Security

医療データを守る、
企業水準のセキュリティ。

3省２ガイドラインの趣旨に沿ったセキュリティ対策を実施し、
主要な医療データは日本国内のサーバーで処理しています。

学習への利用禁止

Google Cloud の規約に基づき、入力データがAIモデルの学習に利用されないよう取り扱われます。

データの所有権

入力したデータおよび生成された出力に関する権利は、引き続きユーザー側に帰属します。

堅牢なクラウド環境

すべてのデータは暗号化通信を介して処理され、エンタープライズ級のセキュリティで保護されています。

3省2 ガイドライン

医療情報の安全管理に関するガイドラインの趣旨に沿ったセキュリティ対策を実施しています。

日本国内サーバー

AI処理は東京リージョン（asia-northeast1）で完結。データは日本国内で処理されます。

Compliance

ガイドライン対応状況

厚生労働省・経済産業省・総務省が定める
3省2ガイドラインの主要要件への対応状況です。

通信の暗号化（TLS/SSL）

全通信をTLS 1.2以上で暗号化

保存時データの暗号化

Supabase（AES-256）による暗号化保存

アクセス認証・認可

Supabase Auth + Row Level Security

アクセスログの取得

Vercel / Supabase にて取得・保存

外部委託先の管理

Google Cloud CDPA に基づく委託処理

データの国内処理

Vertex AI は東京リージョン（asia-northeast1）を指定

AIモデル学習への非利用

Service Specific Terms の規定に基づく

パスワードレス認証（API）

Workload Identity 連携による短期トークン認証

※ 本対応表は、厚生労働省「医療情報システムの安全管理に関するガイドライン第6.0版」
および経済産業省・総務省「3省2ガイドライン」の主要要件に基づいています。

Responsibility

明確な責任分界

SaaS提供者と利用者の責任範囲を
明確に分離しています。

SmartReferral（SaaS側）

アプリケーションの稼働・保守
通信・保存データの暗号化
外部委託先（Google Cloud等）の管理
セキュリティインシデント時の通知

利用者（医師・医療機関）

ユーザーアカウントの管理（パスワード等）
入力データの内容の確認・管理
AI生成物の医学的正確性の確認
患者識別子の入力禁止ルールの遵守
AI生成物を患者説明文書等に使用する場合の内容確認
利用端末のセキュリティ管理

※ 個人でご利用の医師の方は、ご自身の端末のセキュリティ（OS・ブラウザの更新、パスワード管理等）および診療情報の入力方法について、所属医療機関の規程および個人情報保護法に沿って適切に管理してください。

Architecture

システム構成

ユーザー（医師）

TLS暗号化通信

Vercel（アプリ）

認証

Supabase（認証・DB）

WIF

Vertex AI（東京リージョン）

決済

Stripe（PCI DSS準拠）

Data Protection

データ保護

患者識別子の非収集

当サービスは、患者の氏名・住所・電話番号などの直接的な識別子の入力を禁止しています。診療内容・検査結果・治療経過等の医療情報は、紹介状ドラフト生成のために入力される場合があります。これらの医療情報が個人情報に該当するかどうかの判断および管理は、利用者（医師・所属医療機関）の責任で行われます。

AI処理時のデータ

Vertex AI に送信されたデータは、Google Cloud Service Specific Terms の規定に基づき、AIモデルの学習・改善に利用されないよう取り扱われます。レイテンシ削減のため入出力を最大24時間メモリ内に短期保持する場合がありますが、永続的に保存されることはありません（Vertex AIドキュメントに準拠）。

認証・アクセス制御

Supabase Auth によるメール認証（パスワードはbcryptでハッシュ化）。 Row Level Security により、ユーザーは自分のデータのみアクセス可能。 AI API認証は Workload Identity 連携で長期キーを保持しないゼロトラスト構成。

暗号化

通信: TLS 1.2以上で全通信を暗号化。保存: Supabaseのデータベースは AES-256 で暗号化。決済: Stripe（PCI DSS Level 1）に完全委託し、カード番号は一切保持しません。

Monitoring

ログ管理

アプリケーションアクセスログ

Vercel

30日間

データベース操作ログ

Supabase

7日間

認証ログ

Supabase Auth

90日間

AI API呼び出しログ

Google Cloud

30日間

※ 各ログは保存期間経過後、自動的に削除されます。

Incident Response

インシデント対応

検知・発見

モニタリングまたは報告により検知

初動対応

影響範囲の特定、被害拡大防止

調査・分析

原因・影響ユーザーの特定

通知・報告

登録メールにて72時間以内に通知

復旧・再発防止

システム復旧、再発防止策の実施

Sub-processors

外部サービス

Google Cloud

役割: AI処理

所在: 日本（東京）

認証: ISO 27001 / SOC 2/3, CDPA

Supabase

役割: 認証・データベース

所在: 日本（東京）

認証: SOC 2 Type II

Vercel

役割: ホスティング

所在: グローバルCDN

認証: SOC 2 Type II

Stripe

役割: 決済処理

所在: グローバル

認証: PCI DSS Level 1

Google Cloud との間では、Cloud Data Processing Addendum（CDPA）に基づくデータ処理契約が適用されています。 CDPAおよびService Specific Termsの規定により、Googleは顧客データをモデルの学習・改善に使用しないことが定められています。

セキュリティに関するお問い合わせ

ご質問やインシデントの報告は、以下の窓口までご連絡ください。

smartreferral.officia@gmail.com

通常、2営業日以内にご返答いたします。

最終更新日: 2026年3月4日

Security

医療データを守る、
企業水準のセキュリティ。

3省２ガイドラインの趣旨に沿ったセキュリティ対策を実施し、
主要な医療データは日本国内のサーバーで処理しています。

学習への利用禁止

Google Cloud の規約に基づき、入力データがAIモデルの学習に利用されないよう取り扱われます。

データの所有権

入力したデータおよび生成された出力に関する権利は、引き続きユーザー側に帰属します。

堅牢なクラウド環境

すべてのデータは暗号化通信を介して処理され、エンタープライズ級のセキュリティで保護されています。

3省2 ガイドライン

医療情報の安全管理に関するガイドラインの趣旨に沿ったセキュリティ対策を実施しています。

日本国内サーバー

AI処理は東京リージョン（asia-northeast1）で完結。データは日本国内で処理されます。

Compliance

ガイドライン対応状況

厚生労働省・経済産業省・総務省が定める
3省2ガイドラインの主要要件への対応状況です。

通信の暗号化（TLS/SSL）

全通信をTLS 1.2以上で暗号化

保存時データの暗号化

Supabase（AES-256）による暗号化保存

アクセス認証・認可

Supabase Auth + Row Level Security

アクセスログの取得

Vercel / Supabase にて取得・保存

外部委託先の管理

Google Cloud CDPA に基づく委託処理

データの国内処理

Vertex AI は東京リージョン（asia-northeast1）を指定

AIモデル学習への非利用

Service Specific Terms の規定に基づく

パスワードレス認証（API）

Workload Identity 連携による短期トークン認証

Responsibility

明確な責任分界

SaaS提供者と利用者の責任範囲を
明確に分離しています。

SmartReferral（SaaS側）

アプリケーションの稼働・保守
通信・保存データの暗号化
外部委託先（Google Cloud等）の管理
セキュリティインシデント時の通知

利用者（医師・医療機関）

ユーザーアカウントの管理（パスワード等）
入力データの内容の確認・管理
AI生成物の医学的正確性の確認
患者識別子の入力禁止ルールの遵守
AI生成物を患者説明文書等に使用する場合の内容確認
利用端末のセキュリティ管理

Architecture

システム構成

ユーザー（医師）

TLS暗号化通信

Vercel（アプリ）

認証

Supabase（認証・DB）

WIF

Vertex AI（東京リージョン）

決済

Stripe（PCI DSS準拠）

Data Protection

データ保護

患者識別子の非収集

AI処理時のデータ

認証・アクセス制御

暗号化

Monitoring

ログ管理

アプリケーションアクセスログ

Vercel

30日間

データベース操作ログ

Supabase

7日間

認証ログ

Supabase Auth

90日間

AI API呼び出しログ

Google Cloud

30日間

※ 各ログは保存期間経過後、自動的に削除されます。

Incident Response

インシデント対応

検知・発見

モニタリングまたは報告により検知

初動対応

影響範囲の特定、被害拡大防止

調査・分析

原因・影響ユーザーの特定

通知・報告

登録メールにて72時間以内に通知

復旧・再発防止

システム復旧、再発防止策の実施

Sub-processors

外部サービス

Google Cloud

役割: AI処理

所在: 日本（東京）

認証: ISO 27001 / SOC 2/3, CDPA

Supabase

役割: 認証・データベース

所在: 日本（東京）

認証: SOC 2 Type II

Vercel

役割: ホスティング

所在: グローバルCDN

認証: SOC 2 Type II

Stripe

役割: 決済処理

所在: グローバル

認証: PCI DSS Level 1

セキュリティに関するお問い合わせ

ご質問やインシデントの報告は、以下の窓口までご連絡ください。

smartreferral.officia@gmail.com

通常、2営業日以内にご返答いたします。

最終更新日: 2026年3月4日

医療データを守る、企業水準のセキュリティ。

学習への 利用禁止

データの 所有権

堅牢な クラウド環境

3省2 ガイドライン

日本国内 サーバー

ガイドライン対応状況

明確な責任分界

SmartReferral（SaaS側）

利用者（医師・医療機関）

システム構成

データ保護

患者識別子の非収集

AI処理時のデータ

認証・アクセス制御

暗号化

ログ管理

インシデント対応

外部サービス

Google Cloud

Supabase

Vercel

Stripe

セキュリティに関するお問い合わせ

医療データを守る、企業水準のセキュリティ。

学習への 利用禁止

データの 所有権

堅牢な クラウド環境

3省2 ガイドライン

日本国内 サーバー

ガイドライン対応状況

明確な責任分界

SmartReferral（SaaS側）

利用者（医師・医療機関）

システム構成

データ保護

患者識別子の非収集

AI処理時のデータ

認証・アクセス制御

暗号化

ログ管理

インシデント対応

外部サービス

Google Cloud

Supabase

Vercel

Stripe

セキュリティに関するお問い合わせ

医療データを守る、
企業水準のセキュリティ。

学習への利用禁止

データの所有権

堅牢なクラウド環境

日本国内サーバー

医療データを守る、
企業水準のセキュリティ。

学習への利用禁止

データの所有権

堅牢なクラウド環境

日本国内サーバー