プライバシーポリシー

本プライバシーポリシーは、TotteDicom（以下「本アプリ」）に適用されます。本アプリは、医療施設内で iPhone カメラから撮影した参照画像を DICOM 形式に変換し、院内 PACS（DICOMweb サーバ）にアップロードするためのファイル変換・転送ツールです。

本アプリは医療機器ではありません。診断・診断補助・計測・病変強調・AI 解析の機能は持ちません。撮影画像は参照目的に限定されます。

開発元がデータを収集しないこと

本アプリは、撮影された医療画像・患者属性・操作ログを開発元のサーバーに一切送信しません。具体的には:

外部サーバーへの送信なし — 撮影画像、患者氏名・生年月日・性別・PatientID、監査ログ、端末識別情報を開発元のサーバーへ一切送信しません。
アナリティクス・トラッキングなし — Firebase / Google Analytics 等のアナリティクス SDK やトラッキングツールは含まれていません。App Tracking Transparency (ATT) 同意ダイアログも表示しません。
広告なし — 広告の表示や広告主へのデータ共有は行いません。
iCloud 同期なし — 撮影画像・データベース・設定はすべて isExcludedFromBackup 設定により iCloud バックアップ対象外です。
Photos ライブラリ非使用 — アプリ内カメラ撮影に限定されており、iPhone のカメラロールへの保存もカメラロールからの読み込みも行いません。
第三者提供なし — いかなる第三者にもデータを提供しません。

App Store Connect の Privacy Label は 「Data Not Collected」 で申告しています。

端末に保存されるデータ

以下のデータは、お使いの iPhone 内にのみ保存されます:

撮影された参照画像 — CryptoKit AES-GCM で暗号化、iOS Data Protection (Complete) で保護。PACS 送信が成功した検査の画像は、次回アプリ起動時のオーファン掃除で削除されます（最長 30 日）。
患者属性（PatientID、氏名カナ、生年月日、性別） — QR コードまたは手入力で取得した値を、暗号化された SQLite (GRDB) に保存。検査ごとに保管され、PACS 送信完了後に画像と同じタイミングで削除されます。
監査ログ — 操作履歴をハッシュチェーンで連結し、AES-GCM で暗号化して保管（既定 90 日、施設設定で変更可）。PatientID は HMAC-SHA256 でハッシュ化して記録され、平文では残りません。
認証トークン — PACS への Basic / Bearer / mTLS 認証情報を Keychain (kSecAttrAccessibleWhenUnlockedThisDeviceOnly) に保存。
アプリ設定（PACS 接続先、自動ログオフ時間、施設名・撮影者名等） — UserDefaults および Keychain に保存。

通信先について

本アプリは以下の通信を行います。通信先は施設管理者が設定するものであり、開発元は経由しません。

院内 PACS サーバ: DICOMweb (STOW-RS) で参照画像をアップロード。現バージョンでは同一 LAN 上の HTTP Basic 認証エンドポイントのみ UI でサポートしています（TLS 1.3 + 公開鍵 SHA-256 ピンニング、mTLS クライアント証明書認証は実装済みで、将来のリリースで UI から再有効化される予定です）。

通信先は施設の責任において設定・運用されるものであり、開発元のサーバを経由するものはありません。

ローカルネットワーク権限について

本アプリは iOS のローカルネットワーク権限（NSLocalNetworkUsageDescription）を要求します。これは院内 PACS（院内 LAN 上のプライベート IP アドレス）への DICOMweb 通信のためにのみ使用されます。Bonjour による自動検出も併用しますが、これは Apple が定める権限ダイアログを正しく発火させるための確証パターンであり、検出結果を保存・送信することはありません。

カメラ権限について

本アプリはカメラ権限（NSCameraUsageDescription）を要求します。カメラは参照画像の撮影および QR コード読み取りにのみ使用されます。撮影画像は前述の暗号化ストレージに保管され、iPhone のカメラロールには一切保存されません。

Face ID / Touch ID について

本アプリは Face ID / Touch ID（NSFaceIDUsageDescription）を要求します。これは以下の場面でのみ使用されます。

ログイン画面での認証セッション解錠（手動「Face ID で開く」ボタン、または自動ログオフ後の復帰時の自動プロンプト）
緊急サーバ設定モードへの入場（連続ネットワーク失敗時に PACS プロファイルのみ編集できるモード）

設定画面の入場や暗号鍵（DEK）アクセスには Face ID を使用しません。生体認証データ（顔・指紋）は iOS のセキュアエンクレーブ内でのみ処理され、本アプリが生体認証データそのものにアクセスすることはありません。アプリは認証の成否のみを受け取ります。

セキュリティ対策

現バージョンは UI で同一 LAN 上の HTTP Basic 認証エンドポイントのみサポート（TLS 1.3 + 公開鍵 SHA-256 ピンニング、Bearer (OIDC)、mTLS クライアント証明書認証は実装済みで、将来のリリースで UI から再有効化される予定）
端末ローカルストレージは CryptoKit AES-GCM で暗号化
Keychain はデバイスアンロック時のみアクセス可（kSecAttrAccessibleWhenUnlockedThisDeviceOnly）
自動ログオフ（既定 5 分、1〜30 分の 8 択で設定変更可）
スクリーンショット検知・画面録画検知・バックグラウンド時のプライバシーオーバーレイ
監査ログのハッシュチェーンによる改ざん検知

個人情報の取り扱いに関する利用者への注意

本アプリは患者属性および参照画像を端末内に一時保管する性質上、以下の点にご留意ください:

端末を共用する場合は、端末のパスコードロックおよび本アプリの自動ログオフ（既定 5 分）を必ず有効にしてください。
失敗送信は履歴画面の「再送する」で速やかに完了させ、端末内に残らないようにしてください。
端末を破棄・譲渡する際は、必ず本アプリをアンインストールするか、端末を初期化してください。
端末紛失時は施設の IT 部門へ即時連絡し、MDM によるリモートワイプを実施してください。

医療データに関する免責事項

本アプリは医療機器ではなく、診断・治療等の医療行為を行うものではありません。本アプリはあくまで参照画像の DICOM 変換および院内 PACS への送信を支援するツールであり、本アプリで撮影された画像を診断・治療判断に用いることはできません。診断には CT / MR / DR 等の正規の医療機器画像をご利用ください。

PrivacyInfo.xcprivacy（必要 API 申告）

本アプリは Apple が要求する PrivacyInfo.xcprivacy を同梱しています。

NSPrivacyAccessedAPICategoryFileTimestamp（理由 C617.1）— 暗号化ストレージ管理のため
NSPrivacyAccessedAPICategoryUserDefaults（理由 CA92.1）— アプリ設定保存のため
NSPrivacyAccessedAPICategoryDiskSpace（理由 E174.1）— キャッシュ管理のため
NSPrivacyAccessedAPICategorySystemBootTime（理由 35F9.1）— セッション管理のため

Tracking および Tracking Domains は空です。

クラッシュレポート

App Store Connect 経由のクラッシュレポートは Apple が標準で収集します。本アプリは PatientID・画像データ・認証トークン等の個人を特定できる情報をクラッシュレポートに含めないよう設計されています。

利用者の権利

本アプリの利用者（医療従事者）は、所属施設の医療情報安全管理責任者を通じて以下の権利を行使できます:

監査ログの開示請求
PACS に送信済の画像の確認
アカウントの利用停止

開発元は利用者個人の情報を保有しないため、開発元に対する開示請求は受け付けません。

個人情報保護法上の事業者該当性

本アプリの提供により開発元が個人情報を取扱うことはないため、開発元は本アプリに関して「個人情報取扱事業者」に該当しません。施設は施設としての個人情報保護法上の義務を負います。

お子様のプライバシー

本アプリは医療従事者向けの業務支援アプリであり、13 歳未満のお子様の利用は想定していません。本アプリは個人情報を外部に送信することはありません。

ポリシーの変更

本プライバシーポリシーは随時更新される場合があります。変更があった場合は、このページに更新日とともに掲載します。

商標について

iPhone、Face ID、Touch ID、iCloud、CryptoKit は Apple Inc. の商標です。DICOM は NEMA の登録商標です。本アプリは Apple Inc.、NEMA、各 PACS ベンダーによる公認・推奨を受けたものではありません。

お問い合わせ

本プライバシーポリシーに関するご質問は、サポートページ、または GitHub Issues からお問い合わせください。導入施設の医療従事者の方は、所属施設のシステム管理者経由でご連絡ください。

Privacy Policy (English)

This privacy policy applies to TotteDicom ("the App"), an iOS app that converts iPhone-camera reference images into DICOM format and uploads them to in-hospital PACS (DICOMweb servers).

The App is NOT a medical device. It does not provide diagnosis, diagnostic support, measurement, lesion enhancement, or AI analysis. Captured images are strictly for reference use.

No Data Collected by the Developer: The App does not transmit any data to the developer's servers. Specifically:

No external server transmission — Captured images, patient attributes (name, date of birth, sex, PatientID), audit logs, and device identifiers are never sent to the developer's servers.
No analytics or tracking — No analytics SDKs (Firebase, Google Analytics, etc.) or tracking tools are included. The App Tracking Transparency (ATT) consent dialog is never shown.
No advertising — No ads are shown and no data is shared with advertisers.
No iCloud sync — All images, database, and settings are marked isExcludedFromBackup and are not backed up to iCloud.
No Photos library use — In-app camera capture only. The app never reads from or writes to the iPhone's camera roll.
No third-party data sharing — Data is never provided to any third party.

The App Store Connect Privacy Label is filed as "Data Not Collected".

Data Stored on Your Device: Captured reference images (encrypted with CryptoKit AES-GCM and iOS Data Protection Complete), patient attributes from QR / manual input (in encrypted SQLite via GRDB), audit logs (hash-chained and AES-GCM encrypted, default 90-day retention), authentication tokens (Keychain, kSecAttrAccessibleWhenUnlockedThisDeviceOnly), and app settings (UserDefaults and Keychain). PatientIDs in audit logs are HMAC-SHA256 hashed and never stored as plaintext.

Communication Endpoints: The App communicates with the in-hospital PACS server via DICOMweb (STOW-RS). The current release exposes only HTTP Basic authentication endpoints on the same LAN through the UI; TLS 1.3 with public-key SHA-256 pinning and mTLS client-certificate authentication are implemented in code and scheduled to be re-exposed in the UI in a future release. The endpoint is configured by the facility's administrator and never routes through the developer.

Local Network Permission: The App requires the iOS local network permission (NSLocalNetworkUsageDescription) for DICOMweb communication with private-IP PACS hosts. Bonjour-based confirmation is used to correctly trigger the system permission dialog (per Apple TN3179); detected services are never stored or transmitted.

Camera Permission: The App requires camera access (NSCameraUsageDescription) solely for capturing reference images and reading QR codes. Captured images are stored in the encrypted local storage described above; nothing is saved to the iPhone's camera roll.

Face ID / Touch ID: Used in two scenarios only — (1) unlocking the authentication session on the login screen (via the "Open with Face ID" button or the auto-prompt after returning from auto sign-out), and (2) entering the Emergency PACS Reconfiguration mode that lets the user edit only the PACS profile after consecutive network failures. Face ID is not used for entering the Settings screen or for accessing the data encryption key (DEK). Biometric data is processed within iOS's Secure Enclave; the App only receives the authentication result.

Security Measures: The current release exposes only HTTP Basic authentication endpoints on the same LAN through the UI; TLS 1.3 + public-key SHA-256 pinning, Bearer (OIDC), and mTLS client-certificate authentication are implemented in code and scheduled to be re-exposed in the UI in a future release. Other measures: CryptoKit AES-GCM for local storage; Keychain unlocked-only access; auto sign-out (default 5 min, 1–30 min in 8 choices); screenshot / screen-recording detection; background privacy overlay; tamper-evident hash-chained audit log.

User Responsibilities: Always enable the device passcode and the App's auto sign-out (default 5 min) when the device is shared. Resend failed uploads promptly from History so they do not linger on the device. When disposing of or transferring the device, uninstall the App or factory-reset the device. Notify the facility's IT department immediately upon device loss for MDM remote wipe.

Medical Disclaimer: The App is not a medical device and does not perform medical acts (diagnosis, treatment, etc.). It is a utility for converting reference images to DICOM and uploading them to in-hospital PACS. Captured images must never be used for diagnosis or treatment decisions. Use regulated modality images (CT / MR / DR, etc.) for diagnostic purposes.

PrivacyInfo.xcprivacy: The App bundles a Privacy Manifest declaring required reasons for the following APIs: FileTimestamp (C617.1, encrypted storage management), UserDefaults (CA92.1, settings persistence), DiskSpace (E174.1, cache management), SystemBootTime (35F9.1, session management). Tracking and Tracking Domains are empty.

Crash Reports: Crash reports collected via App Store Connect are gathered by Apple by default. The App is designed never to include PatientIDs, image data, authentication tokens, or other personally identifying information in crash reports.

User Rights: App users (medical professionals) may exercise the following rights through their facility's medical information security manager: audit log disclosure, confirmation of images uploaded to PACS, and account deactivation. The developer does not retain individual user data and does not accept disclosure requests directly.

Children's Privacy: The App is intended for medical professionals and is not directed at children under 13. The App does not transmit any personal information externally.

Policy Changes: This privacy policy may be updated. Any changes will be posted on this page with a revised date.

Trademarks: "iPhone", "Face ID", "Touch ID", "iCloud", and "CryptoKit" are trademarks of Apple Inc. "DICOM" is a registered trademark of NEMA. The App is not endorsed by or affiliated with Apple Inc., NEMA, or any PACS vendor.

Contact: Questions? Please visit our support page or open an issue on GitHub. If you are a medical professional using TotteDicom at a hospital, please contact your facility's system administrator.