プライバシーポリシー

(個人情報保護方針・Version 2.0)

株式会社MAKOTO 株式会社

制定日:2026年3月1日 / Version 2.0 改定日:2026年3月1日

Google API Services User Data Policy 準拠宣言・要配慮個人情報保護・APPI 2026年改正対応設計を含む

【Version 2.0 主要改訂事項】

改訂カテゴリ

主な変更内容

根拠・参照

①Google API

Limited Use英語宣言文の追加(OAuth審査必須要件)・スコープ一覧に「必要性の理由」列を追加

Google API Services User Data Policy(2024年2月改定)

②外国第三者提供

米国プライバシー制度情報(FISA§702・EO14086)・Google APEC CBPR認証の明示・エストニア十分性認定の記載を強化

APPI第28条・PPC公表情報

③仮名加工情報

AI学習目的の仮名加工情報フレームワークを新設(第三者提供禁止・利用目的変更の柔軟性)

APPI第41条・42条

④匿名加工情報

Art.43-46準拠手続きの明文化(公表義務・提供先通知・再識別禁止義務)

APPI第43条〜46条・施行規則第34条

⑤SaMD免責

e-Health AI生物学的年齢推定が「医療機器」ではないことの明示・PMDA相談実施方針の記載

薬機法・PMDA SaMDガイドライン(2023年改訂)

⑥漏えい報告

要配慮個人情報は1件でも報告義務があることを明記・二段階報告タイムラインを明示

APPI第26条・施行規則第7条第1項

⑦APPI改正対応

2026年通常国会審議中の改正案(課徴金・AI学習同意除外等)への対応コミットメントを明記

PPC政策大綱(2026年1月9日)

⑧保存期間

健康医療データの最長20年保存根拠(不法行為時効)の明示・廃棄方法の具体化

民法724条の2・医療法施行規則21条

株式会社MAKOTO 株式会社(以下「当社」)は、予防医療AIサービス(以下「本サービス群」)の提供にあたり、利用者(個人・法人)および健康大使(Health Ambassador)の個人情報を適切に取り扱うことを経営上の最重要課題と位置づけています。当社は、個人情報の保護に関する法律(以下「個人情報保護法」)、医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(厚生労働省・個人情報保護委員会)、ならびにGoogle API Services User Data Policyを遵守し、本ポリシーに従って個人情報を管理します。

第1条 事業者情報

項目

内容

事業者名(正式)

株式会社MAKOTO 株式会社

所在地

秋田県(設立準備中。正式住所は設立後に更新)

代表取締役

木村朱門(医師・CEO)

最高技術責任者(CTO)

小倉康裕(医師・CTO)

個人情報保護責任者

代表取締役 木村朱門

個人情報取扱部門

経営管理部(設立後設置予定)

お問い合わせ窓口(Email)

privacy@heliex-technologies.jp(設立後開設予定)

受付時間

平日 10:00〜17:00(土日祝日・年末年始を除く)

第2条 適用範囲

本ポリシーは、当社が提供する以下のすべてのサービス(以下「本サービス群」)に適用されます。

第3条 取得する個人情報の種類

3-1 利用者(B2C・健康サービス利用者)から取得する情報

注意:CT/MRI画像・生物学的年齢推定値・BIA測定結果等の健康医療データは、個人情報保護法第2条第3項に定める「要配慮個人情報」に該当します。取得・利用・第三者提供にはそれぞれ本人の明示的な同意が必要です。

3-2 健康大使(Health Ambassador:B2B利用者)から取得する情報

3-3 法人顧客(B2B:医療機関・企業健保等)から取得する情報

第4条 Google APIサービスの利用とデータ取得範囲

4-1 Google API Services User Data Policy 準拠宣言(英語)

以下は、Google OAuth審査において必須とされる英語表記の宣言文です。本ポリシーの日本語条文と同等の効力を有します。

株式会社MAKOTO's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy (https://developers.google.com/terms/api-services-user-data-policy), including the Limited Use requirements.

【日本語訳】当社のGoogle APIから取得した情報の使用および他のアプリへの転送は、制限付き使用(Limited Use)要件を含む「Google API Services User Data Policy」に準拠します。

4-2 制限付き使用(Limited Use)要件

Google APIから取得したデータは、以下の目的にのみ使用します。

【禁止事項】Google APIから取得したデータ(生データ・派生・集計・匿名化データを含む)を以下の目的に使用することは一切行いません。

人間がGoogle APIから取得したデータを閲覧することは、以下の場合を除き行いません。(1)ユーザーが明示的に同意した場合、(2)セキュリティ目的(不正アクセス等の調査)、(3)法令上の義務がある場合、(4)内部的な統計・集計・匿名化した非パーソナライズ分析(個々のユーザーのコンテンツを閲覧しない形態のみ)。

4-3 利用するOAuthスコープと取得データの詳細

スコープ名

取得する情報の内容

利用目的

必要性の理由

calendar.events

カレンダーのイベント(予約日時・タイトル・場所・説明)の読み取りおよび書き込み

予防医療サービス予約の作成・変更・キャンセル確認

より広いcalendarスコープでは不要な全カレンダー管理権限を取得するため、最小権限として本スコープを使用

calendar.readonly

カレンダーの既存イベント・空き時間の読み取りのみ

予約可能な時間帯の確認および重複予約の防止

書き込み権限が不要な場面での最小権限確保

userinfo.email

Googleアカウントに登録されたメールアドレス

サービス利用者の本人確認およびお知らせ送信

サービス利用者識別に不可欠な最小限の情報

userinfo.profile

Googleアカウントの表示名・プロフィール写真URL

アカウント識別(表示名の自動入力)

ユーザー体験向上のための最小限情報

4-4 Google Calendar連携に関する重要事項

第5条 個人情報の利用目的

当社は取得した個人情報を以下の目的のために利用します。目的外の利用は行いません。

5-1 利用者(エンドユーザー)に関する個人情報

  1. スキマドック(5分CT検診)の予約受付・実施・結果報告
  2. e-Health AIによるCT/MRI画像解析および生物学的年齢推定結果の提供
  3. IH²P AI Agentを用いた個別健康プラン(Individual H&H Plan)の作成
  4. 健康大使を通じた継続的健康サポート(運動・食事・サプリメント・生活習慣改善)の提供
  5. Google Calendarを通じた予約日時のスケジュール管理および変更・キャンセル通知
  6. 医療チーム(木村医師・小倉医師)によるDoctor Botを活用した医学的サポート
  7. サービス品質向上・不具合対応・セキュリティ確保
  8. 法令に基づく対応(税務・医療法・行政対応)

5-2 要配慮個人情報(健康・医療データ)の利用目的

CT/MRI画像・生物学的年齢推定値・身体計測データ等の要配慮個人情報(個人情報保護法第2条第3項)は、以下の目的にのみ利用します。

  1. 本人の健康管理サポートのための健康大使への情報提供(本人の同意を得た範囲内)
  2. 診断支援AIシステムの改善・精度向上(仮名加工情報として内部利用 ― 第6条参照)
  3. 学術研究目的での匿名加工情報の作成(個人情報保護法第41条に基づく)

5-3 仮名加工情報・匿名加工情報としての活用

当社は本人の同意を得た上で、健康医療データを個人識別性を排除した「仮名加工情報」または「匿名加工情報」として加工し、活用する場合があります。両者の違いと取扱い方針は以下のとおりです。

加工種別

根拠条文

主な利用目的

第三者提供

仮名加工情報 (Pseudonymized)

個人情報保護法第41条

AI精度向上・内部統計分析 (利用目的変更が柔軟)

原則禁止 (委託・事業承継・共同利用を除く)

匿名加工情報 (Anonymized)

個人情報保護法第43条

外部へのデータ提供 (食品会社・研究機関等)

公表手続き後に可能

仮名加工情報は内部のAI精度向上・統計分析に限定して使用し、外部に提供しません。匿名加工情報の外部提供については第7条第3項に定める手続きに従います。

第6条 要配慮個人情報の取り扱い

健康・医療データ(CT/MRI画像・生物学的年齢・身体計測結果・病歴・服薬情報等)は個人情報保護法上の「要配慮個人情報」に該当します。当社は以下の規律に従い最上位の保護措置を講じます。

【漏えい等報告の厳格基準】要配慮個人情報に係る漏えい・滅失・毀損等が1件でも発生した場合、個人情報保護法第26条・施行規則第7条第1項に基づき、当社は速報(3〜5日以内)および確報(30日以内、不正アクセス等は60日以内)をPPCに報告し、当該個人に通知します。

第7条 第三者提供

7-1 原則

当社は、以下の場合を除き、本人の同意なく個人情報を第三者に提供しません。

7-2 業務委託

当社は業務の一部を外部委託する場合があります(クラウドサービス事業者、AIシステム開発委託先等)。委託先に対しては、当社と同等以上のセキュリティ基準を契約上求め、適切な監督を行います。現在の主要な委託先は以下のとおりです。

7-3 匿名加工情報の第三者提供

個人識別性を完全に排除した匿名加工情報については、個人情報保護法第43条に基づく公表手続きを行った上で、日本の食品会社・健康関連企業・医療研究機関に提供することがあります。匿名加工情報の作成・提供にあたっては以下の手続きを遵守します。

  1. 施行規則第34条の定める5つの加工基準(識別子の削除・個人識別符号の削除・連結符号の削除・個性的な記述の削除・その他の措置)を適用
  2. 加工後速やかに「含まれる個人情報の項目」をウェブサイト上に公表
  3. 提供前に「提供する個人情報の項目」および「提供方法」をウェブサイト上に公表
  4. 受領者に対して「匿名加工情報である旨」を明示的に通知
  5. 加工方法情報の安全管理(委託先への提供禁止)
  6. 当社および受領者による再識別の禁止(個人情報保護法第46条)

第8条 外国にある第三者への個人情報の提供

当社は一部の業務においてGoogleのクラウドサービス等、海外サーバーを使用します。個人情報保護法第28条に基づき、以下のとおり情報を開示します。

サービス提供者

サーバー所在国

個人情報の種類

保護措置・根拠

当該国の制度情報

Google LLC (Google Calendar API・Workspace)

米国 (欧州データセンター併用)

カレンダーデータ・メールアドレス・プロフィール情報

APEC CBPR認証取得・SCCs(標準契約条項)・Google Data Processing Terms

PPCガイドライン参照: https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/

Google LLC (Firebase / Cloud Storage)

米国・アジア太平洋地域

予約データ・サービス利用ログ・健康データ

Google データ処理規約(GDPR Art.46準拠)・APEC CBPR認証

同上

AKT Wellness NB8 OÜ(エストニア)

エストニア (EU加盟国・十分性認定国)

AIシステム開発・EU規制対応に係るデータ

EU十分性認定国(APPI第28条適用除外)

EU加盟国のためGDPR適用・APPI第28条但し書き①該当

8-1 米国のプライバシー法制度に関する重要情報

Google LLCのサーバーは主に米国に所在します。米国は個人情報保護委員会が定める「十分性認定国」ではありません。ユーザーは以下の情報をご確認ください。

個人情報保護委員会が公表する各国の個人情報保護制度に関する情報は以下をご確認ください:https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/

8-2 エストニア(AKT Wellness NB8 OÜ)への提供

エストニアはEU加盟国として欧州委員会の十分性認定を受けており、個人情報保護法第28条但し書き第1号(個人の権利利益を保護する上で我が国と同等の水準にあると認められる体制を整備している国)に該当します。GDPR(EU一般データ保護規則)が適用されます。

第9条 個人情報の保存期間

データ種別

保存期間

根拠法令

廃棄方法

Google Calendarデータ (予約・スケジュール情報)

サービス利用契約終了後2年

消滅時効(民法724条)

論理削除後30日で物理削除

健康・医療データ (CT画像解析結果・生物学的年齢・BIA等)

取得後5年(最長20年)

医療法施行規則21条・不法行為時効(民法724条の2)

国際標準準拠の安全な消去処理

仮名加工情報 (AI学習・内部分析用)

加工後5年を上限

個人情報保護法第41条

加工方法情報と同時に安全消去

匿名加工情報 (データ販売目的)

加工後無期限 (個人特定不能のため)

個人情報保護法第43条

提供先に再識別禁止義務を課す

本人確認書類 (開示請求時)

請求処理完了後速やかに廃棄

個人情報保護委員会ガイドライン

シュレッダー処理または安全消去

注:健康医療データの最長20年保存は、民法第724条の2に定める不法行為による損害賠償請求権の消滅時効(20年)を考慮したリスク管理上の措置です。通常は5年を目処に、必要性を審査した上で延長します。

第10条 個人情報の安全管理措置

当社は個人情報の漏えい・滅失・毀損を防止するため、以下の安全管理措置を実施します。

10-1 組織的安全管理

10-2 技術的安全管理

10-3 物理的安全管理

第11条 個人情報の漏えい等発生時の対応

要配慮個人情報その他の重大な漏えい等が発生した場合、当社は個人情報保護法第26条に基づき以下の対応を行います。

要配慮個人情報(CT画像・健康データ等)に係る漏えい・滅失・毀損は1件でも発生した場合に報告義務が生じます(施行規則第7条第1項第1号)。この閾値は一般個人情報の1,000件基準とは異なる厳格な基準です。

第12条 本人の権利(開示・訂正・削除・利用停止請求等)

個人情報保護法に基づき、ご本人は当社が保有する個人情報について以下の権利を行使することができます。

12-1 行使できる権利

12-2 請求手続き

第13条 e-Health AIサービスの性格と医療行為との関係

本条は、e-Health AIサービスの適切な位置づけと利用上の重要事項を定めます。

【重要:薬機法・医療機器規制に関する免責事項】e-Health AIによる生物学的年齢推定は、疾病の診断・治療・予防を直接的な目的とするものではなく、ウェルネス情報として個人の健康管理の参考に供するものです。本サービスは現時点において医療機器(プログラム医療機器・SaMD)としての薬機法上の承認・認証を取得していません。

当社はPMDA SaMD該当性に関する見解を参照しながら、将来的に医療機器としての承認取得も視野に入れてサービス設計を進めています。これはサービスの段階的発展の一部であり、現段階ではウェルネスサービスとして提供します。

第14条 Cookieおよびアクセス解析ツールの利用

当社は本サービスの改善および利用状況の把握のため、Cookie・類似技術およびアクセス解析ツールを利用します。

14-1 利用するツール

14-2 オプトアウト

Google Analyticsのオプトアウトは「Google アナリティクス オプトアウト アドオン」(https://tools.google.com/dlpage/gaoptout)を使用してください。Cookieの無効化はブラウザの設定から行うことができますが、一部の機能が利用できなくなる場合があります。

第15条 未成年者の個人情報

16歳未満のお客様が本サービスをご利用になる場合は、必ず保護者の同意を得た上でご利用ください。当社は保護者の同意なく16歳未満の方の個人情報を意図的に収集・利用しません。なお、当社は2026年通常国会で審議中の個人情報保護法改正案(保護者同意要件に関する条項)の動向を注視し、施行時に速やかに本ポリシーを更新します。

第16条 プライバシーポリシーの変更

当社は法令の改正・サービス内容の変更等に応じて本ポリシーを変更することがあります。重要な変更を行う場合は、変更日の30日前までに本サービス上および登録メールアドレスへの通知により告知します。変更後のポリシーは通知した変更日から効力を生じます。Google API Services User Data Policyに関連する変更については、Googleが定める期限内に対応します。

当社は2026年通常国会(2026年1月23日〜6月21日)で審議中の個人情報保護法改正案(「令和8年改正」)の内容を注視し、施行に向けて以下への対応準備を進めます。

第17条 認定個人情報保護団体

当社は現時点において認定個人情報保護団体への加盟を検討中です。加盟後は対象団体の苦情処理制度を利用することができます。

第18条 管轄裁判所および準拠法

本ポリシーは日本法に準拠して解釈されます。本ポリシーに関する紛争については、秋田地方裁判所を第一審の専属的合意管轄裁判所とします。

お問い合わせ窓口

個人情報保護担当

株式会社MAKOTO 株式会社 個人情報保護責任者 木村朱門

メール

privacy@heliex-technologies.jp(設立後開設予定)

受付時間

平日 10:00〜17:00(土日祝日・年末年始を除く)

回答期間

ご連絡から2週間以内

制定:2026年3月1日 Version 2.0

株式会社AKT Wellness