. | AIによる文章生成・音声処理、AI推論等の基盤レイヤー | アメリカ合衆国 | 送信データはモデル学習に利用されず、原則として最長30日後に削除されます。 |
| ホスティング事業者 | Vercel Inc. | フロントエンド、API、cron等のホスティング | アメリカ合衆国 | 実行ログはVercelの定める期間(プランに応じ最長数日程度)保持後に削除されます。 |
| 認証・データベース事業者 | Supabase Inc. | 認証基盤およびデータベースの提供 | データ保存先:日本(東京リージョン)/運営元:アメリカ合衆国 | 退会後30日以内に削除または匿名化します。ただし、法令、契約、紛争対応、研究倫理等により保存が必要な情報は第17条に従います。 |
| メール配信事業者 | Resend(Plus Five Five, Inc.) | メールの送信 | アメリカ合衆国 | 送信ログ等はResendの定める期間(プランに応じおおむね数日から30日程度)保持後に削除されます。 |
| 決済事業者 | Stripe, Inc.(日本国内窓口:Stripe Japan株式会社) | Stripe Checkout、Billing Portal、Webhookによる決済処理、請求管理、契約管理 | アメリカ合衆国 | カード番号等はStripe側で処理し、当社ではカード番号全体を保持しません。決済・請求情報はStripeの規約・設定および法令上必要な保存期間に従います。 |
| アクセス解析 | 現時点で外部解析サービスは未導入 | Supabaseに保存している利用ログ、API使用量等を自社内で集計 | 外部送信なし | 外部のアクセス解析サービスには送信していません。 |
米国で個人データを取り扱う事業者(OpenAI、Vercel、Resend、Stripe)への提供は、本別紙で移転先国およびその保護措置等を示したうえで、ご本人の同意に基づき行います。
Supabaseに保存される利用者情報、利用ログおよびトレーニングデータは、日本国内に保管されます。
別紙5 保存期間・研究利用・安全管理等の運用事項
| 項目 | 当社の取扱い |
|---|---|
| 保存期間 | 会話ログ、評価結果、学習履歴、問い合わせ履歴、アクセスログ等は、原則として5年間保存します。退会または契約終了後は、法令、契約、研究倫理、監査、紛争対応、セキュリティ確保その他正当な理由がある場合を除き、30日以内に削除または匿名化します。 |
| 法人管理者の閲覧範囲 | 法人ユーザーの管理者は、利用状況、学習履歴、スコア、評価結果等を閲覧できる場合があります。会話ログ、診断推論の詳細を閲覧できる範囲は、法人契約、設定、同意内容により定めます。 |
| 研究利用の範囲 | 医学教育、臨床推論教育、AI教育支援、学習効果、評価手法、教育コンテンツ改善等の研究に利用することがあります。共同研究先、倫理審査の要否、同意撤回の扱いは、研究計画、共同研究契約、個別の説明文書その他適用される条件に応じて定めます。 |
| 匿名加工情報の公表方法 | 匿名加工情報を第三者に提供する場合、法令に従い、提供項目、提供方法、利用目的等を本サービス上または当社ウェブサイト等で公表します。必要に応じて、ユーザーへの説明または同意取得を行います。 |
| 実患者情報の誤入力対応 | 実患者情報または第三者個人情報の誤入力を認識したユーザーは、問い合わせ窓口へ連絡するものとします。当社は、内容確認のうえ、削除、非表示化、アクセス制限、調査、記録、再発防止その他必要な対応を行います。 |
| 漏えい等への対応 | 漏えい、滅失、毀損、不正アクセス等が発生し、または発生したおそれがある場合、速やかに事実関係を調査し、法令上必要な場合は個人情報保護委員会への報告、本人通知、公表、再発防止策を行います。 |
