コンプライアンス
最終更新: 2025年2月
規制フレームワークの概要
当社のコンプライアンスプログラムは、様々な管轄区域にわたる複数の規制フレームワークの要件を満たすように設計されており、医療規制(HIPAA、GDPR、PIPL、および現地の医療法)、医療機器規制(FDA、NMPA、CEマーキング要件)、データ保護およびプライバシー法(CCPA、GDPR、PIPL)、情報セキュリティ基準(ISO 27001、SOC 2)、品質管理基準(ISO 13485、ISO 9001)、および業界固有のガイドラインとベストプラクティスを網羅しています。
HIPAAコンプライアンス(米国)
米国での事業において、当社は保護対象保健情報(PHI)を保護するためのポリシーと手順を定めたプライバシー規則、電子PHIのための管理的、物理的、技術的な保護措置を講じたセキュリティ規則、データ侵害時の適時通知の手順を定めた侵害通知規則を含む包括的なHIPAAコンプライアンスを維持しています。すべての対象事業者および下請業者との事業提携契約(BAA)を締結し、PHIへのアクセスを各機能に必要なものに制限する最小必要原則を適用し、定期的なHIPAAリスク評価と是正、プライバシー責任者およびセキュリティ責任者の指定、およびHIPAA要件に関する年次従業員研修を実施しています。
SOC 2 Type IIコンプライアンス
当社はSOC 2 Type II認証を維持し、セキュリティと運営の卓越性への取り組みを実証しています。システムは不正アクセスから保護されるセキュリティ、コミットどおりに運用可能な可用性、完全、正確、かつ承認された処理の完全性、機密と指定された情報の保護としての機密性、およびコミットメントに従った個人情報の収集、使用、保持、開示としてのプライバシーを確保しています。独立した公認会計士事務所による年次第三者監査を実施し、年間を通じた継続的な監視と統制テストを行っています。
GDPRコンプライアンス(欧州連合)
欧州経済領域のユーザーに対して、当社は一般データ保護規則を遵守し、同意、契約、法的義務、または正当な利益に基づく処理としての法的根拠、アクセス、訂正、消去、ポータビリティ要求を履行するメカニズムとしてのデータ主体の権利、高リスク処理活動に対して実施するデータ保護影響評価(DPIA)、GDPRコンプライアンス監督のために任命されたデータ保護責任者(DPO)、すべてのデータ処理操作の記録を維持する処理活動の記録、標準契約条項と適切な保護措置を講じた越境転送、システム設計と開発にデータ保護を組み込むプライバシー・バイ・デザイン、および監督当局への72時間侵害通知手順を実施しています。
FDAおよび医療機器規制
当社のソフトウェアとプラットフォームは、FDA 21 CFR Part 820(医療機器の品質システム規制)、FDA医療機器としてのソフトウェア(SaMD)ガイドライン、IEC 62304(医療機器ソフトウェアのライフサイクルプロセス)、IEC 62443(産業オートメーションおよび制御システムのセキュリティ)、中国国家薬品監督管理局(NMPA)の要件、EU医療機器コンプライアンスのためのCEマーキング要件、ISO 14971に基づくリスク管理、および臨床評価と市販後監視手順を含む適用される医療機器規制に準拠しています。
品質管理システム
当社の品質管理システムは、安全で効果的な医療技術の一貫した提供を保証し、ISO 13485:2016(医療機器品質管理システム)およびISO 9001:2015(品質管理システム)に準拠しています。設計管理と変更管理手順、サプライヤー品質管理とベンダー評価、是正および予防措置(CAPA)プロセス、文書管理と記録管理、マネジメントレビューと継続的改善、および定期的な内部監査と外部認証監査を実施しています。
情報セキュリティ管理
当社は、ISO 27001:2022(情報セキュリティ管理システム)およびISO 27701(プライバシー情報管理)に準拠し、保存データのAES-256暗号化、転送中のデータのTLS 1.3暗号化、多要素認証(MFA)要件、ロールベースのアクセス制御(RBAC)、セキュリティ情報およびイベント管理(SIEM)、定期的な侵入テストと脆弱性評価、および24時間365日のセキュリティオペレーションセンター(SOC)監視を含む堅牢な情報セキュリティ管理を維持しています。
事業継続と災害復旧
当社は、サービスの可用性を確保するための包括的な事業継続計画を維持しており、定義された目標復旧時間(RTO)を持つ事業継続計画(BCP)、定義された目標復旧時点(RPO)を持つ災害復旧計画(DRP)、冗長性のための地理的に分散したデータセンター、暗号化されたオフサイトストレージへの定期的なバックアップ手順、年次の事業継続テストとテーブルトップ演習、インシデント対応手順とエスカレーションプロトコル、ステークホルダー通知のためのコミュニケーション計画、および99.9%の稼働時間サービスレベル契約(SLA)を実施しています。
ベンダーおよび第三者リスク管理
当社は、第三者ベンダーおよびサービスプロバイダーに関連するリスクを慎重に管理しており、ベンダーオンボーディング前のデューデリジェンス評価、ベンダー契約におけるセキュリティとコンプライアンス要件、定期的なベンダーセキュリティ評価と監査、医療データベンダーとの事業提携契約、サブプロセッサーとのデータ処理契約、ベンダーセキュリティ態勢の継続的な監視、ベンダーインシデント対応調整手順、および年次ベンダーリスク再評価を実施しています。
従業員研修と意識向上
すべての杏泰ヘルスケア従業員は、年次HIPAAプライバシーおよびセキュリティ研修、データ保護およびGDPR意識向上研修、情報セキュリティ意識向上研修、開発チーム向けのセキュアコーディング実践、フィッシングシミュレーションとソーシャルエンジニアリング意識向上、役割固有のコンプライアンス研修、新入社員向けコンプライアンス要件オリエンテーション、および規制変更と要件に関する定期的な更新を含む包括的なコンプライアンス研修を受けています。
認証と証明
当社は、ISO 27001:2022(情報セキュリティ管理、認証済み)、ISO 13485:2016(医療機器品質管理、認証済み)、SOC 2 Type II(セキュリティ、可用性、機密性、年次証明)、HIPAA(事業提携コンプライアンス、第三者評価による自己証明)、GDPR(データ保護コンプライアンス、DPO監督による自己証明)、CEマーキング(EU医療機器コンプライアンス、該当する場合)、およびNMPA登録(中国医療機器承認、該当する場合)を含む認証とコンプライアンス証明を維持しています。
監査報告書と文書
当社は資格のある当事者にコンプライアンス文書を提供しており、SOC 2 Type II報告書はNDAの下でエンタープライズ顧客に提供可能、ISO認証文書はリクエストに応じて提供可能、ベンダー評価のためのセキュリティ質問票の回答、GDPRコンプライアンスのためのデータ処理補遺(DPA)、HIPAAコンプライアンスのための事業提携契約(BAA)、および侵入テストエグゼクティブサマリー(リクエストに応じて)を含みます。文書のリクエストはcompliance@suntopai.comにご連絡ください。
インシデント対応
当社は、24時間365日のインシデント検出と対応能力、定義されたインシデント分類と重大度レベル、エスカレーション手順とコミュニケーションプロトコル、フォレンジック調査と根本原因分析、規制の期限内での侵害通知、インシデント後のレビューと教訓、および定期的なインシデント対応訓練とテーブルトップ演習を含む包括的なインシデント対応手順を維持しています。
倫理と腐敗防止
当社はすべてのビジネス取引において、すべての従業員に対するビジネス行動および倫理規範、贈収賄防止および腐敗防止ポリシー、利益相反開示要件、贈答品および接待に関するガイドライン、公正競争および独占禁止コンプライアンス、および内部通報者保護と匿名報告チャネルを含む高い倫理基準を維持しています。
コンプライアンスに関する懸念の報告
コンプライアンスに関する懸念がある場合、または潜在的な問題を報告したい場合は、compliance@suntopai.com(メール)、コンプライアンスホットライン(匿名報告可能)、dpo@suntopai.com(データ保護責任者)、またはsecurity@suntopai.com(セキュリティインシデント)までご連絡ください。すべての報告は徹底的かつ機密に調査され、善意の報告には内部通報者保護が適用されます。
継続的改善
当社はコンプライアンスプログラムの継続的改善に取り組んでおり、ポリシーと手順の定期的なレビューと更新、規制変更と新たな要件の監視、監査と評価からのフィードバックの組み込み、コンプライアンス技術と自動化への投資、業界団体や規制当局との連携、および業界のベストプラクティスとのベンチマークを実施しています。
ご質問がありましたら、お気軽にお問い合わせください。
お問い合わせ