こんにちは。M&Cパートナーコンサルティングの村上佳子です。
今回は、AIサービスを導入するときに、事務長さんがベンダーに確認すべきポイントを整理します。
医療機関でシステムを導入するとき、よくあるのが「ベンダーさんが大丈夫と言っているから大丈夫でしょう」という判断です。
でも、AIサービスではそれだけでは不十分です。
特に、患者情報や診療情報を扱う場合は、医療機関側にも管理責任があります。ベンダーに任せきりではいけません。
まず確認したいのは、データの取り扱いです。
入力した情報は保存されるのか。
保存されるなら、どこに保存されるのか。
日本国内なのか、国外なのか。
どのくらいの期間保存されるのか。
契約終了時に削除されるのか。
AIの学習やサービス改善に使われるのか。
このあたりは、営業資料だけではわからないことがあります。利用規約、契約書、データ処理契約、セキュリティ資料で確認してください。
次に、アクセス管理です。
誰がAIを使えるのか。
職員ごとにアカウントを分けられるのか。
退職者のアカウントを停止できるのか。
管理者は利用状況を確認できるのか。
ログは残るのか。
医療機関では、誰がどの情報にアクセスしたかを確認できることが重要です。AIサービスでも同じです。
3つ目は、障害時・事故時の対応です。
AIサービスが停止した場合、業務はどうなるのか。
誤った出力が出た場合、誰に報告するのか。
情報漏えいが疑われる場合、ベンダーは何時間以内に連絡してくれるのか。
調査結果はどのように報告されるのか。
これらは、導入前に決めておくべきです。
4つ目は、責任分界です。
AIの出力内容について、ベンダーはどこまで責任を負うのか。
医療機関側はどこまで確認するのか。
患者説明や診療記録に使う場合、最終責任は誰が持つのか。
AIは、導入すれば勝手に安全に動くものではありません。医療機関側の運用ルールとセットで初めて安全に使えます。
ここで参考になるのが、経済産業省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」です。第2.0版では、サービス仕様適合開示書やSLAの参考例も示されています。
つまり、事務長さんはベンダーに対して、遠慮なく聞いてよいのです。
「このサービスは医療情報を扱う前提ですか」
「厚労省の医療情報システム安全管理ガイドラインとの関係はどう整理していますか」
「提供事業者ガイドラインへの対応状況は開示できますか」
「SLAはありますか」
「障害時の連絡体制はどうなっていますか」
「入力データは再学習されませんか」
「ログは取れますか」
「退職者アカウントはすぐ停止できますか」
こうした質問に明確に答えられないサービスを、医療情報を扱う用途で使うのは慎重に考えるべきです。
AIサービスの選定では、機能の便利さだけを見てはいけません。
事務長さんが見るべきなのは、次の4つです。
安全に使えるか。
契約で守られているか。
事故時に対応できるか。
院内で管理できるか。
これが確認できて初めて、医療機関でのAI導入に進めます。

