Privacy Policy | healwith

1. 総則

BONROI（以下「当社」といいます）は、外国人患者の大韓民国における医療機関の利用を支援するメディカルコンシェルジュサービス「healwith」を運営しています。healwith は医療機関ではなく、診断・治療を直接提供するものではありません。

本ポリシーは、主として大韓民国「個人情報保護法」（PIPA）、「医療法」および「医療の海外進出および外国人患者誘致支援に関する法律」に準拠します。該当する場合には、利用者の居住国の法令（例：EU 一般データ保護規則（GDPR）、カザフスタン第94-V ЗРК号法、ロシア連邦第152-ФЗ号法など）の関連要件も反映します。各管轄区域に固有の告知は、以下の個別の条項に記載します。

当社は、国籍・居住地を問わず、すべての利用者の個人情報を大切に取り扱い、関連法令を遵守して安全に処理します。

2. 個人情報取扱事業者の情報

商号：BONROI（サービス名：healwith）

事業形態：個人事業主

代表者：JUYOUNG KANG

事業者登録番号：463-35-00902

外国人患者誘致事業者登録番号：A-2026-01-02-06761（有効期間 2026-03-11 ～ 2029-03-10、ソウル特別市長登録）

所在地：Room 613, 385 Gangseo-ro, Gangseo-gu, Seoul, Republic of Korea

連絡先：+82-10-4772-1075（国際）· 070-7500-7795（韓国国内）

メール：admin@healwith.co.kr

営業時間：平日 09:00-18:00 KST（韓国の祝祭日を除く）

3. 収集する個人情報の項目

【必須項目】

· 氏名、生年月日、性別、国籍、パスポート番号（ビザおよび病院登録用）

· 連絡先（メール、電話番号、メッセンジャー ID）

· 居住地住所（滞在支援のため）

· 保護者・同伴者情報（患者が未成年者・高齢者の場合）

【機微情報 — 個別同意】

· 診断名、治療歴、現在の症状、服用中の薬剤

· 診断書、検査結果、画像資料（X 線、CT、MRI など）

· 健康保険・旅行保険情報

· 障害の有無（アクセシビリティ支援のため）

【自動収集】

· IP アドレス、Cookie、セッションログ、サービス利用記録

· 端末情報（OS、ブラウザ、機種）、おおよその位置情報（国単位。正確な位置情報は同意がある場合のみ）

【決済関連】

· 決済情報は決済代行会社（PG）を通じて処理され、当社はカード番号の全体を保存しません。

4. 個人情報の収集および利用目的

a. 利用者の識別および本人確認

b. 医療機関のマッチング、診療予約、ビザおよび滞在支援

c. 利用者の同意に基づく医療機関への診療関連情報の提供

d. 通訳・移動・宿泊などの付帯サービスの提供

e. 決済処理および領収書・税務インボイスの発行

f. 苦情・相談対応、カスタマーサポート

g. サービス品質の改善、統計分析、セキュリティインシデント対応

h. 法令上の義務の履行

5. 機微情報の処理（PIPA §23 / GDPR 第9条）

healwith は「健康に関する情報」を処理します。これは PIPA §23 に基づく機微情報に該当し、GDPR 第9条に基づく特別な種類の個人データに該当します。当該データは、利用者の明示的な個別同意がある場合に限り、収集・利用します。

機微情報は、医療機関のマッチングおよび適切な診療調整の目的に限定して利用され、利用者が同意した範囲内でのみ医療機関に提供されます。

利用者は、機微情報の処理に同意しない権利を有しますが、同意しない場合、医療マッチングサービスの利用が制限されることがあります。

6. 個人情報の保管および利用期間

当社は、収集目的を達成した個人情報を遅滞なく削除します。ただし、法令により保管が義務付けられている場合を除きます。

【関係法令に基づく保管】

· 契約・申込撤回の記録：5 年（電子商取引消費者保護法 §6）

· 代金決済および財貨供給の記録：5 年

· 消費者の苦情および紛争処理の記録：3 年

· ログイン記録：3 か月（通信秘密保護法 §15-2）

· 病院が保有する診療記録：10 年（医療法 §22）。※ healwith は診療記録の写しを保有せず、原本は医療機関が管理します。

【サービス目的別の保管】

· アカウント情報：退会まで（長期未利用の場合は 1 年経過後に分離保管）

· 機微（健康）情報：コンシェルジュサービス完了後ただちに削除。ただし、利用者の明示的な請求により最長 3 年保管する場合があります。

· マーケティング同意情報：同意撤回まで

7. 個人情報の第三者提供

当社は、利用者の同意に基づき、以下の第三者に個人情報を提供します。

【医療機関】

· 提供先：利用者が選択・同意した韓国国内の病院・クリニック

· 目的：診療相談、予約、治療計画の策定

· 提供項目：氏名、生年月日、連絡先、パスポート番号、診断名、症状、医療記録

· 保管期間：各機関の医療法上の保管義務に従う（通常 10 年）

【ビザ代行機関】

· 提供先：提携ビザ代行機関（同意がある場合）

· 提供項目：パスポートの写し、招請理由書、入国日程

· 目的：医療ビザ（C-3-3、G-1）申請の代行

【保険会社】

· 提供先：旅行・国際保険の提携先（同意がある場合）

· 目的：保険金請求の支援

利用者は第三者提供に同意しない権利を有しますが、その場合、該当サービスの利用が制限されることがあります。

8. 個人情報の国外移転（PIPA §28-8 / GDPR 第44-49条）

当社のサービスの性質上 — 外国人患者の韓国医療機関の利用を支援するため — 当社は利用者の居住国から大韓民国へ個人情報を移転します。また、運営上、一部のデータを他の管轄区域へ移転することがあります。

【移転先および国・地域】

· 韓国国内の提携病院（医療目的）

· クラウドインフラ：Vercel Inc.（米国）、Supabase Inc.（米国）

· 分析サービス：Google Ireland Ltd.（GA4、アイルランド）

· カスタマーサポートツール：[確定後に記載]

【目的および項目】

· 病院：第7条と同じ

· クラウド・分析：アカウント情報、ログ、Cookie 識別子

【保管期間】各移転先のポリシーおよび契約条件に従う。

【利用者の権利】利用者は移転に同意しない権利を有しますが、移転はサービスに不可欠であるため、同意しない場合はサービスを利用できません。

【安全措置】

· EU→韓国の移転：2021年12月の欧州委員会による韓国に対する十分性決定（Decision 2022/254）に基づき、データが韓国国内で PIPC の監督の下で処理されることを前提に、別途の SCC なしに移転することができます。

· その他の移転：標準契約条項またはこれに準ずる契約上・技術上の安全措置（暗号化、仮名化）を通じて、移転先の個人情報保護義務を確保します。

· カザフスタンに関して：第15条のローカライゼーション義務に関する規定をご参照ください。

9. 個人情報の処理委託（PIPA §26）

当社は、サービス運営のため、以下の受託者に契約に基づき個人情報の処理を委託します。

· Supabase Inc. — データベースホスティング（米国）

· Vercel Inc. — ウェブアプリケーションホスティング（米国）

· Google LLC — 認証（OAuth）、分析、地図（米国/アイルランド）

· [決済代行会社 — 未定] — 決済処理

· [メール送信サービス — 未定] — メール送信

· [AI 翻訳 — 未定] — 翻訳（利用者の同意がある場合）

契約により、受託者は個人情報保護義務、目的外利用の禁止、ならびに技術的・管理的保護措置を遵守し、当社は定期的にこれを監督します。

10. 情報主体の権利

利用者は、以下の権利を行使することができます。

· 個人情報の処理状況の確認および処理の停止の要求（PIPA §35、§37）

· 個人情報の閲覧（§35）

· 個人情報の訂正・削除の要求（§36）

· 同意の撤回（§37）

· 自動化された決定に対する拒否権（§37-2）

· 損害賠償請求権（§39）

これらの権利は、admin@healwith.co.kr または本ポリシー第14条の個人情報保護責任者（DPO）の連絡先に対して行使することができ、当社は 10 日以内に措置を講じます。

利用者は、大韓民国個人情報保護委員会に申告および紛争調停を申請することができます。

· 個人情報保護委員会：（局番なし）182、www.privacy.go.kr

· 個人情報紛争調停委員会：1833-6972、www.kopico.go.kr

11. 満14歳未満の児童の個人情報（PIPA §22-2）

healwith は、未成年患者（小児がん等）に関するコンシェルジュの依頼を受けることがあります。その場合、法定代理人（親権者・保護者）の同意を確認します。

法定代理人は、いつでも未成年者の個人情報の閲覧、訂正、削除、処理停止を請求することができ、当社は遅滞なく対応します。

12. 個人情報の安全性確保措置

当社は、以下の保護措置を実施します。

· 管理的措置：個人情報保護責任者の指定、定期的な教育、アクセス権限の最小化

· 技術的措置：暗号化（通信時 TLS 1.3、保存時 AES-256）、侵入防止システム、セキュリティパッチ管理

· 物理的措置：データ処理区域への入退室管理

· インシデント対応：漏えい発生時、72 時間以内に監督機関および情報主体へ通知

13. Cookie の使用

当社は、セッションの維持、言語設定、セキュリティおよび利用分析のために Cookie を使用します。

利用者はブラウザの設定により Cookie を拒否することができます。詳細は別途の「Cookie ポリシー」をご参照ください。

14. 個人情報保護責任者（DPO / CPO）

氏名：JUYOUNG KANG

役職：代表（兼任 — 韓国 PIPA §31 および GDPR 第37条に基づく）

メール：admin@healwith.co.kr

電話：+82-10-4772-1075（国際）· 070-7500-7795（韓国国内）

利用者は、個人情報に関する問い合わせ、苦情、または救済の請求について、個人情報保護責任者に直接ご連絡いただけます。当社は 10 営業日以内に回答します。

15. カザフスタン居住者向けの追加告知

本条は、カザフスタン共和国「個人データおよびその保護に関する法律」（第94-V号、2013年、2015年・2022年改正）および関連施行規定が要求する追加の開示事項を提供します。

【国外移転に対する明示的同意（第16条）】

本サービスは、外国人患者の韓国医療機関の利用を支援する性質上、利用者の個人データを大韓民国へ移転します。カザフスタン法第16条は、データ主体の明示的な書面による同意に基づく国外移転を認めており、利用者はサービス利用の申込み時に、本ポリシーの国外移転条項および別途の同意チェックボックスを通じて、以下に明示的に同意します。

· 移転先国：大韓民国

· 移転先：利用者が選択した韓国の提携医療機関、クラウドサービス提供者（Vercel Inc.、Supabase Inc.）

· 移転項目：第3条の収集項目および第5条の機微情報

· 移転目的：メディカルコンシェルジュサービスの提供

【ローカル保存（第12条）に関する案内】

カザフスタン法第12条は、カザフスタン市民の個人データのカザフスタン領域内での一次保存を定めています。現在、当社は上記第16条に基づく明示的同意の仕組みを法的根拠としてサービスを運営しており、サービスの成長段階に応じて、カザフスタン現地のクラウドパートナー（QazCloud、Yandex Cloud Kazakhstan など）を通じた現地一次保存構造の導入を検討します。重要な変更がある場合は、本ポリシーの更新により直ちにお知らせします。

【機微（医療）情報の個別同意（第8条、第9条）】

カザフスタン法上、機微情報は、書面または電子署名（EDS、eGov 連携）により確認可能な方法での同意を要します。当社は、電子チェックボックスに基づく同意をタイムスタンプ・IP アドレス・利用者識別子とともに記録し、書面に準ずる証拠力を確保します。口頭による同意は取得しません。

【公用語】

本ポリシーは、カザフ語（国語）およびロシア語（公用語）で同時に提供されます。利用者は希望する言語を選択でき、翻訳版間で解釈に相違がある場合、大韓民国における法的効力については韓国語版を基準とします。

【監督機関】

· 情報セキュリティ委員会（Комитет по информационной безопасности、KNB 傘下）

· デジタル開発・革新・航空宇宙産業省（Министерство цифрового развития, инноваций и аэрокосмической промышленности）

【申告および紛争】

本ポリシー第19条の連絡先にお問い合わせいただくか、居住地の裁判所または監督機関に提訴することができます。

15-2. 自動化された決定（PIPA §37-2）

当社は、利用者に適した医療機関を推薦するために、AI ベースのマッチングアルゴリズムを使用します。これは「個人情報保護法」第37条の2に基づく「自動化された決定」に該当する場合があります。

【自動化処理の項目】

· 症状・診断名に基づく診療科のマッチング

· 過去の治療事例・言語サポートの可否に基づく病院ランキングの推薦

· 滞在期間・予算に合わせたパッケージの自動生成

【利用者の権利】

· 自動化された決定の結果に関する説明の請求

· 自動化された決定の拒否および人間による再審査の請求

· 上記の請求は admin@healwith.co.kr または第14条の DPO 連絡先へ

最終的な医療上の決定は、必ず医療従事者の判断を受けてください。AI の推薦は参考用であり、診断・治療ではありません。

16. EU/EEA 居住者向けの追加告知（GDPR）

GDPR が適用される場合、以下の権利が保障されます。

· アクセス権（第15条）、訂正権（第16条）、削除権（第17条）、制限権（第18条）、ポータビリティ権（第20条）、異議権（第21条）、および自動化された意思決定に関する権利（第22条）。

· 特別な種類のデータ（健康、第9条）は、明示的な同意に基づいてのみ処理されます。

· 国外移転（第44-49条）は、該当する場合、標準契約条項に基づいて行われます。

· 利用者は居住国のデータ保護機関に苦情を申し立てることができます。

· EU 代理人：[EU 市場を対象とする場合、第27条に基づき指定]

17. ロシア居住者向けの追加告知

ロシア連邦第152-ФЗ号法は、ロシア国民の個人データの初回収集をロシア領域内で行うことを求めています。

healwith は、本要件の遵守方法について別途検討中です。本サービスを利用することにより、ロシア居住者は本条項を確認し、明示的に同意するものとします。

監督機関：Roskomnadzor（Роскомнадзор）。

18. 本ポリシーの変更

重要な変更は、施行の少なくとも 7 日前（不利な変更の場合は 30 日前）に、サービス内のお知らせおよびメールにより通知します。

現在のバージョン：2.0.0（施行日 2026-04-20）。

19. 連絡先

個人情報・一般のお問い合わせ：admin@healwith.co.kr

住所：Room 613, 385 Gangseo-ro, Gangseo-gu, Seoul, Republic of Korea

電話：+82-10-4772-1075（国際）· 070-7500-7795（韓国国内）

営業時間：平日 09:00-18:00 KST