あなたが現在見ているのは 患者情報をAIに入れてよいのか――個人情報・再学習・3省2ガイドラインの見方(第3回/全7回)

患者情報をAIに入れてよいのか――個人情報・再学習・3省2ガイドラインの見方(第3回/全7回)

→目次に戻る

こんにちは。M&Cパートナーコンサルティングの村上佳子です。

今回は、医療機関でAIを使うときに一番大事なテーマです。

それは、患者情報をAIに入れてよいのかという問題です。

医療機関では、日々たくさんの個人情報を扱っています。氏名、住所、生年月日、保険情報だけではありません。病名、検査結果、処方内容、既往歴、家族歴、生活背景、経済状況まで含まれることがあります。

医療情報は、一般的な個人情報よりも慎重に扱うべき情報です。

だからこそ、AIに入力する場合は、「便利だから」「早く要約できるから」という理由だけで進めてはいけません。

まず確認すべきことは、入力した情報がどこに行くのかです。

AIサービスに入力した文章は、サービス提供事業者のサーバーに送られます。そのデータが保存されるのか、削除されるのか、サービス改善や再学習に使われるのか、国外のサーバーに保存されるのか。ここを確認しないまま、患者情報を入れるのは危険です。

個人情報保護委員会も、生成AIサービスが普及していることを踏まえ、生成AIサービスの利用に関する注意喚起を公表しています。

医療機関としては、少なくとも次の4点を確認してください。

1つ目は、入力データがAIの学習に使われない設定になっているかです。

よく「オプトアウトしているから大丈夫」と言われますが、その言葉だけで安心してはいけません。契約書、管理画面、利用規約、データ処理契約で確認する必要があります。

2つ目は、医療情報を扱う前提のサービスかです。

一般消費者向けの無料AIサービスと、法人向け・医療機関向けに管理されたAIサービスでは、前提が違います。医療情報を扱うなら、情報管理、アクセス制御、ログ、権限管理、データ保存、削除方法まで確認が必要です。

3つ目は、外部委託として管理できているかです。

AIサービスを利用するということは、場合によっては医療情報の処理を外部サービスに委託することになります。その場合、医療機関側には委託先を適切に管理する責任があります。

4つ目は、院内で誰が許可するのかです。

現場の職員が個別に判断して、「このAIなら大丈夫そう」と使い始めるのが一番危険です。患者情報を扱うAIは、必ず組織として承認したサービスに限定するべきです。

ここで関係してくるのが、厚生労働省の「医療情報システムの安全管理に関するガイドライン」です。令和8年6月の第7.0版では、経営管理編、企画管理編、システム運用編などが示され、医療機関・薬局が優先的に取り組むサイバーセキュリティ対策チェックリストも公表されています。

また、AIサービスやクラウドサービスの提供事業者側については、経済産業省・総務省系の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版」も重要です。令和7年3月28日の改定では、対象事業者の明確化、医療機関等との合意内容、リスクコミュニケーションの実効化が整理されています。

事務長さんにお願いしたいのは、AIサービスを「便利なアプリ」として見ないことです。

患者情報を扱うAIは、医療情報システムの一部として考える必要があります。

ですから、院内ルールでは、最低限このように決めてください。

患者情報を入力してよいAIは、法人契約または医療機関として承認したサービスに限る。
無料版や個人アカウントのAIには、患者情報を入力しない。
入力する場合は、必要最小限の情報にする。
出力結果は必ず医療職または責任者が確認する。
利用記録を残す。

AI時代の情報管理は、「パソコンにウイルス対策ソフトを入れています」だけでは足りません。

職員がどのAIに、何を入力し、何に使っているのか。

そこまで管理する時代になっています。

→目次に戻る