MindSpectrum

Privacy

プライバシーポリシー

最終更新日

MindSpectrumは、お客様のプライバシー保護および機微な心理評価データの安全確保に深くコミットしています。本包括的プライバシーポリシーでは、HIPAA(医療保険の携行性と説明責任に関する法令)、GDPR(一般データ保護規則)、CCPA(カリフォルニア州消費者プライバシー法)およびその他の適用される国際的なプライバシー規制に厳格に準拠し、お客様の個人情報および健康情報の収集、利用、保護、管理方法について説明しています。メンタルヘルス情報という機微な性質を鑑み、心理評価結果および個人情報の機密性と安全性を確保するために最高水準のデータ保護基準を採用しています。

当社は、心理評価サービスの提供に必要不可欠な情報のみを収集します。具体的にはアカウント登録情報(名前、メールアドレス、生年月日による年齢確認)、評価の回答と結果、プラットフォーム機能の向上のための利用分析、セキュリティ監視のための技術ログ、およびPCI-DSS準拠の第三者プロバイダーを通じて処理される任意の支払い情報です。HIPAAおよびGDPRに基づくデータ最小化の原則を厳守し、評価サービス提供に必須な情報のみを収集します。評価データは保護対象健康情報(PHI)に分類され、強化されたセキュリティ保護を受けます。位置情報は一切収集せず、デバイス識別子は匿名化され、すべての健康データの収集には明確なインフォームドコンセントが必要です。

お客様の心理評価データは、評価レポートおよび洞察の提供、時間経過に伴う個人のメンタルヘルス傾向の追跡(この機能を有効にした場合)、匿名化された集計分析を通じた評価アルゴリズムおよびプラットフォーム機能の改善、ならびにリクエストに応じた技術サポートの提供のみに利用されます。お客様の識別可能な健康情報をマーケティングや商業目的で第三者に販売、賃貸、共有することは決してありません。保険会社、雇用主、教育機関、政府機関には、お客様の明確な書面による同意または法的要件がない限り、評価結果を共有しません。すべてのデータ処理活動はHIPAAの最小必要基準に従い、GDPRの法的根拠を文書化の上で実施されます。

当社は、HIPAAの技術的保護措置要件を上回る医療グレードのセキュリティ対策を実装しています:静止データにはAES-256暗号化、転送データにはTLS 1.3を使用、すべてのアカウントに多要素認証(MFA)を導入、独立したセキュリティ企業による定期的な侵入テスト、AWS/GCPの医療向け設定を備えたHIPAA準拠のクラウドインフラストラクチャ、自動化されたセキュリティ監視および侵入検知システム、年間の第三者HIPAAコンプライアンス監査、災害復旧および事業継続計画、PHIへのアクセスを必要最小限に制限する厳格なアクセス管理。全従業員は年次でHIPAAプライバシーおよびセキュリティトレーニングを受講し、お客様の評価データへのすべてのアクセスは包括的な監査ログに記録されます。

HIPAAプライバシールールおよびGDPRに基づき、お客様には次の包括的な権利があります:アクセス権(30日以内にPHIの完全なコピーをダウンロード可能)、訂正権(不正確な評価データの修正依頼)、消去権(限定的例外を除きデータの完全削除依頼)、データ携帯権(機械可読形式で評価結果をエクスポート)、処理制限権(データ利用制限)、異議申立権(任意のデータ利用からのオプトアウト)、同意撤回権(データ処理の同意撤回)、開示記録請求権(PHIにアクセスした者のログ受領)。これらの権利はアカウントのプライバシー設定から、またはプライバシー責任者へお問い合わせいただくことで行使できます。

お客様はデータの保持管理を完全にコントロールできます。アクティブなアカウントの場合:評価データは削除依頼があるまで無期限に保持します。非アクティブアカウント(24ヶ月以上ログインなし):データをアーカイブする前にメールで通知します。削除済みアカウント:評価データは30日以内に永久削除され、NIST 800-88基準を満たした安全なデータ破壊方法を用います。匿名化された集計データは研究に使用されることがありますが、識別情報は含まれません。削除前であればいつでも完全な評価履歴をダウンロード可能です。

米国外からMindSpectrumにアクセスされる場合、お客様のデータは米国へ転送・処理されることがあります。当社は欧州委員会承認の標準契約条項(SCC)を実施し、GDPR準拠および国際的なデータ転送に同等の保護を維持しています。EUユーザーのデータは、明示的同意および必要不可欠なサービス提供に関するGDPR第49条の例外規定に従い処理されます。

プライバシーに関するご質問、権利行使、懸念事項の報告については、Data Protection Officerまでメール([email protected])、MindSpectrumプライバシー責任者宛て郵送(会社住所)または当社の安全なHIPAA準拠連絡フォームをご利用ください。HIPAAおよびGDPRにより定められた通り、プライバシーに関するご要望には30日以内に対応します。データ侵害通知やセキュリティ上の懸念がある場合は直ちに[email protected]までご連絡ください。

プライバシーポリシー