本表は、当社が提供する介護事業所向けサービス(NexWell AINote、NexWell Insight、NexWell AI帳票、NexWell VoiceType 等。以下「介護向け本サービス」といいます)のご利用にあたり、当社(True North)とお客様(介護事業所)との間の責任の分界点を整理したものです。介護事業所のお客様が個人情報保護法第25条に定める委託先監督義務を遂行されるための説明資料として、当社ウェブサイト上で常時公開しています。本表は、当社利用規約の責任分界に関する条項で参照される別紙です。
本表は、有料介護事業所ユーザーに対する責任分界を整理しています。本表に記載されるSLA・保証等は、利用規約の介護記録データに関する条項(介護事業所ユーザー向け義務および有料介護事業所ユーザー向け追加条項)が適用されるユーザーに対してのみ適用されます。
無料フリーミアムユーザーには本表は適用されません(無料ユーザーに対しては、法定義務の範囲のみが当社の責任となります)。
| 表記 | 意味 |
|---|---|
| ● | 当該列の当事者(True North または介護事業所)が全責任を負う |
| △ | 両者が分担して責任を負う(詳細は備考欄) |
| — | 該当なし(当該列の当事者は責任を負わない) |
| 項目 | True North | 介護事業所 | 備考 |
|---|---|---|---|
| データセンター・物理セキュリティ | ● | — | サブプロセッサーの物理セキュリティ |
| ネットワーク・通信暗号化 (TLS) | ● | — | TLS 1.3、HSTS |
| サーバーOS・ミドルウェアの更新 | ● | — | サブプロセッサーが自動管理 |
| 災害対策(DR)・基盤の冗長化 | ● | — | 各サブプロセッサーのSLAに依存 |
| 項目 | True North | 介護事業所 | 備考 |
|---|---|---|---|
| アプリケーション開発・脆弱性対応 | ● | — | — |
| セキュリティアップデートの適用(Web) | ● | — | SaaSのため顧客対応不要 |
| デスクトップアプリのアップデート配信 | ● | — | 配信方式は提供開始時に確定・通知 |
| OS互換性メンテナンス(デスクトップアプリ) | ● | — | 主要OSバージョンのサポート期間を維持 |
| アプリのアンインストール時のローカルデータ削除 | ● | — | アンインストール時にローカル保存データを自動削除 |
| 顧客サポート(バグ報告・問い合わせ対応) | ● | — | 営業時間内対応、Sev1-2は「7. インシデント対応」に合流 |
| バグ修正・機能追加 | ● | — | 重大変更時は利用規約に従い30日前事前通知 |
| アプリの正常稼働監視 | ● | — | エラー追跡・内部監視 |
| 項目 | True North | 介護事業所 | 備考 |
|---|---|---|---|
| 保管データの暗号化(at rest) | ● | — | AES-256 |
| バックアップ取得・保管 | ● | — | サブプロセッサー(プライバシーポリシー §8参照)の標準設定に従う |
| データ削除(解約時)の実施 | ● | — | 利用規約のデータ削除SLA条項に従う |
| データ入力の正確性 | — | ● | 介護記録の内容そのものは介護事業所責任 |
| データのエクスポート機能の提供 | ● | — | UI / APIで提供 |
| 解約後のエクスポート権 | ● | — | 利用規約のデータエクスポート権条項に従う |
| データのエクスポート実施 | — | ● | 介護事業所が必要時に実施 |
| 項目 | True North | 介護事業所 | 備考 |
|---|---|---|---|
| 認証基盤の提供 | ● | — | パスワードポリシー(最小8文字 + 漏えいパスワード検査)はデフォルト適用。認証サブプロセッサーはプライバシーポリシー §8参照 |
| ロール定義(admin / member 等) | ● | — | True Northが機能として提供 |
| ユーザー作成・削除 | — | ● | 介護事業所の組織管理者が実施 |
| ユーザーごとのロール割当 | — | ● | 介護事業所の組織管理者が実施 |
| 退職者の即時アカウント停止 | — | ● | 介護事業所側で操作 |
| 項目 | True North | 介護事業所 | 備考 |
|---|---|---|---|
| 介護利用者本人への重要事項説明 | — | ● | 介護事業所が利用者本人または家族に説明 |
| 利用者の同意取得 | — | ● | 介護事業所が実務として実施・記録 |
| 同意の撤回時の対応 | △ | △ | 介護事業所 = 受付、True North = データ削除実施 |
| 項目 | True North | 介護事業所 | 備考 |
|---|---|---|---|
| サブプロセッサー一覧の開示 | ● | — | プライバシーポリシー §8で開示 |
| サブプロセッサー追加時の事前通知 | ● | — | 30日前にメール / サービス内告知 |
| サブプロセッサーの選定・契約管理 | ● | — | SCC相当DPA締結等 |
| 監査照会への対応 | ● | — | 有料介護事業所ユーザーに対し、年1回を上限として対応。それを超える要請が必要となった場合は別途協議。代替措置(自己評価レポート、第三者監査レポート等の提供)も認める |
| 介護事業所自身による監督記録の保管 | — | ● | 介護事業所が監査記録を保管 |
| 項目 | True North | 介護事業所 | 備考 |
|---|---|---|---|
| インシデント検知(システム由来) | ● | — | エラー追跡・内部監視 |
| インシデント検知(運用由来) | — | ● | 不審なアクセス・データ閲覧等 |
| True North起因事象の調査・封じ込め・復旧 | ● | — | 当社のインシデント対応フローに従う |
| 介護事業所への第一報・詳細続報 | ● | — | SLA詳細は利用規約のインシデント通知SLA条項を参照 |
| 個人情報保護委員会への報告(介護記録データ漏えい時) | — | ● | 個情委への対外報告の窓口は介護事業所(委託元として個人情報保護法第26条の報告主体)。True Northは受託者として、個人情報保護法施行規則第7条に基づき、覚知後速やかに介護事業所へ通知することで自らの報告義務に代える |
| 本人(利用者)への通知 | — | ● | 利用者の連絡先は介護事業所が保持。True Northは通知材料(事象詳細・原因・対応状況)の提供で協力 |
| 項目 | True North | 介護事業所 | 備考 |
|---|---|---|---|
| サービス基盤の復旧 | ● | — | サブプロセッサーSLAに依存 |
| 業務継続手順の整備・運用 | — | ● | 介護事業所側のBCP(紙の記録への切替等) |
| 計画停止の事前通知(7日前) | ● | — | 利用規約のサービス提供の停止等に関する条項に従う |
| 項目 | True North | 介護事業所 | 備考 |
|---|---|---|---|
| 操作ログの自動取得 | ● | — | アカウント(組織)削除後90日で物理削除、改ざん防止措置あり(詳細はプライバシーポリシー §7参照) |
| 閲覧ログの取得 | ● | — | 要配慮個人情報を含むリソースのみ |
| テナント管理者によるログ確認 | — | ● | 管理画面のUIで介護事業所側が直接確認 |
| 監査ログの改ざん防止 | ● | — | 更新・削除を不可とする技術的措置 |
| 項目 | True North | 介護事業所 | 備考 |
|---|---|---|---|
| True North内部の従業員教育 | ● | — | 入社時 + 年1回 |
| 介護事業所職員への教育 | — | ● | 介護事業所側で実施 |
| 項目 | True North | 介護事業所 | 備考 |
|---|---|---|---|
| 利用規約・プライバシーポリシーの整備 | ● | — | 重大変更時は30日前事前通知 |
| 利用規約の更新通知の受領・対応 | — | ● | 介護事業所側で確認 |
一部のサービスでは、ログインを要しない匿名記入リンク(トークンURL)を通じて介護記録等を入力できます。匿名記入リンク経由で入力された内容は、当該リンクを発行した介護事業所(個人情報取扱事業者)の管理下にあるものとして取り扱います。リンクの配布先の管理および入力内容に関する責任は、リンクを発行した介護事業所が負います。