Reze（以下「本サービス」）は、個人情報の中でも特に秘匿性の高い医療データを扱うため、3省2ガイドライン（厚生労働省が策定した「医療情報システムの安全管理に関するガイドライン」および、経済産業省と総務省が策定した「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の総称）に則ったシステム設計・運用を徹底し、適切なデータ保護に関する諸施策を実施しています。

▶︎ 当社の3省2ガイドラインへの取り組み

AWSの活用

本サービスのインフラは、世界最高水準のセキュリティを誇る Amazon Web Services（以下「AWS」）上に構築しており、多層的なデータ保護を実施しています。

AWSは ISO/IEC 27001 や SOC2 など各種第三者認証を取得しており、医療情報システム向けのベストプラクティスをまとめた『医療情報システム向け AWS 利用リファレンス』を公開しています。

▶︎ AWSによる日本の医療ガイドライン対応状況

ネットワークセキュリティ

すべてのインターネット接続に対し、DDoS 保護と Web Application Firewall（WAF）を適用し、ファイアウォールなどのネットワーク制御機器で外部攻撃を防御しています。 また、本サービス利用端末と ALB 間の通信は TLS1.3 でエンドツーエンド暗号化され、mTLS（パブリックCA発行のクライアント証明書＋サーバ証明書）により端末の真正性を担保しています。

さらに、ホワイトリスト制御により、通信経路を登録済みドメイン・ポートのみに限定しています。クラウド内のすべてのアクセスログは継続的に記録され、必要最小限の権限を持つエンジニアのみが参照可能とすることで、内部からの不正リスクも抑制しています。

個人情報インベントリ

氏名など特定可能な情報を保管しているデータストアへのアクセスは、最小限の権限を持つ担当者に限定されています。すべての操作は監査ログとして記録し、リアルタイムでの不正検知・追跡を可能にしています。

脆弱性管理

本番環境の脆弱性は継続的にスキャンし、必要に応じて OS パッケージおよびサードパーティ製 OSS のパッチを迅速に適用しています。

生成AIに関する取り組み

本サービスでは、症状詳記の自動生成などに生成AIを活用しています。当社は、皆様に本サービスを安全かつ信頼できる形でご利用いただくために適切な生成AI利活用に関する諸施策を実施しています。

▶︎ 当社の「責任あるAIポリシー」

匿名加工情報の作成及び取扱いについて

当社は、本サービスを支える生成AIモデルの学習・推論処理（類似事例参照によるプロンプト生成を含みます。）、統計分析、サービス品質向上、機能追加及び新機能の開発等を目的として、医療機関のお客様からの委託に基づき、医療機関のお客様が保有する個人情報を、個人情報の保護に関する法律（以下「個人情報保護法」といいます。）及び同法施行規則に定める加工基準に従って加工し、匿名加工情報として保有及び使用します。

当社は、匿名加工情報の作成及び取扱いに関し、個人情報保護法を遵守し、以下のとおり対応しています。

1. 匿名加工情報の作成方法
   
   当社は、個人情報保護委員会規則第34条各号に定める加工基準（特定の個人を識別することができる記述等の削除、個人識別符号の削除、連結符号の削除、特異な記述等の削除、その他データベースの性質を踏まえた適切な措置）に従って加工を行います。

2. 匿名加工情報に含まれる個人に関する情報の項目

   当社が作成し本サービスの提供のために利用する匿名加工情報には、以下の項目が含まれます（いずれも特定の個人を識別することができない形に加工されています）。

   • 患者属性情報（性別、年齢区分等）

   • 保険情報（保険種別、保険者情報等）

   • 診療情報（診療年月、診療科、傷病、診療行為、医薬品、特定器材、入院・外来区分、DPC関連情報、コメント等）

   • 審査支払関連情報（返戻、増減点、資格確認結果等）

3. 匿名加工情報の作成時の公表について

   当社が医療機関のお客様からの委託に基づき匿名加工情報を作成した場合における匿名加工情報の作成時の公表（個人情報保護法第43条第3項）は、個人情報保護法施行規則第36条第2項に基づき、委託元である医療機関のお客様において行われます。

4. 匿名加工情報の利用範囲について

   当社は、作成した匿名加工情報を、当社の内部において、本サービスの提供（生成AIによる類似事例参照を含む推論処理、サービス品質向上、機能追加及び新機能の開発、統計分析等を含みます。）のために利用します。

   本サービスをご利用いただく医療機関のお客様は、AI機能を通じて、当社が保持する匿名加工情報を参照した推論結果（成果物）を取得することができますが、匿名加工情報のレコードそのものを閲覧、取得又は複製することはできません。

   なお、AI推論処理の一部において、米国に所在する事業者が提供するAPIサービスを利用していますが、当該API提供事業者との契約により、送信したデータがAIモデルの学習に利用されず、必要な期間経過後に削除される設定としています。

5. 識別行為の禁止

   当社は、匿名加工情報を取り扱うにあたり、当該匿名加工情報の作成に用いられた個人情報に係るご本人を識別する目的で、当該個人情報から削除された記述等、個人識別符号又は加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報（個人情報、個人関連情報、仮名加工情報、匿名加工情報を含みます。）と照合する行為は行いません。

6. 加工方法等情報の安全管理措置

   当社は、匿名加工情報の作成に用いた個人情報から削除した記述等、個人識別符号、及び加工の方法に関する情報（その情報を用いて加工前の個人情報を復元することができるものに限ります。以下「加工方法等情報」といいます。）について、個人情報保護法第43条第2項及び同法施行規則第35条に定める基準に従い、漏えいを防止するために必要な以下の安全管理措置を講じています。

   • 加工方法等情報を取り扱う者の権限及び責任の明確化

   • 加工方法等情報の取扱いに関する規程類の整備及び当該規程類に従った運用、取扱状況の評価及び改善

   • 加工方法等情報へのアクセス制御、アクセス者の識別と認証、外部からの不正アクセスの防止、機器・電子媒体等の盗難等の防止、廃棄時の漏えい防止等の措置

7. 匿名加工情報の安全管理措置等

   当社は、匿名加工情報の漏えいの防止その他の匿名加工情報の安全管理のために必要かつ適切な措置として、本ページに記載のネットワークセキュリティ、アクセス制御、脆弱性管理、従業者の監督、委託先の監督等の措置を講じています。匿名加工情報の取扱いに関する苦情については、プライバシーポリシーに記載の個人情報相談窓口にて適切かつ迅速に処理いたします。

JaDHAチェックリストに基づく自己点検

当社は、日本デジタルヘルス・アライアンス（JaDHA）が策定した「生成AIを活用したサービス・プロダクトを提供する事業者向けチェックリスト（第2.0版）」を参考に、社会環境や技術の変化に応じて、継続的な自己点検を行っています。

▶︎ 当社の「生成AIを活用したサービス・プロダクトを提供する事業者向けチェックリスト（第2.0版）」はこちらからダウンロードできます