Security & Compliance
現場で使えること、説明責任を果たせること
介護現場の実務で使える AI と、事業者として説明責任を果たせる法的枠組み — その両立のために設計しています。
AI 円香Ⅱ は、利用者様の介護記録や担当者会議録など、 要配慮個人情報を含む業務データを取り扱うことを前提に設計された SaaS です。
「個人情報は一切入れないでください」という非現実的な制限ではなく、商用 AI 契約・委託関係の明確化・サブプロセッサの透明化を通じて、 お客様 (介護事業者様) が事業所内のルールに沿って業務データを取り扱える枠組みを整えています。
01 — Roles
お客様と当社の役割
個人情報保護法上、本サービスにおける役割は次のとおり整理されます。 これは法第 25 条に基づく標準的な委託関係であり、SaaS 業界全体で一般的な構造です。
| 立場 | 当事者 | 主な責任 |
|---|---|---|
| 個人情報取扱事業者 | お客様 (介護事業者様) | 本人同意の取得 / 利用目的の通知 / 開示・訂正・利用停止請求への対応 / 事業所内管理規程の整備 / 個別データ入力の判断 |
| 委託先 | 合同会社フライヴェルト | インフラのセキュリティ管理 / 再委託先 (AI 事業者等) の選定・監督 / 安全管理措置 / データ削除依頼への対応 |
参考: 個人情報の保護に関する法律 第 25 条 (委託先の監督)、医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス
02 — AI Learning
AI 学習への利用について
AI 円香Ⅱ で取り扱われるデータは、当社が利用する各 AI 事業者との 商用契約に基づき、AI モデルの学習・改善には利用されない設定 となっています。
| AI 事業者 | サービス | 学習利用 | 契約形態 |
|---|---|---|---|
| Google LLC | Vertex AI Gemini | なし | Google Cloud 法人契約 |
| Anthropic PBC | Claude API | なし | Anthropic 商用契約 |
| OpenAI LLC | OpenAI API | なし | OpenAI 商用契約 |
| ElevenLabs Inc. | Scribe v2 (音声) | なし | ElevenLabs 商用契約 |
無料版・個人向け AI との違い: ChatGPT 無料版などの個人向け AI と異なり、商用 API 契約では入力データを学習に利用しないことが 契約書および利用規約で明示的に定められています。 当社は、各事業者の利用規約・契約条件を継続的にモニタリングし、変更があった場合は本ページに反映します。
03 — Data Locations
データ処理国 (外的環境の把握)
個人情報保護法第 23 条に基づき、本サービスにおけるデータの処理国をお知らせします。
現在の処理国
| 処理工程 | 利用サービス | 処理国 |
|---|---|---|
| データ保管 (本サービス) | Supabase | 🇯🇵 日本 (東京 ap-northeast-1) |
| 主な AI 処理 | Vertex AI Gemini (Google) | 主に米国、場合により他国 |
| 補助 AI 処理 | Anthropic Claude API | 米国 |
| 補助 AI 処理 | OpenAI API | 米国 |
| 音声処理 | ElevenLabs Scribe v2 | 米国・英国 |
海外で処理されることへの当社の認識
これらの AI 事業者はいずれも、現時点で日本リージョン (東京) における GA (一般提供) 版モデルの提供が限定的であることから、 グローバルまたは米国リージョンでの処理を選択しています。
当社の方針: データレジデンシー (国内処理) の重要性を認識しており、Vertex AI Gemini の GA 版が asia-northeast1 (東京) リージョンで提供された段階で、要配慮個人情報を扱う処理を順次 同リージョンに移行する方針です。
各事業者の日本での法的窓口
主要な再委託先である Google LLC、Anthropic PBC、OpenAI LLC、ElevenLabs Inc. はいずれも 日本国内に法人 (グーグル合同会社、Anthropic Japan 株式会社等) を有しており、 日本法に基づく契約・問い合わせ・法的措置の窓口が確保されています。
通信・基盤の安全管理
クラウド事業者間およびインターネット経由のデータ通信は、すべて TLS 1.2 以上で暗号化されています。 各 AI 事業者は SOC 2 Type II、ISO 27001 等の国際的なセキュリティ認証を取得しています。
04 — Storage & Security
データ保管とセキュリティ
データ保管
お客様のデータは Supabase の 東京リージョン (ap-northeast-1) に保管されます。 データベースおよびストレージはすべて暗号化されています。
暗号化
機密情報 (API キー等) は AES-256-GCM で暗号化して保存しています。 通信経路は TLS 1.2 以上で保護されています。
アクセス制御
組織単位 (マルチテナント) のデータ分離を Row Level Security で実装。 事業所間でデータが混在することはありません。
監査ログ
主要操作は監査ログとして記録されます。 管理者ダッシュボードからご確認いただけます。
05 — Subprocessors
主要なサブプロセッサ
本サービスの提供にあたり、以下の事業者をサブプロセッサ (再委託先) として利用しています。
| 事業者名 | 用途 |
|---|---|
| Google LLC | AI 処理 (テキスト・画像生成等)、クラウドインフラ |
| Anthropic PBC | AI 処理 (テキスト生成) |
| OpenAI LLC | AI 処理 (テキスト生成・音声処理) |
| ElevenLabs Inc. | 音声認識処理 |
| Supabase Inc. | データベース・ストレージ (東京リージョン) |
各事業者の所在地、契約形態、データ保持期間等の詳細は、ご契約時に「サブプロセッサ一覧」として書面でご提供します。 サブプロセッサに変更があった場合、お客様に事前にお知らせします。
06 — Customer Support
お客様向けのサポート
事業所内のコンプライアンス整備をサポートする資料・サービスをご用意しています。 ご契約検討時または契約時にご提供します。
利用規約 / DPA
当社サービスの利用規約、および希望者向けにデータ取扱契約 (Data Processing Agreement) を提供します。
プライバシーポリシー記載例
事業所のプライバシーポリシーに「外部 AI 事業者の利用」「外的環境の把握」条項を追記される際の記載例 (たたき台) を参考資料としてご提供します。 なお、当社は文面の適法性・十分性を保証する立場ではなく、最終的には事業所側でのご確認・ご調整が前提となります。
本人同意取得のひな形
利用者様 (またはご家族・成年後見人) からの同意取得文面の参考例をご提供します。同様に、当社が文面を保証するものではなく、事業所側でのご確認が前提です。
法務・情報システムご担当者向け説明会
ご希望の事業所には、本ページの内容を含む詳細をオンラインでご説明します (30 分程度から)。稟議資料の作成にお役立てください。
07 — Premise of Use
ご利用にあたっての前提
本サービスは、「個人情報を一切扱わないツール」として提供しているのではなく、 お客様の責任ある運用のもとで業務データを取り扱うサービス として提供しています。
重要: お客様から委託を受けたデータについて、当社は 個別の文章・画像単位での適法性を判断・保証する立場にはありません。 具体的なデータの入力可否は、お客様の事業所内での個人情報管理規程および利用者様への説明状況に従ってご判断ください。
本サービスの位置づけ
- ▸ 「管理された業務利用」を前提とした SaaS です
- ▸ 個人向け AI のように何でも自由に投入する前提ではありません
- ▸ 事業所内での個人情報管理規程の整備をお勧めします
- ▸ AI が生成する文章・画像は下書き・補助の位置づけであり、人による確認・修正・承認を前提とします
当社は、お客様が事業所内で適切な体制を整えられるよう、利用規約・DPA・サブプロセッサ一覧・参考文例をご契約時に提供し、 導入後も継続的にサポートします。