Refractory Chronic Cough (RCC) Therapeutics: Pipeline Analysis & Competitive Landscape 2025–2035. $15B Market Hidden in Plain Sight

11.05.2026

プライバシーポリシー — 日本版

Hyfe CoughMonitor Suite (CMS)

プライバシーポリシー — 日本版

日本国内で実施される治験に参加される方へ

Hyfe Inc.(以下、「Hyfe」、「当社」といいます)は、Hyfe CoughMonitor Suite(以下、「CMS」)の開

発者および運営者です。本ポリシーは、日本国内で実施される治験(以下、「本治験」といいます)に

おいて CMS が使用される際、CMS を通じて収集される情報(以下、「CMSデータ」)を Hyfe がどの

ように取り扱うかを説明するものです。 本ポリシーは、個人情報保護法(2003年法律第57号、その

後の改正を含む)(「APPI」)、医療機器の臨床試験の適正実施に関する省令(1997年厚生労働省

令第36号) (「J-GCP」)、PMDA令第169号、および個人情報保護委員会(「PPC」)のガイドラインの

要件を反映して作成されています。

本ポリシーは英語で作成されていますが、本治験の被験者には日本語版が提供され、被験者に関

する規定については日本語版が優先されます

1. 適用範囲および役割

本ポリシーは、本治験に関連してHyfeが収集するCMSデータの取り扱いについて適用されます。本

ポリシーは、CMSの運営者としてのHyfeの役割、およびその役割において個人情報保護法(APPI)

上の「個人情報取扱事業者」となり得ることを説明しています。また、本治験の治験依頼者(以下、

「スポンサー」)および本治験の治験責任医師(以下、「治験責任医師」)は、APPIおよびJ-GCPに基

づく独自の義務を負っており、それぞれ独自の通知をあなたに提供します。

• Hyfe Inc. — CMSの開発者および運営者。米国に拠点を置くインフラ上で仮名化データを処

理します。

• 治験責任医師および医療機関 — 本治験の被験者の身元とCMS治験IDを結びつけるリンク

キーを保持しており、特定可能な治験データに関するAPPI上の「個人情報取扱事業者」とな

ります。

2. 基本原則

• 透明性:当社は、CMSの利用によりどのようなデータが収集され、どのように使用され、どこ

へ流れるかを本ポリシーにおいて明確に説明します。

• 利用目的の限定:当社は、CMS データを、本ポリシーおよび本治験の研究プロトコル(以

下、「研究プロトコル」)に規定された目的のみに使用されます(APPI 第 17 条)。

• データの最小化:CMSは、音声録音、直接識別子、または不要なデバイスメタデータを収集

しないよう設計されています。

• セキュリティ:転送中および保存時の業界標準の暗号化、役割ベースのアクセス制御、およ

び監査ログ(APPI 第 23 条)を行います。

• 設計上の仮名化:Hyfeが保有するデータは、それだけではHyfeがあなたを特定するために

使用することはできません。リンクキーは、治験責任医師だけが保有しています。

3. 収集されるデータ

CMSは、ウェアラブルデバイス上のモデルを使用して音響信号をローカルで処理するように設計さ

れています。生の音声データは、デバイス外で記録、保存、または送信されることはありません。以

下のカテゴリーのデータが収集され、Hyfeが管理するインフラストラクチャに送信されます:

• 咳イベントデータ:デバイス上で検出された咳イベントの候補のタイムスタンプと、モデル信頼

度指標。これらの項目には音声データや直接的な識別子は含まれません。

• デバイスの状態および装着時間データ:バッテリー残量のタイムスタンプ、ファームウェア

バージョン、同期イベント、センサーの健全性指標、および装着/非装着の期間。

• 研究識別子:Hyfeによって生成され、治験責任医師によってのみあなたに紐付けられる、ラ

ンダムに割り当てられた研究ID。Hyfeは紐付けキーを保持しておらず、独自の手段であなた

を特定することはできません。

• 技術ログ:IEC 62304およびIEC 81001-5-1に基づき、CMSの安全性、信頼性、およびサイ

バーセキュリティを維持するために使用されるソフトウェアエラーログおよび診断テレメトリ。

CMSが収集しない情報:音声記録、氏名、住所、電話番号、メールアドレス、生年月日、マイナン

バー(個人番号)、健康保険識別子、その他の直接的な識別子。

4. 個人情報保護法(APPI)に基づくデータの分類

第3項に記載されたデータは、治験責任医師が別途保持するリンクキーと組み合わせた場合にの

み、技術的にあなたと結びつけることが可能です。 Hyfeは当該データからあなたを特定することは

できないため、当該データはAPPI第2条に定める「個人情報」には該当しません。しかしながら、Hyfe

は、研究データに関するPPCのガイダンスに準拠し、当該データが個人情報であるかのように、本ポ

リシーに定められた保護措置を自主的に適用します。

5. 利用目的(APPI第17条)

Hyfeは、以下の特定の目的のためにCMSデータを扱います。新たな同意またはその他の法的根拠

がない限り、これ以外の目的で扱うことはありません:

• CMSプラットフォームの運営および本治験のデータ収集機能の提供;

• 研究の予め定められたエンドポイントおよび目的のために、咳のタイムスタンプおよび装着

時間データを分析すること;

• IEC 62304、IEC 81001-5-1、ISO 13485、およびISO 14971に基づき、CMSソフトウェアおよ

びウェアラブルデバイスの安全性、セキュリティ、および信頼性を維持すること;

• PMDA、IRB/CRB、およびその他の当局に対する規制上の義務の遵守;

• 研究参加者、治験責任医師、およびスポンサーからの問い合わせに対応すること;

• 研究プロトコルおよびインフォームド・コンセントで許可されている場合、集計され、個人を特

定できない形式で、CMSモデルの科学的および技術的性能を向上させること。

6. 米国への越境移転(APPI第28条)

CMSデータは、アメリカ合衆国に所在するクラウドインフラ(Amazon Web ServicesやGoogle Cloud

Platformなどのプロバイダーが米国リージョンで運営する)上で保存および処理されます。したがっ

て、お客様のデータが米国へ移転されることは、通常のCMS運用の一環として行われます。

米国は、PPC(個人情報保護委員会)により、日本と同等のデータ保護制度を有する国として指定さ

れていません。 米国には、単一の包括的な連邦個人情報保護法が存在しません。その代わりに、

個人情報保護は、分野別の連邦法(例えば、対象となる医療活動に関するHIPAAや、FTC法におけ

る不公正または欺瞞的な行為の禁止など)、州法(例えば、カリフォルニア州消費者プライバシー法

/カリフォルニア州プライバシー権法)、および自主規制の枠組みの組み合わせによって規律されて

います。 米国の法的手続き(例えば、召喚状や「保存通信法(Stored Communications Act)」に基

づく命令など)に基づき、政府によるデータへのアクセスが行われる可能性があります。これらの特

徴は、日本の個人情報保護法(APPI)の制度とは本質的に異なります。

お客様のデータが米国へ転送される際、Hyfeは、APPIの下で要求される保護措置と実質的に同等

の保護を提供するとHyfeが考える以下の安全対策を適用します:

• Hyfeとスポンサーとの間で締結された、役割、責任、セキュリティ要件、およびインシデント対

応義務を定めた書面による品質保証契約;

• Hyfeのサービスプロバイダーおよびサブプロセッサーに対し、APPIに準拠した機密保持、セ

キュリティ、および利用目的の限定に関する要件を課す契約上のデータ保護条項;

• ISO/IEC 27001およびSOC 2 Type IIのコントロールに準拠した情報セキュリティマネジメント

システム;

• 転送中のデータはTLS 1.2以降、保存中のデータはAES-256を使用して暗号化;

• 役割ベースのアクセス制御、多要素認証、および参加者データへのアクセスログの記録;

• 本ポリシーの第8条に規定される場合を除き、参加者データを第三者に転送しないこと;

• 報告義務のあるデータインシデントが発生した場合、APPI第26条に基づき、スポンサーおよ

びPPCへの通知を含む文書化されたインシデント対応プロセス。

本治験のインフォームド・コンセントプロセスの一環として、APPI第28条およびPPC施行規則第17条

に基づき、この越境移転について別途、具体的な同意を提供していただくよう求められます。規制上

の目的で特定のデータを保持する必要がある場合を除き、その同意はいつでも撤回することができ

ます(第10項を参照)。

7. セキュリティ対策

Hyfeは、APPI第23条およびPPCの「セキュリティ管理措置」ガイダンスに従い、処理に伴うリスクに

適切な技術的および組織的措置を講じており、これには以下が含まれます:

暗号化

転送中はTLS 1.2以上、クラウドストレージ上の保存データはAES-256。

アクセス制御

役割ベースのアクセス制御、最小権限の原則、研究データにアクセスする全担当者に対する多要素認証。

ログ記録と監視

参加者データへのアクセスに関する継続的なログ記録、セキュリティイベントの監視、異常検知。

デバイスのセキュリティ

暗号的に署名されたファームウェア;セキュアなペアリング;音響信号のデバイス内処理(音声データがデバイス外に流出しない)。

サプライヤー管理

すべてのサブプロセッサーとの間でデータ保護に関する契約条項を定める;オンボーディングの文書化および定期的な見直し。

ガバナンス

ISO 13485 品質マネジメントシステム;ISO 14971 リスクマネジメント;ISO/IEC 27001 / SOC 2 Type II に準拠した情報セキュリティマネジメント。

インシデント対応

24時間365日のインシデント対応;該当する場合、APPI第26条に基づき、スポンサーおよびPPCへの通知。

8. データの共有

HyfeはCMSデータを販売しません。Hyfeは、以下の状況において、かつ厳密に必要な場合に限り、

CMSデータを開示します:

• スポンサーは、本治験および本治験に関連する規制当局への申請を目的として、仮名化さ

れた形式のCMSデータを受け取ります。

• 治験責任医師および治験施設は、J-GCPに基づき臨床記録に組み込むことができるよう、

治験IDに紐付けられたCMSデータを受け取ります。

• 規制当局(PMDA、PPC、IRB/CRB)は、日本の法律、研究プロトコルにより要求される場

合、または適法な要請に応じるために、データを受け取る場合があります。

• Hyfeのサービスプロバイダー(例:クラウドインフラ、分析、サポート)は、書面によるデータ保

護条項に基づき、Hyfeに代わってデータを処理する場合があります。これらのプロバイダー

は、データを自らの目的で使用することはありません。

• 法的手続き:Hyfeは、適用される法律により開示が義務付けられる場合、データを開示する

ことがあります。Hyfeが、仮名化されたCMSデータの開示を要求する米国の法的要請を受

けた場合、Hyfeは、法的に許容される範囲で過度に広範な要求に対して異議を申し立て、許

容される範囲でスポンサーに通知します。

9. APPIに基づくお客様の権利

APPIは、ご自身の個人情報に関して以下の権利を付与しています。Hyfeは仮名化されたデータの

みを保有しており、ご本人を特定することはできないため、これらの権利の行使は、主にリンクキーを

保有する治験責任医師を通じて行われます。治験施設は、インフォームド・コンセント書においてそ

の手続きについて説明します。

• 開示請求権(APPI第33条):ご自身に関する保有個人情報、利用目的、および第三者提供

の記録について、開示を請求することができます。

• 訂正の権利(APPI第34条):不正確な個人情報の訂正、追加、または削除を請求することが

できます。

• 利用停止の権利(APPI第35条):法律で認められている場合、ご自身の個人情報の利用停

止またはデータの削除を請求することができます。

• 第三者提供に対する異議申立ての権利:同意書に規定された規制上および科学的整合性

に関する例外を除き、お客様のデータが第三者に提供されないよう請求することができま

す。

• 同意の撤回権:CMSデータの収集および国境を越えた移転について、ご自身が与えた同意

を撤回することができます。撤回により、今後の収集は停止されます。ただし、すでに収集さ

れ、規制上の目的で合法的に保持されているデータは遡及的に削除されることはありません

が、第10項の保持規則に従って取り扱われます。

• 苦情申立ての権利:PPC(https://www.ppc.go.jp/)または研究実施施設を通じて苦情を申し

立てることができます。

10. 保存

CMSデータは、第5項に記載された目的のために必要な期間、または日本の法律、J-GCP、PMDA

の規制、およびICH E6 GCPで要求される期間のみ保持されます。一般的な保持原則は以下の通り

です:

• 仮名化された試験データ:J-GCPおよびPMDAが要求する期間以上、保存されます。一般的

には、(a) 本治験終了後5年、または (b) 研究プロトコルおよびHyfeの品質計画に規定され

た適用される保存期間のいずれか遅い方までです。

• 技術ログおよび機器診断データ:IEC 62304およびIEC 81001-5-1に基づき、ソフトウェアの

安全性およびサイバーセキュリティを維持するために必要な期間、保存されます。

• 保存期間経過後、データは安全に削除されるか、再識別が合理的に不可能となる程度まで

さらに匿名化されます。

11. 小児

CMSは、承認された小児試験以外での小児による使用を意図したものではありません。研究プロト

コルで未成年者の参加が許可されている場合、J-GCPおよび研究プロトコルに従い、法定代理人の

インフォームド・コンセントが必要となります。日本の成年年齢は18歳です(2022年4月1日施行の民

法第4条の改正による)。

12. 自動化された意思決定

CMSは、咳イベントの候補を検出するために機械学習モデルを使用します。CMSは、法的効果やそ

れに類する重大な影響を及ぼすような、あなたに関する自動的な決定を行うことはありません。臨床

上の決定は、引き続きあなたの主治医および治験責任医師が行います。

13. 準拠法および裁判管轄

本ポリシーは、日本法に準拠します。

14. 本ポリシーの更新

当社は、業務上の変更や規制の変更を反映させるため、本ポリシーを更新する場合があります。被

験者に影響を及ぼす重要な更新については、治験施設を通じてお知らせいたします。APPIまたは

J-GCPにより新たなインフォームド・コンセントが必要となる場合(例えば、新たな利用目的や第三者

受領者の新たな区分など)、当該変更が被験者に適用される前に、治験責任医師を通じて同意を取

得いたします。

15. お問い合わせ

本ポリシーまたはCMSデータの取り扱いについてご質問がある場合は、まず治験施設までご連絡く

ださい。治験施設では解決できない事項については、以下までご連絡ください:

Hyfe Inc. — データ保護室

Eメール:privacy@hyfe.ai

住所:1209 Orange Street, Wilmington, Delaware 19801, USA

個人情報保護委員会(PPC)

独立した助言や苦情の申し立てについては:https://www.ppc.go.jp/

発効日:2026/5/11 バージョン:v2.2