SECURITY

Mirelyは医療用顕微鏡リモートコンサルテーションプラットフォームとして、ISO 27001の管理策および厚生労働省「3省2ガイドライン」に準拠したセキュリティ設計を採用しています。本ページでは、Mirelyのセキュリティへの取り組みについてご説明します。

1. セキュリティ基本方針

• ✦医療情報を扱うプラットフォームとして、機密性・完全性・可用性の3原則を遵守
• ✦ISO 27001 Annex Aの管理策に基づくセキュリティ設計
• ✦3省2ガイドライン（厚生労働省・経済産業省・総務省）への技術的対応
• ✦継続的なセキュリティ改善のPDCAサイクルの実施

2. 通信の暗号化

2.1 エンドツーエンド暗号化

コンサルテーションセッションの映像・音声は、WebRTCのDTLS/SRTPプロトコルにより、エンドツーエンドで暗号化されます。第三者が通信内容を傍受することは技術的に不可能です。

2.2 API通信の保護

すべてのAPI通信はTLS 1.2以上（HTTPS）で暗号化されています。

• ✦WebRTC映像/音声: DTLS + SRTP (エンドツーエンド暗号化)
• ✦API通信: HTTPS (TLS 1.2+, AES-256-GCM)
• ✦リアルタイム通信: WSS (WebSocket Secure)
• ✦データベース保存時: AES-256暗号化
• ✦iOS Keychain: ハードウェアレベル暗号化

3. 認証・アクセス制御

3.1 認証方式

• ✦メール/パスワード認証 + Apple/Googleサインイン
• ✦セッショントークン (JWT) による二重認証
• ✦ログインセッションタイムアウト (アイドル30分/絶対12時間)
• ✦ブルートフォース攻撃の自動検知・防御

3.2 アクセス制御

• ✦Row Level Security (RLS): データベース全テーブルで行レベルのアクセス制御を適用
• ✦セッション参加者検証: コンサルテーションは参加者のみがアクセス可能
• ✦ロールベースアクセス制御: ユーザーの役割に基づく権限管理
• ✦フレンドシステム: 承認済みのコネクションのみでセッション開始可能

4. データ保護

4.1 保存データの保護

• ✦データベース: AWS上のAES-256暗号化ストレージ
• ✦ファイルストレージ: AWS S3サーバーサイド暗号化 (SSE)
• ✦標本画像: セッション参加者のみアクセス可能なRLSポリシー適用
• ✦患者情報の直接保存は行わない設計

4.2 プライバシー保護

• ✦ユーザーが情報公開レベルを制御できるプライバシー設定
• ✦施設名・個人情報の自動マスキング機能
• ✦iOS: 画面録画検出・遮蔽機能によるスクリーンキャプチャ防止
• ✦オンラインステータスの表示制御

5. 監査ログ

• ✦すべてのログイン・認証イベントを記録
• ✦セッションの開始・参加・終了を自動記録
• ✦データアクセス・操作履歴の追跡
• ✦不審なアクティビティの自動検知
• ✦医療記録保存要件に準拠した7年間のログ保持
• ✦ログの改ざん防止機構

6. インシデント対応

• ✦24時間体制のインシデント検知システム
• ✦重大度に応じた4段階の対応手順
• ✦個人情報保護法に基づく通知義務への対応
• ✦定期的なセキュリティレビューの実施

7. インフラストラクチャ

• ✦Supabase Cloud (AWS): SOC 2 Type II, ISO 27001認証済みインフラ
• ✦Vercel: SOC 2 Type II認証済みホスティング
• ✦日次自動バックアップ
• ✦SSL/TLS証明書の自動管理

8. 準拠するガイドライン・規格

• ✦ISO/IEC 27001:2022 (情報セキュリティマネジメント) — 設計レベルで準拠
• ✦厚生労働省「医療情報システムの安全管理に関するガイドライン」第6.0版
• ✦経済産業省・総務省「医療情報を受託管理する情報処理事業者向けガイドライン」
• ✦個人情報保護法

9. セキュリティに関するお問い合わせ

セキュリティに関する脆弱性の報告やお問い合わせは、以下までご連絡ください。