HOME / プライバシーポリシーHOME / PRIVACY POLICY

プライバシーポリシー

Privacy Policy

NAIDI株式会社(以下「当社」)は、お客様の個人情報および医療情報(PHI)の取扱について、関連法令を遵守し、適正かつ安全に運用します。

NAIDI Inc. ("we") handles your personal information and health information (PHI) in accordance with relevant laws — properly and securely.

最終改定日: 2026年04月15日Last revised: 15 Apr 2026

1. 基本方針

当社は、個人情報の保護に関する法律(個人情報保護法)、医薬品医療機器等法、医療広告ガイドライン、改正電気通信事業法、GDPR、HIPAA、その他関連法令およびガイドラインを遵守し、本プライバシーポリシーに従って個人情報および PHI(保護対象保健情報)を取り扱います。

2. 取得する情報

2-1. お客様から直接ご提供いただく情報

  • お問い合わせフォーム入力情報(氏名、所属、職種、連絡先、お問い合わせ内容等)
  • 採用応募情報(履歴書、職務経歴書、選考過程で取得する情報)
  • イベント・取材・商談で取得する情報

2-2. 自動的に取得する情報

  • アクセスログ、IPアドレス、ブラウザ情報、リファラ等
  • Cookie、ローカルストレージ、類似技術により取得される情報(HCP確認状態を含む)

2-3. 医療機関のお客様より預託される情報

NAIDI Clinical Pipeline 等の運用において医療機関より預託される医療情報(PHI)は、本ページの「PHI(医療情報)の取扱い」に従って厳格に管理されます。

3. 利用目的

  • お問い合わせ・採用応募への対応
  • 製品・サービスの提供、改善、性能評価
  • 医療機関のお客様への資料・案内のご提供
  • 当社のマーケティング、調査・統計分析(個人を特定しない形で)
  • 関連法令、契約上の義務の履行
  • 不正アクセス、情報漏洩、その他セキュリティインシデント対応

4. PHI(医療情報)の取扱い

当社が医療機関より預託を受ける PHI は以下の通り取り扱います。

  1. 自動非識別化: PHI は処理パイプライン入力時点で、患者識別子、撮像メタデータ、画像内バーンインを含めて多層的に自動マスキングされます。
  2. 暗号化: 保管・転送ともに AES-256-GCM 暗号化を実施します。鍵管理は最小権限原則に基づき分離管理されます。
  3. 外部学習禁止: 預託された PHI は、当社または第三者の AI モデルの学習用途には使用しません。社内検証は、明示的同意の下で取得した、または完全に非識別化されたデータセットに限定されます。
  4. 監査ログ: 全アクセス・処理は改竄不可能な監査ログに記録されます。
  5. 保管期間: 預託契約に定められた期間のみ保管し、契約終了後は所定の手順で安全に削除します。

5. 第三者提供・委託

当社は、お客様の個人情報を、お客様の同意なしに第三者に提供しません。ただし、以下の場合を除きます。

  • 法令に基づく場合
  • 人の生命、身体または財産の保護のために必要であり、お客様の同意取得が困難な場合
  • 業務委託先に対し、業務遂行に必要な範囲内で取り扱わせる場合(委託先には厳格な秘密保持契約と監督義務を適用します)
  • 事業承継に伴う場合

6. Cookie および類似技術の利用

当社は、本サイトの利便性向上のために Cookie および類似技術を利用します。

  • 必要 Cookie: HCP(医療関係者)確認状態の保存、言語設定、Cookie 同意状態の保存。
  • 解析 Cookie: アクセス解析、サイト改善のための統計情報。お客様の同意のもと使用します(拒否可能)。

ブラウザ設定により Cookie の受け入れを拒否することができます。改正電気通信事業法に基づき、本サイトでは Cookie 等の利用について同意取得の機会を提供しています。

7. 海外移転について(GDPR / 越境)

当社は、原則として国内データセンターでの処理を行いますが、技術的な必要性から一部のサービスにおいて海外への情報移転を行う場合があります。海外移転に際しては、移転先の個人情報保護水準を確認し、必要に応じて標準契約条項(SCC)等の適切な保護措置を講じます。GDPR が適用されるお客様(EU/EEA 圏内)については、別途定める個別事項に基づき取り扱います。

8. 安全管理措置

  • 組織的安全管理措置: 社内規程の整備、責任者の配置、教育・訓練の実施、定期監査
  • 人的安全管理措置: 全従業員との秘密保持契約、入社時・継続的な教育
  • 物理的安全管理措置: 入退室管理、機器の盗難・紛失防止
  • 技術的安全管理措置: アクセス制御、暗号化、不正アクセス対策、ログ監視

9. 開示・訂正・利用停止等のご請求

お客様は、当社が保有するご自身の個人情報について、開示、訂正、追加、削除、利用停止、第三者提供の停止等を求めることができます。下記窓口までご連絡ください。

10. お問い合わせ窓口

NAIDI株式会社 個人情報保護管理担当
所在地: 東京都渋谷区神宮前3-4-5-3F
お問い合わせ: お問い合わせフォーム

11. 改定

本ポリシーは、関連法令の改正、社内体制の変更等に応じて改定されることがあります。重要な改定がある場合は、本サイト上で告知いたします。

1. Basic policy

We comply with the Act on the Protection of Personal Information (APPI), the Pharmaceutical and Medical Device Act, the Medical Advertising Guidelines, the revised Telecommunications Business Act, GDPR, HIPAA, and other relevant laws and guidelines, and handle personal information and PHI (Protected Health Information) in accordance with this Privacy Policy.

2. Information we collect

2-1. Information you provide directly

  • Information entered into our contact form (name, affiliation, role, contact details, content of your inquiry, etc.).
  • Job application information (resumes, work histories, information collected during the recruitment process).
  • Information collected at events, press interviews, and business meetings.

2-2. Information collected automatically

  • Access logs, IP address, browser information, referrer, etc.
  • Information collected via cookies, local storage, and similar technologies (including HCP-confirmation status).

2-3. Information entrusted by hospital customers

Health information (PHI) entrusted to us by hospitals through services such as the NAIDI Clinical Pipeline is handled strictly under "Handling of PHI" below.

3. Purposes of use

  • Responding to inquiries and job applications.
  • Providing, improving, and evaluating products and services.
  • Providing materials and notices to hospital customers.
  • Marketing, surveys, and statistical analysis (in non-identifiable form).
  • Performing legal and contractual obligations.
  • Responding to unauthorized access, leakage, and other security incidents.

4. Handling of PHI

PHI entrusted to us by hospitals is handled as follows:

  1. Automatic de-identification: at the entry point of the pipeline, PHI — including patient identifiers, imaging metadata, and burned-in image text — is masked automatically using a multi-layer mechanism.
  2. Encryption: AES-256-GCM is used both at rest and in transit. Keys are managed under least-privilege separation.
  3. No external training: entrusted PHI is never used to train our or any third party's AI models. Internal validation is limited to data obtained with explicit consent or fully de-identified datasets.
  4. Audit log: all access and processing events are recorded to a tamper-evident audit log.
  5. Retention period: data is retained only for the period stipulated in the entrustment agreement and securely deleted thereafter.

5. Third-party disclosure and outsourcing

We do not disclose personal information to third parties without your consent, except in the following cases:

  • Where required by law.
  • Where necessary to protect a person's life, body, or property and obtaining your consent is difficult.
  • Where we entrust handling to a service provider within the scope necessary to perform their work (with strict NDAs and supervisory obligations applied to the provider).
  • In connection with a business transfer.

6. Use of cookies and similar technologies

We use cookies and similar technologies to improve the usability of this site.

  • Necessary cookies: storing HCP confirmation status, language setting, and cookie-consent status.
  • Analytics cookies: statistical information for access analysis and site improvement, used with your consent (and refusable).

You can refuse cookies through your browser settings. In line with the revised Telecommunications Business Act, this site offers an opportunity to consent to such uses.

7. International transfers (GDPR / cross-border)

Processing is in principle performed in domestic data centers. However, certain services may require international transfers for technical reasons. In such cases we verify the data-protection level of the destination and apply appropriate safeguards (such as Standard Contractual Clauses) where required. Customers within scope of GDPR (EU/EEA) are handled in accordance with separately defined provisions.

8. Safeguards

  • Organizational: internal rules, designated officers, training, periodic audits.
  • Personnel: NDAs with all employees, onboarding and ongoing training.
  • Physical: access controls, theft and loss prevention.
  • Technical: access controls, encryption, intrusion countermeasures, log monitoring.

9. Disclosure, correction, and suspension requests

You may request disclosure, correction, addition, deletion, suspension of use, or suspension of third-party disclosure of your personal information that we hold. Please use the contact below.

10. Contact

NAIDI Inc., Personal Information Protection Officer
Address: 3-4-5-3F Jingumae, Shibuya-ku, Tokyo
Inquiries: Contact form

11. Revisions

This Policy may be revised in line with changes to relevant laws or our internal arrangements. Material revisions will be announced on this site.