Privacy Policy

Organization Name	Document Name	Document Owner
AIRS Medical Inc.	Privacy Policy	Jonghyeng Park, CPO
Effective Date	Version	Document Approver
May 14, 2026	1.0	Jangsoon Park, CEO

1. Introduction and Purpose

This supplemental notice (“Japan Notice”) applies to individuals located in Japan whose personal information is handled by AIRS Medical in connection with the provision of our products and services. This Japan Notice supplements our [General Privacy Policy] and provides additional information required under Japan’s Act on the Protection of Personal Information (Act No. 57 of 2003, as amended) (“APPI”). In the event of any conflict between the Privacy Policy and this Japan Notice, this Japan Notice shall prevail for individuals located in Japan.

AIRS Medical Inc., including its subsidiaries and affiliates (collectively “AIRS Medical,” “we,” “us,” or “our”), operates in Japan through AIRS Medical Japan G.K.

2. Data Handling Entity and Business Structure

2.1 Business Operator Handling Personal Information

Item	Details
Business Operator	AIRS Medical Japan G.K. (AIRS Medical Japan合同会社)
Address	15-16F, Toranomon Hills Business Tower, 1 Chome-17-1 Toranomon, Minato City, Tokyo 105-6490, Japan
Representative (代表社員)	Sunghwan Lee イ・ソンファン
Privacy Inquiries Contact	[email protected]

3. Categories of Personal Information Collected

3.1 Website and Business Operations

We may collect the following categories of personal information through our website, events, and business operations:

Name, job title, organization/employer, business contact details (email, phone, address)
Technical data (IP address, browser type, device information, access logs)
Marketing and communication preferences

3.2 Patient-Related Data

In the course of providing our service, AIRS Medical may process patient-related data(e.g., DICOM metadata, Medical imaging data) on behalf of healthcare providers. In this capacity, AIRS Medical acts as an entrusted party and processes such data strictly in accordance with the healthcare provider’s instructions and applicable law.

3.3 De-identification Measures for Cloud-Based Processing

Given the nature of our products and services, we apply appropriate data protection measures to patient data during cloud-based processing. Where technically feasible, de-identification measures are applied prior to transmission. Where the nature of the service requires that certain patient identifiers be transmitted to the cloud environment for clinical purposes, such data is protected by industry-standard encryption and access is strictly limited to authorized personnel on a need-to-know basis. For on-premises deployments, all data processing occurs within the healthcare institution's own infrastructure.

4. Purpose of Use

We specify and publicly announce the following purposes for which we use personal information:

Category	Purpose of Use
Business contact information (healthcare professionals, distributors)	Provision and support of our product and services. Management of distribution agreements and EULA; Customer and distributor relationship management; Product information and event invitations; invoicing and payment processing; regulatory compliance
Patient-related data (DICOM metadata, imaging data)	Provision of MRI image enhancement service as entrusted by the healthcare provider; Quality assurance and improvement of AI models (only with de-identified or anonymously processed data and where permitted); compliance with medical device regulations
Website visitor data (technical data, cookies)	Website operation and improvement; usage analytics; security monitoring
Inquiry and support data	Responding to inquiries; providing customer support; product improvement

We will not use personal information beyond the scope necessary to achieve these purposes without obtaining prior consent, except where permitted by APPI Art. 18(3).

5. Handling of Special Care-Required Personal Information

Our products and services may involve the processing of Special Care-Required Personal Information (such as medical history and health-related data) on behalf of healthcare providers. In such cases, we process this information solely as an entrusted party, in accordance with the instructions of the healthcare provider who is responsible for obtaining any necessary consent or legal basis for the collection of such information.Our service agreements set forth the respective responsibilities of AIRS Medical and the healthcare provider regarding the handling of such information

6. Third-Party Provision of Personal Data

We will not provide personal data to third parties without the prior consent of the individual, except in the following circumstances permitted under APPI Art. 27:

Where required by law (e.g., requests from regulatory authorities, court orders)
Where necessary for the protection of the life, body, or property of an individual, and it is difficult to obtain the consent of the individual
Where specially necessary for improving public health or promoting the sound growth of children, and it is difficult to obtain consent
Where entrusting the handling of personal data to a third party within the scope necessary for achieving the purpose of use

We may entrust the handling of personal data to authorized distributors and service partners to the extent necessary for the provision of our products and services. We exercise necessary and appropriate supervision over such entrusted parties in accordance with APPI Art. 25.

7. Joint Use of Personal Information

AIRS Medical Japan G.K. may jointly use certain personal data with the following parties for the purposes described below:

Data items jointly used: Name, job title, company or institution name, business contact details (email, phone, address), and related business correspondence
Scope of joint users: AIRS Medical Inc. (Republic of Korea) and its subsidiaries (United States, Germany)
Purpose of joint use: Product and service delivery, customer and distributor relationship management, marketing and promotional activities, and business operations, and to achieve the purposes of use that have been notified or publicly announced.
Entity responsible for management of jointly used data: AIRS Medical Inc., 13-14 Floor, Keungil Tower, 223 Teheran-ro, Gangnam-gu, Seoul, Republic of Korea ([email protected])

This joint use does not apply to patient-related data, which is processed strictly as an entrusted party on behalf of healthcare providers as described in Section 5.

8. Cross-Border Transfer of Personal Data

In the course of providing our services, personal data collected in Japan may be transferred to the following countries outside Japan:

Country	Purpose of Transfer	Protection Mechanism	Compliance Monitoring
Republic of Korea	Product and service delivery; System administration; Customer management; Privacy-related inquiries	APPI-equivalent measures ensured through intra-group data protection rules. Korea's Personal Information Protection Act (PIPA), enforced by PIPC.	Annual compliance review
Germany	Business operations of AIRS Medical Europe GmbH; Customer management for EU region	APPI-equivalent measures ensured through intra-group data protection rules. EU General Data Protection Regulation (GDPR), recognized by PPC as equivalent protection.	Annual compliance review
United States	Business operations of AIRS Medical U.S Inc; Cloud-based business operations (CRM, communication, collaboration, infrastructure backup); Customer management for U.S region	APPI-equivalent measures ensured through Data Processing Agreements with service providers; security certifications (SOC 2 Type 2, ISO 27001 and its series)	Annual compliance review and periodic confirmation of service providers' security measures

Information on Personal Data Protection Systems of Recipient Countries

Republic of Korea: Korea's Personal Information Protection Act (PIPA) is enforced by the Personal Information Protection Commission (PIPC). Korea has not been designated by the PPC as a country with equivalent protection; however, AIRS Medical ensures APPI-equivalent measures through intra-group data protection rules and ongoing compliance monitoring.

Germany (EU): Germany is subject to the EU General Data Protection Regulation (GDPR). EU member states have been recognized by Japan's PPC as providing an equivalent level of protection (PPC Announcement No. 1, January 23, 2019).

United States: The United States does not have a comprehensive federal data protection law equivalent to APPI. Protection is ensured through Data Processing Agreements with cloud service providers, security certifications (SOC 2 Type 2, ISO 27001 and and its series), and periodic compliance monitoring by AIRS Medical.

Where personal data is transferred to countries other than those listed above, we will ensure appropriate safeguards are in place in accordance with applicable law. For patient-related data, de-identification measures are applied prior to any cloud-based processing.

9. Security Control Measures

AIRS Medical implements the following categories of safety management measures in accordance with APPI Art. 23 and PPC Guidelines:

Organizational measures (組織的安全管理措置): Designation of a Chief Privacy Officer (CPO); internal rules and procedures for handling personal data; regular compliance monitoring; incident response and breach notification procedures.
Personnel measures (人的安全管理措置): Regular data protection training for authorized personnel; strict contractual confidentiality obligations; access restricted on a need-to-know basis.
Physical measures (物理的安全管理措置): 24-hour security monitoring of premises; access control to areas housing devices used to process personal data.
Technical measures (技術的安全管理措置): Encryption of data in transit and at rest; two-factor authentication (2FA) and strong password policies; access control management; verified third-party service providers under Data Processing Agreements.

For further details, please refer to the 'Data Security and Safety' section of our Global Privacy Policy.

10. Rights of the Individual

Your general rights regarding personal data are described in the 'Your Legal Rights' section of our Global Privacy Policy. In addition to those rights, under APPI, you may exercise the following rights regarding retained personal data (保有個人データ) held by AIRS Medical Japan G.K.:

Request notification of the purpose of use (利用目的の通知)
Request disclosure of your personal data or records of third-party provision (保有個人データ又は第三者提供記録の開示)
Request disclosure of your personal data and records of third-party provision (開示請求)
Request correction, addition, or deletion (訂正等請求)
Request suspension of use, erasure, or cessation of third-party provision (利用停止等請求)

Fees: In accordance with Article 38 of the APPI, a fee of ¥1,000 (including tax) per request will be charged for "Notification of Purpose of Use" and "Disclosure(including records of third-party provision)" requests. Details on the payment method will be provided upon your request.

Note for Patients: For personal data processed by AIRS Medical on behalf of a healthcare provider, please direct your request to the relevant healthcare provider, as AIRS Medical acts as an entrusted party in such cases. To exercise these rights, please contact us using the information provided in Section 15 below.

11. Data Breach Notification

In the event of an actual or suspected leakage, loss, or damage of personal data, AIRS Medical will promptly investigate the incident. Where required under APPI Art. 26, we will submit a preliminary report to the Personal Information Protection Commission (PPC) promptly and a detailed report within the timeframe prescribed by applicable regulations, and notify affected individuals without delay.

In cases where AIRS Medical processes personal data as an entrusted party, we may fulfill our obligations by notifying the relevant healthcare provider (Data Controller) without delay.

12. Data Retention

We retain personal data only for as long as necessary to fulfill the purposes described in this Notice, or as required by applicable law. The retention period varies depending on the nature of the data, the purpose of processing, and our legal obligations. When personal data is no longer necessary, we securely delete or anonymize it.

For patient-related data processed as an entrusted party, retention periods are determined by the healthcare provider in accordance with applicable laws. Data processed for the purpose of image enhancement is not retained beyond the period necessary to complete processing and return results.

For further details, please refer to the 'Data Retention' section of our Global Privacy Policy.

13. Cookies

Our use of cookies and similar technologies on the AIRS Medical website is described in the Global Policy. Where cookie data or similar person-related information may be provided to third parties who may associate it with other information to identify an individual, we will obtain or confirm the necessary consent in accordance with applicable law. Users may manage their cookie preferences through the cookie banner displayed on our website.

External Transmission of Information

To improve our website performance and analyze visitor traffic, we use third-party tools (e.g., Google Analytics). In this process, certain technical information (such as IP addresses, browser type, and browsing history) may be transmitted to the servers of these service providers located outside of Japan (including the United States). This data is used solely for website analytics purposes and is strictly separated from the clinical or patient-related data processed by our medical software services.

14. Children’s Personal Information

Our website and services are not directed at individuals under 16 years of age. While APPI does not specify a minimum age for consent, AIRS Medical has adopted 16 years of age as our internal standard for the collection of personal information from minors. We do not knowingly collect personal information from children. If we become aware that we have inadvertently collected personal information from a child under 16 without verified parental consent, we will take steps to delete such data promptly.

15. Complaints and Inquiries

For any inquiries, complaints, or requests relating to the handling of your personal information by AIRS Medical in Japan, please contact:

AIRS Medical Japan G.K.

Email: [email protected]
Postal Address: 15-16F, Toranomon Hills Business Tower, 1 Chome-17-1 Toranomon, Minato City, Tokyo 105-6490, Japan

If you are not satisfied with our response, you may file a complaint with Japan’s Personal Information Protection Commission (PPC):

Personal Information Protection Commission
Website: https://www.ppc.go.jp/
Telephone: 03-6457-9685

Change Log

Date	Version	Description	Reason	Author
May 14, 2026	1.0	Initial Release	Enactment	Hyejun Yoon

組織名	文書名	文書管理責任者
AIRS Medical Inc.	プライバシーポリシー	Jonghyeng Park, CPO
施行日	バージョン	文書承認者
2026年5月14日	1.0	Jangsoon Park, CEO

1. はじめにおよび目的

本補足通知（以下「日本向け通知」といいます）は、AIRS Medicalが当社の製品およびサービスの提供に関連して個人情報を取り扱う、日本に所在する個人に適用されます。本日本向け通知は、当社の［一般プライバシーポリシー］を補足するものであり、日本の「個人情報の保護に関する法律」（平成15年法律第57号、その後の改正を含みます。以下「APPI」といいます）に基づき必要とされる追加情報を提供します。プライバシーポリシーと本日本向け通知との間に矛盾がある場合、日本に所在する個人については本日本向け通知が優先されます。

AIRS Medical Inc.およびその子会社・関連会社（以下総称して「AIRS Medical」、「当社」、「私たち」といいます）は、日本においてAIRS Medical Japan G.K.を通じて事業を運営しています。

2. データ取扱事業者および事業体制

2.1 個人情報取扱事業者

項目	詳細
事業者	AIRS Medical Japan G.K.（AIRS Medical Japan合同会社）
住所	〒105-6490 東京都港区虎ノ門1丁目17番1号虎ノ門ヒルズビジネスタワー 15-16階
代表者（代表社員）	Sunghwan Lee イ・ソンファン
プライバシーに関するお問い合わせ先	[email protected]

3. 取得する個人情報のカテゴリー

3.1 ウェブサイトおよび事業運営

当社は、当社ウェブサイト、イベントおよび事業運営を通じて、以下のカテゴリーの個人情報を取得する場合があります。

氏名、役職、所属組織・雇用主、業務上の連絡先情報（メールアドレス、電話番号、住所）
技術データ（IPアドレス、ブラウザの種類、デバイス情報、アクセスログ）
マーケティングおよびコミュニケーションに関する設定

3.2 患者関連データ

当社サービスの提供過程において、AIRS Medicalは、医療機関に代わって患者関連データ（例：DICOMメタデータ、医用画像データ）を処理する場合があります。この場合、AIRS Medicalは委託先として、医療機関の指示および適用法令に厳格に従って当該データを処理します。

3.3 クラウドベース処理における非識別化措置

当社の製品およびサービスの性質を踏まえ、当社はクラウドベースの処理において患者データに対して適切なデータ保護措置を講じます。技術的に可能な場合、送信前に非識別化措置を適用します。サービスの性質上、臨床目的のために特定の患者識別子をクラウド環境へ送信する必要がある場合、当該データは業界標準の暗号化により保護され、アクセスは知る必要のある権限を付与された担当者に厳格に限定されます。オンプレミス型の導入においては、すべてのデータ処理は医療機関自身のインフラ内で行われます。

4. 利用目的

当社は、個人情報を利用する目的を以下のとおり特定し、公表します。

カテゴリー	利用目的
業務上の連絡先情報（医療従事者、販売代理店）	当社製品およびサービスの提供ならびにサポート販売契約およびEULAの管理顧客および販売代理店との関係管理製品情報およびイベント招待の提供、請求および支払処理、規制遵守
患者関連データ（DICOMメタデータ、画像データ）	医療機関から委託されたMRI画像改善サービスの提供 AIモデルの品質保証および改善（非識別化または匿名加工されたデータを用い、許可される場合に限る）医療機器規制の遵守
ウェブサイト訪問者データ（技術データ、Cookie）	ウェブサイトの運営および改善利用状況の分析セキュリティ監視
問い合わせおよびサポートデータ	問い合わせへの対応カスタマーサポートの提供製品改善

当社は、APPI第18条第3項により認められる場合を除き、事前の同意を得ることなく、これらの目的の達成に必要な範囲を超えて個人情報を利用しません。

5. 要配慮個人情報の取扱い

当社の製品およびサービスは、医療機関に代わって要配慮個人情報（病歴および健康関連データなど）を処理する場合があります。このような場合、当社は委託先としてのみ当該情報を処理し、当該情報の取得に必要な同意または法的根拠を確保する責任を負う医療機関の指示に従います。当社のサービス契約では、当該情報の取扱いに関するAIRS Medicalおよび医療機関それぞれの責任を定めています。

6. 個人データの第三者提供

当社は、APPI第27条により認められる以下の場合を除き、本人の事前同意なく個人データを第三者に提供しません。

法令に基づく場合（例：規制当局からの要請、裁判所命令）
人の生命、身体または財産の保護のために必要があり、本人の同意を得ることが困難である場合
公衆衛生の向上または児童の健全な育成の推進のために特に必要があり、本人の同意を得ることが困難である場合
利用目的の達成に必要な範囲内において、個人データの取扱いを第三者に委託する場合

当社は、当社製品およびサービスの提供に必要な範囲で、認定された販売代理店およびサービスパートナーに個人データの取扱いを委託する場合があります。当社は、APPI第25条に従い、当該委託先に対して必要かつ適切な監督を行います。

7. 個人情報の共同利用

AIRS Medical Japan G.K.は、以下の目的のため、一定の個人データを以下の者と共同利用する場合があります。

共同利用されるデータ項目：氏名、役職、会社名または機関名、業務上の連絡先情報（メールアドレス、電話番号、住所）および関連する業務上の通信内容
共同利用者の範囲：AIRS Medical Inc.（大韓民国）およびその子会社（米国、ドイツ）
共同利用の目的：製品およびサービスの提供、顧客および販売代理店との関係管理、マーケティングおよびプロモーション活動、事業運営、ならびに通知または公表された利用目的の達成
共同利用されるデータの管理について責任を有する者：AIRS Medical Inc., 13-14 Floor, Keungil Tower, 223 Teheran-ro, Gangnam-gu, Seoul, Republic of Korea（[email protected]）

この共同利用は、患者関連データには適用されません。患者関連データは、第5条に記載のとおり、医療機関に代わる委託先として厳格に処理されます。

8. 個人データの越境移転

当社サービスの提供過程において、日本で取得された個人データは、日本国外の以下の国に移転される場合があります。

国	移転目的	保護措置	遵守状況の監視
大韓民国	製品およびサービスの提供システム管理顧客管理プライバシー関連問い合わせ対応	グループ内データ保護規程によりAPPIと同等の措置を確保韓国の個人情報保護法（PIPA）、PIPCによる執行	年次コンプライアンスレビュー
ドイツ	AIRS Medical Europe GmbHの事業運営 EU地域の顧客管理	グループ内データ保護規程によりAPPIと同等の措置を確保 EU一般データ保護規則（GDPR）、PPCにより同等の保護水準として認定	年次コンプライアンスレビュー
米国	AIRS Medical U.S Incの事業運営クラウドベースの事業運営（CRM、通信、コラボレーション、インフラバックアップ）米国地域の顧客管理	サービスプロバイダーとのデータ処理契約によりAPPIと同等の措置を確保セキュリティ認証（SOC 2 Type 2、ISO 27001およびその関連規格）	年次コンプライアンスレビューおよびサービスプロバイダーのセキュリティ措置の定期的確認

移転先国の個人データ保護制度に関する情報

大韓民国：韓国の個人情報保護法（PIPA）は、個人情報保護委員会（PIPC）により執行されています。韓国は、PPCにより同等の保護水準を有する国として指定されていませんが、AIRS Medicalはグループ内データ保護規程および継続的なコンプライアンス監視を通じて、APPIと同等の措置を確保しています。

ドイツ（EU）：ドイツにはEU一般データ保護規則（GDPR）が適用されます。EU加盟国は、日本のPPCにより同等の保護水準を提供するものとして認定されています（2019年1月23日 PPC告示第1号）。

米国：米国にはAPPIと同等の包括的な連邦データ保護法はありません。保護は、クラウドサービスプロバイダーとのデータ処理契約、セキュリティ認証（SOC 2 Type 2、ISO 27001およびその関連規格）、ならびにAIRS Medicalによる定期的なコンプライアンス監視を通じて確保されます。

上記以外の国へ個人データを移転する場合、当社は適用法令に従い、適切な保護措置が講じられるようにします。患者関連データについては、クラウドベース処理の前に非識別化措置が適用されます。

9. 安全管理措置

AIRS Medicalは、APPI第23条およびPPCガイドラインに従い、以下のカテゴリーの安全管理措置を実施しています。

組織的安全管理措置：Chief Privacy Officer（CPO）の任命、個人データ取扱いに関する社内規程および手続、定期的なコンプライアンス監視、インシデント対応および漏えい等通知手続。
人的安全管理措置：権限を付与された担当者に対する定期的なデータ保護研修、厳格な契約上の秘密保持義務、知る必要のある範囲に限定されたアクセス。
物理的安全管理措置：施設の24時間セキュリティ監視、個人データを処理する機器が設置された区域へのアクセス管理。
技術的安全管理措置：通信中および保存時のデータ暗号化、二要素認証（2FA）および強固なパスワードポリシー、アクセス管理、データ処理契約に基づく検証済み第三者サービスプロバイダーの利用。

詳細については、当社グローバルプライバシーポリシーの「Data Security and Safety」セクションをご参照ください。

10. 個人の権利

個人データに関する一般的な権利については、当社グローバルプライバシーポリシーの「Your Legal Rights」セクションに記載されています。これらの権利に加え、APPIに基づき、AIRS Medical Japan G.K.が保有する保有個人データについて、以下の権利を行使することができます。

利用目的の通知の請求
保有個人データまたは第三者提供記録の開示の請求
保有個人データおよび第三者提供記録の開示請求
訂正、追加または削除の請求（訂正等請求）
利用停止、消去または第三者提供の停止の請求（利用停止等請求）

手数料：APPI第38条に従い、「利用目的の通知」および「開示（第三者提供記録を含む）」の請求については、1件あたり1,000円（税込）の手数料を申し受けます。支払方法の詳細は、ご請求時にご案内します。

患者の方への注記：AIRS Medicalが医療機関に代わって処理する個人データについては、AIRS Medicalは委託先として行動するため、該当する医療機関に直接ご請求ください。これらの権利を行使する場合は、下記第15条に記載の連絡先までお問い合わせください。

11. データ漏えい等の通知

個人データの漏えい、滅失または毀損が実際に発生した場合、またはその疑いがある場合、AIRS Medicalは速やかに当該事案を調査します。APPI第26条に基づき必要とされる場合、当社は個人情報保護委員会（PPC）に対して速やかに速報を提出し、適用される規則で定められた期間内に確報を提出するとともに、影響を受ける本人に遅滞なく通知します。

AIRS Medicalが委託先として個人データを処理する場合、当社は該当する医療機関（データ管理者）に遅滞なく通知することにより、当社の義務を履行する場合があります。

12. データ保存期間

当社は、本通知に記載された目的を達成するため、または適用法令により必要とされる期間に限り、個人データを保存します。保存期間は、データの性質、処理目的および当社の法的義務に応じて異なります。個人データが不要となった場合、当社は安全に削除または匿名化します。

委託先として処理される患者関連データについては、保存期間は適用法令に従い医療機関により決定されます。画像改善の目的で処理されるデータは、処理を完了し結果を返却するために必要な期間を超えて保存されません。

詳細については、当社グローバルプライバシーポリシーの「Data Retention」セクションをご参照ください。

13. Cookie

AIRS MedicalウェブサイトにおけるCookieおよび類似技術の使用については、グローバルポリシーに記載されています。Cookieデータまたは類似する個人関連情報が、他の情報と照合することで個人を識別し得る第三者に提供される場合、当社は適用法令に従い、必要な同意を取得または確認します。ユーザーは、当社ウェブサイトに表示されるCookieバナーを通じてCookie設定を管理できます。

外部送信に関する情報

当社は、ウェブサイトのパフォーマンス向上および訪問者トラフィックの分析のため、第三者ツール（例：Google Analytics）を使用しています。この過程で、一定の技術情報（IPアドレス、ブラウザの種類、閲覧履歴など）が、日本国外（米国を含む）に所在する当該サービスプロバイダーのサーバーへ送信される場合があります。このデータはウェブサイト分析目的のみに使用され、当社の医療ソフトウェアサービスにおいて処理される臨床データまたは患者関連データとは厳格に分離されています。

14. 子どもの個人情報

当社のウェブサイトおよびサービスは、16歳未満の個人を対象としていません。APPIは同意に関する最低年齢を明示していませんが、AIRS Medicalは未成年者から個人情報を取得する際の社内基準として16歳を採用しています。当社は、子どもから個人情報を knowingly に取得することはありません。16歳未満の子どもから、確認済みの親権者同意なく個人情報を誤って取得したことが判明した場合、当社は当該データを速やかに削除するための措置を講じます。

15. 苦情およびお問い合わせ

日本におけるAIRS Medicalによる個人情報の取扱いに関するお問い合わせ、苦情または請求については、以下までご連絡ください。