<!-- UPDATED_AT --> 2026-05-10
作成日: 2026-05-06
対象: 「つながる帳」プロジェクト(健康情報を含むデータを取り扱う可能性あり)
目的: 知財担当者向けに 「契約」「運用」「技術」の3面で安全策が講じられていることを、証跡と実装根拠に基づき説明する。
---
本プロジェクトは、外部AI(Google Gemini API)を利用するにあたり、次の3つの安全策を同時に満たす設計・運用としている。加えて、業務データの主たる保管場所を AWS 東京リージョンに固定し、APPI(個人情報保護法)28条の越境移転論点を整理して開示する。
---
証跡は docs/compliance/evidence/ に集約する。
docs/compliance/evidence/google-ai-studio-billing-postpaid.png01706D-E4F715-46C6C5docs/compliance/evidence/google-ai-studio-logs-and-datasets_20260506.png55 days (max)My First Project ...docs/compliance/evidence/google-cloud-audit-logs-default-enabled.pngdocs/compliance/evidence/supabase-region-tokyo_20260507.pngtsunagaru-cho の所在表示が AWS | ap-northeast-1 であることが確認できるmakes-momo-eap も同リージョンNANO(Free Plan、§7 の留意点参照)hgaeorxjlzvpafuumisa以下は「契約(学習非利用)」の説明に不可欠なため、同意時点の PDF を evidence に追加する。
docs/compliance/evidence/gemini_terms_or_dga_YYYY-MM-DD.pdfdocs/compliance/evidence/gemini_terms_or_dga_YYYY-MM-DD_highlighted.pdfSupabase の DPA(Data Processing Addendum)は Pro Plan 以上で締結可能。現状 Free のため締結できていない。Pro 移行と同時に以下を取得・保存する。
docs/compliance/evidence/supabase_dpa_YYYY-MM-DD.pdfdocs/compliance/evidence/supabase_pro_plan_YYYY-MM-DD.png(プラン昇格後の Org 表示)---
1. Billing で「有料階層」の証跡を提示(請求先ID含む)
2. 次に規約PDFで「学習に利用されない」条項を提示(ハイライト版)
3. その上で、実装上も誤運用防止のガード(GEMINI_PAID_PLAN_CONFIRMED)があることを補足
---
ログ保持期間(55 days (max))とプロジェクト紐付けにより、「いつ・どのモデルに通信したか」の追跡性を説明できる。
データアクセス監査ログのデフォルト構成を有効化することで、プロジェクト全体の監査可能性(管理操作・アクセスの追跡)を補強できる。
> 注: 監査ログで何が記録されるかは Google Cloud の監査ログ仕様に依存するため、面談では「設定が有効で、追跡の枠組みがある」ことを証跡として提示する。
---
process.env.GEMINI_API_KEY のみ(クライアントへは配布しない)GEMINI_PAID_PLAN_CONFIRMED が未設定の場合、Gemini API を呼ぶAPIは 503 で停止する(無料プラン運用の抑止)外部AIへ送るデータは目的最小限とし、直接識別子(氏名・residentId 等)をプロンプト本文に含めない方針。
実装・ドキュメント上の送信項目は public/docs/system-overview-ip-and-apis-ja.html に整理済み。
> 実務上の注意: 職員が自由記述欄に氏名等を入力する可能性があるため、運用教育(記載ルール)と合わせて担保する。
顔特徴量(face-apiのdescriptor)は、AES-GCM(AES-256-GCM 表記)で暗号化してから保存する実装になっている。
> 鍵素材については、クライアント配布変数(VITE_)の性質を踏まえ、秘密管理ポリシーと整合させる(別紙:設計メモ化推奨)。
記録の家族向け通知における「閲覧時間帯の集計・通知スケジュール」は api/lib/optimalNotification.js および関連 /api/notify-family / /api/optimal-notification / /api/family-notification-dispatch で完結し、Gemini API を呼ばない。越境移転の論点は §5 の Gemini 行に該当しない。
---
「つながる帳」が取り扱う 業務データ(DB / 認証 / 写真 / 顔特徴量)の主たる保管場所は AWS 東京リージョンである。
docs/compliance/evidence/supabase-region-tokyo_20260507.pngtsunagaru-cho → AWS | ap-northeast-1hgaeorxjlzvpafuumisaすべて AWS 東京(物理的に日本国内)に保管される。
record-photos)family_notification_logs 等。閲覧パターン集計は Supabase 内の決定的処理であり、Gemini 等の外部推論 API には送信しない)「データは国内です」と一括で答えると APPI 28条の評価上は不正確になり得るため、本書では下記を明示する。
| 経路 | 行き先 | 性質 |
|------|--------|------|
| Gemini API への送信(テキスト整形 / 身体画像分析 / メンタルヘルス推論) | Google LLC(米国)。物理ロケーションは Google 仕様に依存 | APPI 28条「外国にある第三者への提供」に該当。利用規約・同意書で米国移転を明示し同意取得 |
| Supabase の運営会社 | Supabase, Inc.(米デラウェア州) | 物理保管は東京、運営者は米国法人 |
| AWS の運営会社 | Amazon Web Services, Inc.(米国) | 同上 |
| Vercel CDN(静的ファイル配信) | グローバル Edge | 公開静的ファイルのみ(個人情報なし) |
> 整理: 物理保管(東京)と事業者所在(米国)は別概念。本サービスは前者を国内で完結させ、後者については利用規約・プライバシーポリシーで米国移転を明示開示することで APPI 28条に対応する。
/api/* の実行リージョン(東京固定)vercel.json で "regions": ["hnd1"] を指定しているため、自社 Serverless Functions(/api/gemini、/api/image-analysis、/api/mental-health、/api/mental-health-batch、/api/precursor-alerts-batch、/api/save-detection、/api/notify-family、/api/optimal-notification、/api/family-notification-dispatch 等)は すべて東京(hnd1)リージョンで実行される。
vercel.json(regions フィールド)hnd1 になっていることを確認できる(任意で vercel_functions_region_hnd1_YYYY-MM-DD.png として証跡化推奨)。---
1. Gemini API 規約 / Data Governance Addendum の PDF保存+ハイライト版を evidence に追加
2. (可能なら)APIキー制限(許可API、リファラ/IP制限)のスクショも追加
3. (任意)Vercel 環境変数(キーは伏せる)で GEMINI_PAID_PLAN_CONFIRMED=true が入っている証跡を追加
4. Supabase Pro Plan 移行と DPA 締結(Free のままでは PITR / DPA / HIPAA / SLA いずれも欠落 → §7)
5. ~~vercel.json に "regions": ["hnd1"] を追加~~ → 2026-05-08 設定済み。次回デプロイ後、Vercel Dashboard で hnd1 実行を確認しスクショを取得して証跡化(任意)。
---
supabase-region-tokyo_20260507.png)で確認可能| 観点 | Free Plan | Pro Plan 以上 |
|------|-----------|---------------|
| PITR(任意時点復旧) | × | ◯ |
| DPA(Data Processing Addendum) | × | ◯ |
| HIPAA Add-on | × | ◯ |
| SLA | × | ◯ |
| 自動バックアップ | 論理バックアップ最大7日 | 拡張可能 |
| 一時停止 | 1週間アクセスがないと停止 | なし |
要配慮個人情報を扱う本番運用としては、Pro Plan への昇格を推奨。リージョンは保持されたままアップグレード可能。Pro 昇格後、Supabase の DPA を締結し、本書 §5.3「Supabase 運営者所在」の論点と合わせて知財面談で提示する。
---
A. 有料階層(Pay-as-you-go 相当)で運用していることを Billing 画面の証跡で示し、加えて同意時点の規約PDF(DGA等)で該当条項を原文引用(ハイライト)して提示する。
A. サーバー側実装で GEMINI_PAID_PLAN_CONFIRMED が未設定の場合に API を停止(503)するため、環境変数なしでは運用できない。
A. AI Studio 側のログ保持(55日)と、Google Cloud 側の監査ログ設定の証跡を提示し、追跡可能な枠組みがあることを示す。
A. バイタルや身体画像など要配慮になり得るデータは送信し得るため、有料運用・同意・ログを前提に設計している。識別子(氏名・residentId等)をプロンプト本文に含めない方針で、送信項目は技術資料に列挙している。
A. 顔特徴量は暗号化(AES-GCM)して保存し、照合は端末側処理を中心に行う。鍵素材の扱いは VITE_ 変数の性質を踏まえて運用ポリシーと合わせて説明する。
A. 主たる保管(DB・認証・写真・顔特徴量)は AWS 東京リージョン(ap-northeast-1)で物理的に国内保管されている(証跡: evidence/supabase-region-tokyo_20260507.png)。一方、運営会社(Supabase Inc.、AWS Inc.)は米国法人であり、また外部AI(Gemini API)に送るデータは Google(米)に渡るため、APPI 28条の越境移転に該当する経路があることを利用規約で開示し、同意を取得する設計(§5.3)。
A. 物理保管を国内に集中させることで、(a) アクセス性能の維持、(b) 国内データセンターの物理セキュリティと障害発生時の説明性、(c) 国内施設の災害対策計画との整合 を担保するため。「物理保管 = 国内」「事業者の本籍 = 米国(要 28条対応)」を両立させる二段構えとしている。
A. 本番運用としては Pro Plan 移行を推奨。Free では PITR / DPA / HIPAA / SLA のいずれも取得できないため、要配慮個人情報を扱う本番運用としては不十分(§7)。リージョンは保持されたままアップグレード可能。