Kintaria のセキュリティ
Kintaria は、人生で弱い瞬間にある人々の健康情報を扱っています。私たちはそれを真剣に受け止めています。このページには、今日整っているもの、これから来るもの、そしてまだ整っていないものを記載しています — 監査人だけでなく、私たちに何を託しているのかを知りたいご家族のために書かれています。
1. 今日整っているコントロール
すべてのテーブルで行レベルセキュリティ (RLS)
データベースのすべての行は、Postgres 自体の中で家族メンバーシップのチェックによって守られています。アプリのコードにバグがあっても、データベースは他の家族のデータを返すことを拒否します。
すべての変更に監査ログ
ワークスペースのコンテンツに対するすべての挿入・更新・削除は、監査テーブルに 1 行を書き込みます — 誰が、何を、いつ。トリガーベースで、アプリのコードでは回避できません。
転送時・保存時の暗号化
すべての接続は TLS 1.2+ を使用します。データベースのストレージとファイルは、基盤となるプロバイダー (Supabase / Postgres / Supabase Storage) によって保存時に暗号化されます。
期限付きの共有リンク
「医師と共有」のリンクは 32 バイトのランダムトークンを使用し、自動的に期限切れ (1〜90 日) になり、いつでも即座に取り消せます。受信者はワークスペースの他のメンバーも、選択されたセクション以外のデータも見ることができません。
パスワードなしのマジックリンクログイン
ログインはメールで送られる一度限りのリンクを使います。漏えいしたり、再利用されたり、フィッシングで盗まれたりするパスワードはありません。セッションは端末に紐づく HTTP-only クッキーです。
ケアギバー専用ノート
ノートはオーナー + ケアギバーにのみ見え、親ロールとオブザーバーには隠すようにマーク付けできます。サーバー側で強制されます — ケアギバー以外のユーザーは API を直接呼んでも隠しノートを書けません。
サービスキーの隔離
Supabase の特権サービスキーはサーバーのみに置かれ、ブラウザに送られることはありません。アプリは通常のトラフィックでは公開キーを使い、管理操作 (デモのシード、共有リンクのデコード) のときだけ特権キーに切り替えます。
セキュリティヘッダー
Strict-Transport-Security、X-Frame-Options DENY、X-Content-Type-Options nosniff、Referrer-Policy strict-origin-when-cross-origin、Permissions-Policy でカメラ/マイク/位置情報を拒否。アプリのサブドメインはインデックスされないように構成されています。
2. 誰が何を見られるか
ワークスペース内には 4 つのロールがあり、それぞれ段階的にアクセス範囲が狭くなります。そのいずれも、他の家族のワークスペースを見ることはできません — これはポリシーではなく、データベース層での保証です。
| ロール | 読み取り | 書き込み | ケアギバー専用ノート |
|---|---|---|---|
| オーナー | ワークスペース内のすべて | すべて | 読み書き可 |
| ケアギバー | ワークスペース内のすべて | ワークスペース削除以外すべて | 読み書き可 |
| 親 (ケアを受ける本人) | ケアギバー専用ノート以外すべて | ノート、プロフィール、予約、薬、ドキュメント | 非表示 |
| オブザーバー | ケアギバー専用ノート以外すべて | なし | 非表示 |
Kintaria のスタッフは、通常の運用ではワークスペースのコンテンツを読むことはできません。マイグレーションとインシデント対応にエンジニアリングチームが使う特権データベースロールは記録され、範囲が限られています。私たちはあなたのご家族のデータを黙って覗くことはありません。
3. データの保存場所
すべてのワークスペースコンテンツは、米国リージョンの単一の Supabase プロジェクト (データベース + ストレージ) に保存されます。リージョン間レプリケーションはありません。ワークスペースページの CDN エッジキャッシュもありません。
公開サイト (thrive.me) は Vercel と Cloudflare のネットワーク上にホストされ、静的で個人情報を含まないコンテンツ (ランディングページ、ポリシー文、マーケティングコピー) のみを提供します。音声回線の電話番号検索は Fly.io 上で動きます。
4. ベンダーリスト
あなたのデータに触れるすべての外部サービスを、平易な言葉で、そしてそれぞれの Business Associate Agreement (BAA) の状況とともに記載します:
| ベンダー | 役割 | BAA |
|---|---|---|
| Supabase | データベース + ストレージ + 認証 | Pro プラン、BAA 利用可能 — 手続き中 |
| Vercel | アプリ + 公開サイトのホスティング | BAA には Enterprise プランが必要 — まだ未対応 |
| Anthropic (Claude) | AI 機能: 受診サマリー、検査の抽出、ドキュメントのタグ付け — オプトイン時のみ | BAA には Enterprise ティアが必要 — 協議中 |
| Resend | トランザクションメール (招待、通知、サマリー) | BAA 利用可能 — 手続き中 |
| Twilio | 緊急アラート用 SMS (オプトイン) | BAA 利用可能 — 手続き中 |
| Cloudflare | 公開サイト thrive.me の DNS + エッジ | ワークスペースデータはここを通りません |
| Plausible | クッキー不要でプライバシー重視のサイト解析 | 集計カウントのみ、PII なし |
5. AI 機能
AI 機能 (受診サマリー、ドキュメント分類、写真からの検査結果抽出) は デフォルトでオフ です。ワークスペースのオーナーが「設定 → AI 機能」で明示的にオンにする必要があります。AI がオフのとき、ワークスペースのコンテンツはどの AI サービスにも送信されません。
AI がオンのとき: コンテンツは TLS 接続で Anthropic (Claude) に送信されます。Anthropic は API コンテンツを自社モデルの学習には使用しません (これはデフォルトのポリシーで、オプトインではありません)。Anthropic は信頼と安全のレビューのため API コンテンツを最大 30 日保持し、その後削除します。私たちは各機能に必要な最小限のコンテンツのみを送信します。AI を使うすべてのページには、AI がプレビュー段階であり結果を確認することを推奨するバナーが表示されます。
6. 医療提供者との共有
「医師と共有」機能は、ケアギバーが医師、救急室、ソーシャルワーカー、弁護士に、親の医療記録の読み取り専用ビューをアカウント作成なしで渡せるようにするものです。トークンは 32 バイトの暗号学的にランダムな文字列で、事実上推測できません。どのセクションを含めるかはあなたが選びます。リンクは自動的に期限切れになります。いつでも取り消せます。各アクセスはカウントされます。受信者は選択したセクション以外のものは何も見られません — 他の家族メンバーやワークスペースの履歴も含めて。共有ページは検索エンジンにインデックスされません。
URL は一度限りのパスワードのように扱ってください。公開フォーラムに貼らないでください。機微な受信者には、生の SMS ではなく患者ポータルメッセージや電話で送ってください。
7. HIPAA についての姿勢 — 率直に
Kintaria はまだ HIPAA 対象事業者ではありません。 私たちはローンチ前の段階で、ワークスペースのデータに触れるすべてのベンダーと Business Associate Agreement を結ぶには至っていません。
アーキテクチャは HIPAA に整合する管理 (監査ログ、暗号化、アクセス制御、必要最小限の開示、セキュアな開発慣行) で構築されています。正式な BAA フレームワーク、Notice of Privacy Practices、HIPAA が求める運用ポリシー (インシデント対応、違反通知、スタッフ研修、ビジネスアソシエイトの一覧) は、すべてローンチ前準備のロードマップ上にあります。それらが完了し、Supabase、Anthropic、Resend、Twilio との BAA が署名されるまでは、今日 HIPAA 契約による保護が必要なものはアップロードしないでください。
BAA フレームワークが完全に整った正式リリースに到達したら、本ページは更新され、必要とする組織 (クリニック、FQHC、ケアコーディネーション会社など) に BAA を提供します。
テキサス州 Responsible AI Governance Act (TRAIGA、2026年1月1日施行)。 テキサス州は、ライセンスを持つ医療従事者に対し、診断や治療における AI の使用について患者に対する明示的な書面開示を求めるようになりました。Kintaria の AI 機能 (受診サマリー、検査の抽出、ドキュメントのタグ付け) はデフォルトでオフであり、ワークスペースオーナーが機能ごとに明示的にオプトインする必要があります — 家族のケアギバーが持参するノートをレビューするテキサス州の臨床医が、必要なときに AI の関与を正確に開示できるよう設計されています。
HHS の HIPAA セキュリティルール改訂 (最終ルールは 2026 年後半に予定)。 提案ルールは、ePHI の転送時・保存時の暗号化 (Kintaria では既に実施)、重要システムおよびリモートシステムでの MFA (現在オプションの 2 段階ログインを提供)、患者データに触れる AI システムに対する明示的な取り扱い要件 (書面のインベントリ、継続的な脆弱性監視) を義務化します。私たちの現状の姿勢は提案されている管理の大半と整合しており、最終ルールが確定した時点で本セクションを更新します。
8. データ保持と削除
ワークスペースのデータは、そのワークスペースが存在する間保持されます。ワークスペースを削除すると: すべてのコンテンツは 7 日以内にデータベースからハード削除されます。データベースのバックアップ (取得時点のデータを含む) は独自の保持スケジュールで期限切れになります — 通常は時点リカバリ用に 7 日間保持され、その後削除されます。ドキュメント保管庫のファイルはストレージから直ちに削除されます。削除された家族を参照する監査ログ行はカスケード削除されます。他のワークスペースをお持ちでない場合、ご要望によりアカウントはハード削除されます — info@kintaria.com までメールしてください。
削除前にワークスペース全体を ZIP でダウンロードできる「データのエクスポート」機能は、近いロードマップに入っています。それまでは info@kintaria.com にご依頼いただければ、手作業でパッケージ化してお送りします。
9. セキュリティ問題の報告
Kintaria でセキュリティ問題を見つけられた場合 — 他の家族のデータを見る方法、認証が必要なはずなのにされていないエンドポイント、公開アーティファクトに漏えいしたシークレット、その他脆弱性のように見える何かでも — security@thrive.me までメールするか、(888) 704-0999 までお電話ください。営業日 1 日以内に受領をご連絡します。
10. 運用上の慣行
- プロダクションインフラ (Supabase、Vercel、GitHub、Cloudflare、ドメインレジストラ) に触れるすべてのアカウントで二要素認証を必須としています。
- プロダクションのシークレット (API キー、DB パスワード) は Vercel の環境変数と Supabase のダッシュボードにあります。バージョン管理にはコミットしません。リポジトリは非公開です。
- データベースのマイグレーションはバージョン管理され、プロダクション適用前にエンジニアリングチームがレビューし、Supabase のマイグレーションツール経由で適用します (プロダクション DB への直接編集はしません)。
- 依存関係の脆弱性は GitHub Dependabot で追跡し、セキュリティアドバイザリは 1 週間以内にレビューします。
11. 今後の予定
- Supabase、Anthropic、Resend、Twilio との BAA 締結の完了。
- SOC 2 Type 1 への準備 — ポリシーのドキュメント化、エビデンスの収集、コントロールフレームワークの確認。目標: 正式リリース後 1 年以内。
- ワークスペース設定ページからのセルフサービス「データのエクスポート」ダウンロード。
- セルフサービスでのワークスペース削除 (現在はメールでの依頼が必要)。
- ケアギバーが変更履歴を見られるよう、ワークスペース内に監査ログビューア。
12. お問い合わせ
info@kintaria.com までメールいただくか、(888) 704-0999 までお電話ください。私たちはすべてのメッセージに返信します。入口にボットを置いた VC 出資のスタートアップではありません。