Privacy Policy / プライバシーポリシー

Effective date / 施行日: 2025-12-30
Last updated / 最終更新日: 2025-12-30

1. 日本語（Japanese）

1.1 事業者情報（管理者）

本サービスにおける個人情報等の取扱いに関する責任者（「当社」）は以下のとおりです。

事業者名: アズマリオ合同会社
所在地: 福岡県福岡市博多区博多駅前1丁目23番2号 ParkFront博多駅前1丁目5F-B
代表者（または管理責任者）: 中嶋直人
連絡先（プライバシー窓口）: support@curelina.org

1.2 適用範囲

本ポリシーは、当社が提供する Curelina（以下「本サービス」）における個人情報、要配慮個人情報（健康・医療情報を含む）、およびこれらに準ずる情報（以下総称して「個人情報等」）の取扱いに適用されます。

1.3 役割分担（医療機関等のお客様との関係）

本サービスは、医療機関・施設・法人等（以下「お客様」）が業務目的で利用することを想定しています。

本サービスは、画像解析時等に患者等が写り込まないよう技術的な配慮を行っていますが、万一、患者等の情報が含まれる形で登録がなされた場合、一般にお客様が個人情報の管理者、当社はお客様の委託先（処理者）として取扱います。

患者等の方が権利行使（開示等）を希望される場合、原則として 当該医療機関・施設（お客様）へお問い合わせください。
当社は、当社自身の運営に必要な範囲で、アカウント情報、ログ、請求情報、サポート対応情報等について当社が管理者として取扱う場合があります。

1.4 取得する情報

当社は、本サービスの提供・運営のため、以下の情報を取得・生成・受領することがあります（取得する情報は利用形態により異なります）。

1) アカウント・利用者情報
氏名、メールアドレス、所属、役職、職種、利用者ID、認証情報（SSO/IdP連携により受領する識別子等）

2) 組織・契約情報（お客様情報）
施設名、部署、所在地、請求先情報、契約情報、管理者情報

3) 医療・健康に関する情報（要配慮個人情報を含む可能性）

例: 医療機器に関する記録、インシデント/修理報告、業務記録、画像等（原則として患者ID・患者氏名・医師ID・医師名等の直接識別子を含めない運用を前提とします）
お客様が必要に応じて参照する識別子は、可能な限り 仮名化・匿名化・施設内の業務用ID等（直接識別子を含まない形）で管理することを推奨します。

4) 画像・添付ファイル等
例: 故障・不具合の写真、証跡画像、PDF/文書、コメント等

5) 端末・利用ログ情報
例: IPアドレス、端末種別、OS/ブラウザ、アクセス日時、操作履歴、クラッシュログ、監査ログ

6) サポート・問い合わせ情報
例: 問い合わせ内容、メール/通話記録（実施する場合）、障害対応に必要なログ等

7) クッキー等（Web利用の場合）
例: セッション管理、設定保持、分析用識別子（利用する場合）

1.5 利用目的

当社は、個人情報等を以下の目的で利用します。

本サービスの提供、機能提供、本人確認、認証、アクセス管理
本サービスの運用・保守、障害対応、セキュリティ確保（不正利用検知、監査ログ管理を含む）
本サービスの品質改善、UI/UX改善、機能開発（統計情報としての分析を含む）
機能開発（個人を特定できない形式に加工した上での、統計データの作成および当該データの製品開発・研究発表への利用を含む）
- ただし、当該利用は、個人または特定の医療機関・施設を識別または再識別できない形に限られます。
お客様サポート、問い合わせ対応、通知、重要なお知らせの送付
契約の履行、請求、支払い処理、利用料金の管理
法令または行政当局の要請への対応、紛争対応、権利保護

※ お客様が管理者として登録する患者等の情報については、原則として お客様が定める利用目的の範囲で、当社は委託に基づき処理します。

1.5.1（地域による補足）欧州経済領域（EEA）/英国等における法的根拠

EEA/英国等の適用法令（GDPR等）が適用される場合、当社が管理者として取り扱う個人情報については、以下の法的根拠に基づき処理することがあります（具体的な根拠は処理内容により異なります）。

契約の履行（例: サービス提供、アカウント管理）
正当な利益（例: セキュリティ、不正防止、サービス改善。利益衡量を行います）
法的義務の遵守
同意（例: 任意の分析/マーケティング。いつでも撤回可能）

また、健康・医療情報等の 特別カテゴリデータ（センシティブデータ）を当社が管理者として処理する場合、追加の要件（明示的同意、医療・公衆衛生等の例外等）に従います。なお、患者等の情報は通常、お客様の指示に基づき当社が処理者として取り扱います。

1.6 第三者提供・委託・共同利用

当社は、個人情報保護法その他の適用法令に従い、以下の場合を除き、本人の同意なく個人情報等を第三者に提供しません。

法令に基づく場合
人の生命・身体・財産の保護のために必要で本人の同意取得が困難な場合
公衆衛生の向上または児童の健全育成の推進のために特に必要で本人の同意取得が困難な場合
国の機関等への協力が必要で本人同意により支障が生じるおそれがある場合

当社は、以下の範囲で委託または サブプロセッサの利用を行うことがあります。

クラウドインフラ/ホスティング、データベース、ストレージ、CDN
認証（SSO/IdP連携）、通知配信、監視・ログ管理、サポートツール
分析ツール（利用する場合）

委託先の選定・監督にあたり、当社は合理的な安全管理措置を講じます。

当社は、以下のサブプロセッサを利用しています。

サービス提供者名	所在国	委託する業務の内容
Microsoft Corporation (Azure)	米国（日本リージョン）	クラウドインフラ、サーバー、データベース、データの保管
Google LLC (Google Cloud)	米国（日本リージョン）	クラウドインフラ、ログ分析、AI・データ処理
Kinde (Kinde Pty Ltd)	オーストラリア / 米国	ユーザー認証、ID管理、アクセス制御
Stripe, Inc.	米国 / 日本	決済処理、請求管理、不正防止

1.7 国際移転

当社または委託先が国外に所在する場合、個人情報等が国外に移転されることがあります。当社は、適用法令に従い、契約上の保護措置（例: 標準契約条項（SCC）相当、データ処理契約）や安全管理措置を講じます。

1.8 保存期間

当社は、個人情報等を 利用目的の達成に必要な期間保存し、その後は適用法令・契約・監査要件に従い、削除または匿名化等を行います。
患者等の情報は、お客様との契約条件・指示に従い処理します。

1.9 安全管理措置

当社は、個人情報等を防止するため、合理的な安全管理措置を講じます。

アクセス制御（最小権限）、認証、権限管理
通信の暗号化、保管時の暗号化（可能な範囲）
監査ログ・モニタリング、脆弱性管理
委託先管理、従業員教育、インシデント対応手順

1.10 ご本人の権利（開示等）

当社が管理者として保有する個人情報について、本人は、法令に基づき、開示・訂正・利用停止等を求めることができます。手続の詳細は「1.1 事業者情報」の窓口へお問い合わせください。
なお、お客様が管理者として登録する患者等の情報については、原則として お客様（医療機関・施設）へお問い合わせください。

1.11 クッキー等

本サービス（Web版）でクッキーや類似技術を利用する場合、セッション維持、設定保持、セキュリティ、解析等の目的で使用します。ブラウザ設定により無効化できますが、一部機能が利用できない可能性があります。

1.11.1（地域による補足）米国（HIPAA等）・州法

米国において医療情報（PHI）に該当する情報を取り扱う場合、当社は、お客様との契約形態に応じて 事業提携契約（BAA）等を締結し、適用される要件（アクセス制御、監査、インシデント通知等）に従って取り扱うことがあります。
また、居住州により追加の権利（例: 州プライバシー法に基づく開示・削除等）が認められる場合があります。権利行使の窓口は、当社が管理者である情報については当社窓口、処理者として取り扱う情報についてはお客様（医療機関・施設）となります。

1.12 未成年

本サービスは原則として業務利用を想定しており、未成年者を対象としたサービスではありません。未成年者に関する情報を取扱う場合は、適用法令およびお客様の指示に従います。

1.13 本ポリシーの変更

当社は、法令改正、運用変更等に応じて本ポリシーを変更することがあります。重要な変更がある場合は、本サービス上での告知等、合理的な方法で通知します。

2. English

2.1 Who we are (Controller)

This Privacy Policy describes how Asmario LLC (“we”, “us”, “our”) processes Personal Data in connection with Curelina (the “Service”).

Company name: Asmario LLC
Address: 5F-B ParkFront Hakata-ekimae 2nd, 1-23-2 Hakata-ekimae, Hakata-ku, Fukuoka-shi, Fukuoka, Japan
Contact (privacy inquiries): support@curelina.org

2.2 Scope

This Policy applies to Personal Data we collect or process in connection with the Service, including potentially sensitive data such as health/medical information, and related information (collectively, “Personal Data”).

2.3 Roles (Healthcare customers and end users/patients)

The Service is typically used by healthcare organizations, facilities, or other entities (each, a "Customer") for professional purposes.

The Service employs technical measures to minimize the inadvertent capture of patient information during image analysis and similar operations. However, in the event patient or similar data is included in information uploaded or entered into the Service, the Customer is generally the data controller (or equivalent), and we act as a processor/service provider on the Customer's behalf under applicable agreements.

If you are a patient or otherwise an end user whose data was provided by a Customer, please direct requests to exercise your rights to that Customer.
We may act as an independent controller for data necessary to operate the Service (e.g., account administration, security logs, billing, and support communications).

2.4 Personal Data we collect

Depending on how the Service is used, we may collect, receive, or generate:

1) Account and user data
Name, email, role, department, user IDs, identifiers from SSO/identity providers, authentication/authorization metadata

2) Customer/organization data
Facility/organization details, admin contacts, contractual and billing information

3) Health/medical or sensitive data (where provided by Customers)

For example: maintenance reports, incident reports, operational records, and images/attachments used to document an issue (typically without direct identifiers such as patient IDs/names or clinician IDs/names)
We encourage Customers to use pseudonymized or internal operational identifiers where needed and to avoid entering direct identifiers into the Service.

4) Images and attachments
For example: photos evidencing an issue, documents, PDFs, comments, captions

5) Device and usage logs
IP address, device/OS/browser details, timestamps, event logs, audit logs, crash diagnostics

6) Support and communications
Support tickets, emails, chat logs, call records (if used), diagnostic data required to resolve issues

7) Cookies and similar technologies (web contexts)
Session cookies, preferences, and analytics identifiers (where applicable)

2.5 How we use Personal Data

We use Personal Data for the following purposes:

Provide, operate, and maintain the Service (including authentication and access management)
Security, fraud prevention, audit logging, and monitoring
Troubleshooting, incident response, and service reliability
Improve and develop the Service (including aggregated or de-identified analytics where feasible)
Feature development (including creating de-identified statistical datasets and using them for product development and research publications/presentations)
- However, such use is limited to data that cannot identify or re-identify an individual or any specific healthcare organization/facility.
Communicate with you, provide customer support, and send important notices
Contract administration, billing, payment processing, and compliance
Comply with legal obligations and protect rights, safety, and property

For patient/end-user data provided by Customers, we process such data only as instructed by the Customer and consistent with our contractual obligations.

2.5.1 Legal bases (EEA/UK and similar jurisdictions)

Where we act as a controller and applicable law requires a legal basis (e.g., GDPR in the EEA/UK), we rely on one or more of the following:

Performance of a contract (e.g., providing the Service)
Legitimate interests (e.g., securing the Service, preventing fraud, improving reliability), balanced against your rights
Compliance with legal obligations
Consent (e.g., optional analytics/marketing where enabled; withdrawable at any time)

Where we process special category data (such as health data) as a controller, we do so only when an additional condition applies (e.g., explicit consent, public health, or other permitted grounds). In most cases, patient/end-user data is processed as a processor on behalf of the Customer.

2.6 Sharing and subprocessors

We do not disclose Personal Data to third parties except as described below and as permitted by applicable law.

We may share Personal Data with:

Service providers/subprocessors (e.g., hosting, cloud infrastructure, storage, authentication, monitoring, support tooling)
Professional advisors (legal, auditors) where necessary
Authorities where required by law or to protect rights and safety
Business transfers (e.g., merger, acquisition), subject to appropriate safeguards

We require service providers to protect Personal Data and to process it only for specified purposes.

We use the following subprocessors:

Service Provider	Location	Services Provided
Microsoft Corporation (Azure)	United States (Japan Region)	Cloud infrastructure, servers, databases, data storage
Google LLC (Google Cloud)	United States (Japan Region)	Cloud infrastructure, log analysis, AI and data processing
Kinde (Kinde Pty Ltd)	Australia / United States	User authentication, identity management, access control
Stripe, Inc.	United States / Japan	Payment processing, billing management, fraud prevention

2.7 International data transfers

The Service and our providers may process Personal Data in countries other than where you live. Where required, we implement appropriate safeguards (e.g., data processing agreements and standard contractual protections) for cross-border transfers.

2.8 Data retention

We retain Personal Data for as long as necessary to provide the Service and meet contractual, legal, security, and audit requirements, and then delete or de-identify it. Patient/end-user data is retained and deleted in accordance with Customer instructions and contractual terms.

2.9 Security

We implement reasonable administrative, technical, and organizational measures designed to protect Personal Data, such as access controls, encryption in transit, monitoring, logging, and vendor management. No method of transmission or storage is 100% secure; we cannot guarantee absolute security.

2.10 Your rights and choices

Depending on your jurisdiction and our role (controller vs processor), you may have rights to access, correct, delete, restrict, or object to processing, and to portability where applicable.

If you are an end user/patient whose data was provided by a Customer, please contact that Customer.
If we act as a controller for your Personal Data, you may contact us using the details in Section 2.1.

You may also have the right to lodge a complaint with a supervisory authority in your jurisdiction.

2.11 Cookies

If the Service uses cookies or similar technologies, they may be used to keep you signed in, remember preferences, support security, and (where enabled) analytics. You can control cookies through browser settings; disabling cookies may affect functionality.

2.11.1 United States (HIPAA and state privacy laws)

The Service is designed to minimize and avoid collecting Protected Health Information (PHI) and direct patient/clinician identifiers. If the Service is nevertheless used in contexts involving PHI under HIPAA, our role and obligations may depend on our contractual relationship with the Customer (e.g., as a Business Associate under a Business Associate Agreement (BAA)). Where applicable, we will follow the requirements set forth in the applicable agreements and law.

Certain U.S. state privacy laws may provide additional rights. Where we act as a processor/service provider, requests should be directed to the Customer. Where we act as a controller, you may contact us as described in Section 2.1.

2.12 Children

The Service is intended for professional use and is not directed to children. If we learn we collected Personal Data from a child in a manner not permitted by law, we will take steps to delete it.

2.13 Changes to this Policy

We may update this Policy from time to time. If changes are material, we will provide notice through the Service or other reasonable means.