本ポリシーは、当社が提供する以下のすべてのサービス（以下「本サービス群」）に適用されます。

• e-Health AI：CT/MRI医用画像のAI分析による生物学的年齢推定・内臓年齢評価サービス
• IH²P AI Agent（Individual Happiness & Health Plan）：健康大使が利用者の個別健康計画を作成することを支援するAIエージェント
• Kimura Bot（Doctor Bot）：健康大使が医療チームに質問・相談できるAIボット
• スキマドック予約管理システム（Google Calendar連携機能を含む）
• 上記に付随するWebサイト・モバイルアプリ・管理ポータル

3-1 利用者（B2C・健康サービス利用者）から取得する情報

• 氏名・生年月日・性別・連絡先（住所・電話番号・メールアドレス）
• 健康保険証情報・医療機関の問診票への回答
• CT/MRI医用画像データおよびその解析結果（生物学的年齢推定値・内臓年齢評価値・内臓脂肪量測定値）
• 身体計測データ（BIA：体組成測定結果等）
• 生活習慣データ（運動記録・食事記録・サプリメント摂取記録・睡眠・ストレス情報）
• Google Calendarを通じた予約・スケジュール情報（詳細は第4条参照）
• サービス利用ログ・アクセス情報（IPアドレス・Cookie等）

注意：CT/MRI画像・生物学的年齢推定値・BIA測定結果等の健康医療データは、個人情報保護法第2条第3項に定める「要配慮個人情報」に該当します。取得・利用・第三者提供にはそれぞれ本人の明示的な同意が必要です。

3-2 健康大使（Health Ambassador：B2B利用者）から取得する情報

• 氏名・連絡先・所属情報・資格証明書類
• 業務遂行に必要なスケジュール情報（Google Calendar連携）
• 本サービス利用のためのアカウント情報

3-3 法人顧客（B2B：医療機関・企業健保等）から取得する情報

• 法人名・担当者氏名・連絡先・契約情報

4-1 Google API Services User Data Policy 準拠宣言（英語）

以下は、Google OAuth審査において必須とされる英語表記の宣言文です。本ポリシーの日本語条文と同等の効力を有します。

Heliex Technologies Inc.'s use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy (https://developers.google.com/terms/api-services-user-data-policy), including the Limited Use requirements.

【日本語訳】当社のGoogle APIから取得した情報の使用および他のアプリへの転送は、制限付き使用（Limited Use）要件を含む「Google API Services User Data Policy」に準拠します。

4-2 制限付き使用（Limited Use）要件

Google APIから取得したデータは、以下の目的にのみ使用します。

• 本サービスの機能をユーザーに提供すること（予約管理・スケジュール確認等）
• 本サービスのセキュリティの向上およびユーザーへの通知
• 法令遵守のために必要な場合

【禁止事項】Google APIから取得したデータ（生データ・派生・集計・匿名化データを含む）を以下の目的に使用することは一切行いません。

• 広告目的（リターゲティング・パーソナライズ広告・インタレストベース広告を含む）
• 信用調査・ローン審査等の目的への利用
• 第三者への販売・提供（法令上の義務・当社へのサービス提供委託・M&A・明示的同意を除く）
• 非パーソナライズのAI/ML学習目的（明示的同意のない場合）

人間がGoogle APIから取得したデータを閲覧することは、以下の場合を除き行いません。（1）ユーザーが明示的に同意した場合、（2）セキュリティ目的（不正アクセス等の調査）、（3）法令上の義務がある場合、（4）内部的な統計・集計・匿名化した非パーソナライズ分析（個々のユーザーのコンテンツを閲覧しない形態のみ）。

4-3 利用するOAuthスコープと取得データの詳細

4-4 Google Calendar連携に関する重要事項

• Google Calendarとの連携は、ユーザーがOAuth 2.0認証画面にて「許可」した場合にのみ開始されます。
• 取得したGoogleカレンダーデータは、上記4-3の利用目的のみに使用します。
• ユーザーはいつでもGoogleアカウントのセキュリティ設定（https://myaccount.google.com/permissions）から当社へのアクセス許可を取り消すことができます。
• アクセス許可を取り消した場合、当社は既に取得済みのカレンダーデータを速やかに削除します。

当社は取得した個人情報を以下の目的のために利用します。目的外の利用は行いません。

5-1 利用者（エンドユーザー）に関する個人情報

1. スキマドック（5分CT検診）の予約受付・実施・結果報告
2. e-Health AIによるCT/MRI画像解析および生物学的年齢推定結果の提供
3. IH²P AI Agentを用いた個別健康プラン（Individual H&H Plan）の作成
4. 健康大使を通じた継続的健康サポート（運動・食事・サプリメント・生活習慣改善）の提供
5. Google Calendarを通じた予約日時のスケジュール管理および変更・キャンセル通知
6. 医療チーム（木村医師・小倉医師）によるKimura Botを活用した医学的サポート
7. サービス品質向上・不具合対応・セキュリティ確保
8. 法令に基づく対応（税務・医療法・行政対応）

5-2 要配慮個人情報（健康・医療データ）の利用目的

CT/MRI画像・生物学的年齢推定値・身体計測データ等の要配慮個人情報（個人情報保護法第2条第3項）は、以下の目的にのみ利用します。

9. 本人の健康管理サポートのための健康大使への情報提供（本人の同意を得た範囲内）
10. 診断支援AIシステムの改善・精度向上（仮名加工情報として内部利用 ― 第6条参照）
11. 学術研究目的での匿名加工情報の作成（個人情報保護法第41条に基づく）

5-3 仮名加工情報・匿名加工情報としての活用

当社は本人の同意を得た上で、健康医療データを個人識別性を排除した「仮名加工情報」または「匿名加工情報」として加工し、活用する場合があります。両者の違いと取扱い方針は以下のとおりです。

仮名加工情報は内部のAI精度向上・統計分析に限定して使用し、外部に提供しません。匿名加工情報の外部提供については第7条第3項に定める手続きに従います。

健康・医療データ（CT/MRI画像・生物学的年齢・身体計測結果・病歴・服薬情報等）は個人情報保護法上の「要配慮個人情報」に該当します。当社は以下の規律に従い最上位の保護措置を講じます。

• 取得は本人の明示的な同意（オプトイン方式）を原則とします。
• 利用目的は第5条第2項に記載した目的に限定します。
• 要配慮個人情報は個人情報保護法第27条第2項に基づくオプトアウトによる第三者提供は行いません。
• 第三者提供は本人の書面同意、法令上の義務、委託・共同利用の場合のみとします。
• 本人からの要配慮個人情報の削除依頼には、医療法令上の保存義務期間経過後に速やかに対応します。

【漏えい等報告の厳格基準】要配慮個人情報に係る漏えい・滅失・毀損等が1件でも発生した場合、個人情報保護法第26条・施行規則第7条第1項に基づき、当社は速報（3〜5日以内）および確報（30日以内、不正アクセス等は60日以内）をPPCに報告し、当該個人に通知します。

7-1 原則

当社は、以下の場合を除き、本人の同意なく個人情報を第三者に提供しません。

• 法令に基づく場合
• 人の生命・身体・財産の保護のために必要であり、本人の同意取得が困難な場合
• 公衆衛生の向上・児童の健全育成のために必要であり、本人の同意取得が困難な場合
• 国の機関・地方公共団体への協力が必要な場合

7-2 業務委託

当社は業務の一部を外部委託する場合があります（クラウドサービス事業者、AIシステム開発委託先等）。委託先に対しては、当社と同等以上のセキュリティ基準を契約上求め、適切な監督を行います。現在の主要な委託先は以下のとおりです。

• Google LLC（Google Workspace・Firebase・Cloud Storage等のクラウドインフラ）
• Heliex NB8 OÜ（エストニア・AIシステム開発・EU規制対応）

7-3 匿名加工情報の第三者提供

個人識別性を完全に排除した匿名加工情報については、個人情報保護法第43条に基づく公表手続きを行った上で、日本の食品会社・健康関連企業・医療研究機関に提供することがあります。匿名加工情報の作成・提供にあたっては以下の手続きを遵守します。

12. 施行規則第34条の定める5つの加工基準（識別子の削除・個人識別符号の削除・連結符号の削除・個性的な記述の削除・その他の措置）を適用
13. 加工後速やかに「含まれる個人情報の項目」をウェブサイト上に公表
14. 提供前に「提供する個人情報の項目」および「提供方法」をウェブサイト上に公表
15. 受領者に対して「匿名加工情報である旨」を明示的に通知
16. 加工方法情報の安全管理（委託先への提供禁止）
17. 当社および受領者による再識別の禁止（個人情報保護法第46条）

当社は一部の業務においてGoogleのクラウドサービス等、海外サーバーを使用します。個人情報保護法第28条に基づき、以下のとおり情報を開示します。

8-1 米国のプライバシー法制度に関する重要情報

Google LLCのサーバーは主に米国に所在します。米国は個人情報保護委員会が定める「十分性認定国」ではありません。ユーザーは以下の情報をご確認ください。

• 米国の外国情報活動偵察法（FISA Section 702）等の法律により、米国政府が一定の条件下でデータへのアクセスを要求できる場合があります。
• 米大統領令14086（2022年10月）により、EUと米国間のデータ転送に係る救済フレームワーク（DPF）が整備されています。
• Google LLCはAPEC越境プライバシールール（CBPR）システムの認証を取得しており、個人情報保護法第28条第1項に定める「基準に適合する体制を整備している第三者」として取り扱います。

個人情報保護委員会が公表する各国の個人情報保護制度に関する情報は以下をご確認ください：https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/

8-2 エストニア（Heliex NB8 OÜ）への提供

エストニアはEU加盟国として欧州委員会の十分性認定を受けており、個人情報保護法第28条但し書き第1号（個人の権利利益を保護する上で我が国と同等の水準にあると認められる体制を整備している国）に該当します。GDPR（EU一般データ保護規則）が適用されます。

注：健康医療データの最長20年保存は、民法第724条の2に定める不法行為による損害賠償請求権の消滅時効（20年）を考慮したリスク管理上の措置です。通常は5年を目処に、必要性を審査した上で延長します。

当社は個人情報の漏えい・滅失・毀損を防止するため、以下の安全管理措置を実施します。

10-1 組織的安全管理

• 個人情報保護責任者（代表取締役）を設置し、従業員への定期的な教育・研修を実施
• 個人情報取扱規程の整備および定期的な見直し
• 個人情報への不正アクセス・漏えいが発生した場合の対応手順の策定
• 外部環境の把握（委託先クラウドサービス等の所在国のプライバシー法制調査・評価の実施）

10-2 技術的安全管理

• SSL/TLS暗号化通信の採用（すべてのデータ送受信）
• 医用画像データの保存時暗号化（AES-256以上）
• アクセス制御（ロールベースアクセス管理・多要素認証）
• 不正アクセス監視・ログ管理

10-3 物理的安全管理

• サーバーへの物理的アクセス管理（委託先クラウド事業者のデータセンターセキュリティ基準準拠）
• 個人情報を含む書類の施錠管理および廃棄時のシュレッダー処理

要配慮個人情報その他の重大な漏えい等が発生した場合、当社は個人情報保護法第26条に基づき以下の対応を行います。

• 速報：事態を知った日から概ね3〜5日以内に個人情報保護委員会へ報告（施行規則第8条）
• 確報：事態を知った日から30日以内（不正アクセス等の場合は60日以内）に詳細報告
• 本人通知：当該個人への速やかな通知（通知が困難な場合は代替措置を講じる）

要配慮個人情報（CT画像・健康データ等）に係る漏えい・滅失・毀損は1件でも発生した場合に報告義務が生じます（施行規則第7条第1項第1号）。この閾値は一般個人情報の1,000件基準とは異なる厳格な基準です。

個人情報保護法に基づき、ご本人は当社が保有する個人情報について以下の権利を行使することができます。

12-1 行使できる権利

• 利用目的の通知請求
• 開示請求（保有個人データの内容の確認）
• 訂正・追加・削除請求（内容が事実でない場合）
• 利用停止・消去請求（利用目的の範囲外の利用・不正取得の場合等）
• 第三者提供の停止請求
• データポータビリティ（機械可読な形式での受け取り・当社独自対応）

12-2 請求手続き

• 請求方法：下記お問い合わせ窓口へのメールによる申込（所定の申込書式を提供）
• 本人確認：運転免許証・パスポート等の本人確認書類の写しの提出
• 代理人の場合：委任状および代理人の本人確認書類
• 手数料：開示請求1件につき1,000円（郵便振替）
• 回答期間：請求受付後2週間以内に書面にて回答

本条は、e-Health AIサービスの適切な位置づけと利用上の重要事項を定めます。

【重要：薬機法・医療機器規制に関する免責事項】e-Health AIによる生物学的年齢推定は、疾病の診断・治療・予防を直接的な目的とするものではなく、ウェルネス情報として個人の健康管理の参考に供するものです。本サービスは現時点において医療機器（プログラム医療機器・SaMD）としての薬機法上の承認・認証を取得していません。

• 本サービスの結果は医師による診断・治療の代替となるものではありません。
• 健康上の懸念や疾患の疑いがある場合は、必ず医療機関を受診してください。
• 当社は、サービスの医療機器該当性について薬機法の専門家（薬事コンサルタント・弁護士）および必要に応じてPMDAへの相談を実施する方針です。
• サービスの提供範囲・表現・適応対象は、規制当局の見解や法令の改正に応じて変更する場合があります。

当社はPMDA SaMD該当性に関する見解を参照しながら、将来的に医療機器としての承認取得も視野に入れてサービス設計を進めています。これはサービスの段階的発展の一部であり、現段階ではウェルネスサービスとして提供します。

当社は本サービスの改善および利用状況の把握のため、Cookie・類似技術およびアクセス解析ツールを利用します。

14-1 利用するツール

• Google Analytics（Google LLC）：アクセス数・利用状況の統計分析。IPアドレスは匿名化処理されます。
• Firebase Analytics（Google LLC）：モバイルアプリの利用状況解析。

14-2 オプトアウト

Google Analyticsのオプトアウトは「Google アナリティクス オプトアウト アドオン」（https://tools.google.com/dlpage/gaoptout）を使用してください。Cookieの無効化はブラウザの設定から行うことができますが、一部の機能が利用できなくなる場合があります。

16歳未満のお客様が本サービスをご利用になる場合は、必ず保護者の同意を得た上でご利用ください。当社は保護者の同意なく16歳未満の方の個人情報を意図的に収集・利用しません。なお、当社は2026年通常国会で審議中の個人情報保護法改正案（保護者同意要件に関する条項）の動向を注視し、施行時に速やかに本ポリシーを更新します。

当社は法令の改正・サービス内容の変更等に応じて本ポリシーを変更することがあります。重要な変更を行う場合は、変更日の30日前までに本サービス上および登録メールアドレスへの通知により告知します。変更後のポリシーは通知した変更日から効力を生じます。Google API Services User Data Policyに関連する変更については、Googleが定める期限内に対応します。

当社は2026年通常国会（2026年1月23日〜6月21日）で審議中の個人情報保護法改正案（「令和8年改正」）の内容を注視し、施行に向けて以下への対応準備を進めます。

• 課徴金制度の導入に対応した社内コンプライアンス体制の強化
• 統計・AI学習目的での要配慮個人情報利用に係る同意除外規定の活用検討
• クラウドサービス事業者に対する直接的義務化への対応

当社は現時点において認定個人情報保護団体への加盟を検討中です。加盟後は対象団体の苦情処理制度を利用することができます。

本ポリシーは日本法に準拠して解釈されます。本ポリシーに関する紛争については、秋田地方裁判所を第一審の専属的合意管轄裁判所とします。

制定：2026年3月1日 Version 2.0

株式会社Heliex