情報セキュリティ方針

1. 基本方針

True North は、介護事業者の業務効率化を支える SaaS 提供事業者として、お客様および利用者の皆様の個人情報および機密情報を適切に保護することを重要な経営課題と位置づけます。

私たちは以下を遵守します。

• 個人情報保護法をはじめとする関連法令の遵守
• 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」（個人情報保護委員会・厚生労働省）への準拠
• 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第2.0版」（経済産業省・総務省、令和7年3月改定）への準拠
• 国際的な情報セキュリティのベストプラクティスの継続的な取り込み

2. 適用範囲

本方針は、True North が提供する以下のサービスおよび事業運営活動に適用されます。

• NexWell AINote（介護現場向け音声議事録 SaaS）
• NexWell Insight（介護事業所向け業務支援 SaaS）
• NexWell AI帳票（介護報告書・帳票の作成支援 SaaS）
• NexWell VoiceType（音声認識タイピング）
• お客様向けセミナー・コンサルティング事業

3. 取り扱う個人情報

True North は、お客様のサービス利用に伴い以下の個人情報を取り扱います。

• お客様（介護事業所職員等）の認証情報（メールアドレス、表示名等）
• お客様の組織情報
• サービス利用ログ
• 介護記録に関連するデータ（録音音声、文字起こしテキスト等）— 要配慮個人情報に該当し得るものとして取扱います

詳細はプライバシーポリシーをご参照ください。

4. 安全管理措置

True North は個人情報保護法第23条が求める安全管理措置を、以下の4区分で実施しています。

4.1 組織的安全管理措置

• 情報セキュリティ責任者（CISO相当）および個人情報保護責任者を任命し、役割を分離
• 年1回のリスクアセスメントおよび事業主レビュー
• 委託先（サブプロセッサー）の年次評価および契約管理

4.2 人的安全管理措置

• 従業員および業務委託者への入社時セキュリティ教育
• 年1回の継続教育
• 業務委託者からの秘密保持契約の取得
• 退職・契約終了時の速やかな権限剥奪手順の整備

4.3 物理的安全管理措置

• 業務端末のフルディスク暗号化
• 自動ロック・リモートワイプの設定
• 業務上の個人情報の物理媒体への持ち出し制限

4.4 技術的安全管理措置

• 通信および保管データの暗号化（TLS 1.2以上 / AES-256）
• アクセス制御（RBAC、最小権限の原則）
• 監査ログの取得・保管（アカウント削除後90日まで保管、改ざん防止措置あり）
• テナント分離（Row Level Security）
• 脆弱性管理プロセス

5. インシデント対応

万一、個人情報の漏えい等のインシデントが発生した際は、以下のとおり対応します。

緊急連絡先：tomoki.nasu@truenorth-biz.com

6. サブプロセッサーの管理

True North は一部のサービス提供に外部のサブプロセッサー（クラウド事業者等）を利用しています。

• サブプロセッサー一覧：プライバシーポリシー §8に記載
• 変更時の事前通知：サブプロセッサーの追加・変更時は、30日前までにメールまたはサービス内告知でお客様に通知します
• 越境移転：一部のサブプロセッサーは外国（米国等）にあります。越境移転は個人情報保護法第28条に基づき、SCC（標準契約条項）相当の DPA を締結のうえ実施します。詳細はプライバシーポリシー §9をご参照ください

7. 顧客との責任分界

サービス提供における責任の分界点は、お客様の安全管理措置義務の遂行を支援するため、別途公開する「責任分界点表」に整理しています。主な責任分界は以下のとおりです。

詳細な責任分界点表は当社ウェブサイト上で公開しています。

8. 第三者認証

適切な第三者認証の取得については、事業フェーズおよびお客様の要請を踏まえて必要に応じて検討します。

9. お問い合わせ

本方針に関するお問い合わせ・苦情・本人開示請求等は以下までご連絡ください。

個人情報保護責任者：那須 智樹
連絡先：tomoki.nasu@truenorth-biz.com

10. 改定

本方針は年1回および以下のトリガー発生時にレビュー・改定します。

• 個人情報保護法・関連ガイドラインの改正
• 重大インシデント発生後
• 事業規模・体制の重要な変更時

改定時は本ページに改定日と概要を掲載します。

11. 改定履歴