医療AIと個人情報保護:日本の法規制と実務ガイド
なぜ法規制を理解すべきか
医療AIの開発・導入には、患者の医療データの利活用が不可欠です。しかし、医療データは個人情報保護法上の「要配慮個人情報」に該当し、通常の個人情報以上に厳格な取り扱いが求められます。「良いAIを作りたい」という目的であっても、法的ルールを逸脱すれば、患者の信頼を損ない、組織にとって重大なリスクとなります。
日本の医療データ関連法制度
個人情報保護法(2022年改正)
医療データに関する主なポイント:
- 要配慮個人情報: 病歴・診療情報は取得に本人の同意が必要
- 匿名加工情報: 個人を特定できないよう加工すれば、本人の同意なく第三者提供が可能
- 仮名加工情報: 他の情報と照合しない限り個人を特定できないよう加工した情報。内部利用に限り柔軟な活用が可能
- 漏洩時の報告義務: 個人データの漏洩時、個人情報保護委員会への報告と本人への通知が義務化
次世代医療基盤法(2018年施行、2023年改正)
医療ビッグデータの利活用を促進するための法律です。
- 認定匿名加工医療情報作成事業者(認定事業者)を通じて、医療データの匿名加工・提供が可能
- 患者がオプトアウト(拒否)しない限り、データの提供が認められる
- 2023年の改正で、「仮名加工医療情報」の制度が追加され、より詳細なデータの利活用が可能に
3省2ガイドライン
厚生労働省・経済産業省・総務省が策定した、医療情報システムに関するガイドラインです。
- 厚生労働省ガイドライン: 医療情報システムの安全管理に関するガイドライン
- 経産省・総務省ガイドライン: クラウドサービス事業者が医療情報を取り扱う際の安全管理ガイドライン
AI開発・導入における実務上の注意点
データ収集段階
- 倫理審査委員会の承認: 研究目的のデータ利用には倫理審査委員会(IRB)の承認が必要
- インフォームドコンセント: 研究目的を明示した同意の取得(観察研究ではオプトアウトが認められる場合あり)
- 匿名化の実施: 直接的個人識別情報(氏名、ID)の除去は最低限。準識別子(生年月日、郵便番号)にも注意
AI開発段階
- データの安全管理: 暗号化、アクセス制御、ログ管理
- 海外への移転制限: クラウドAIサービスの利用時、データが海外サーバーに保存されないか確認
- 学習データのバイアス管理: 特定の集団が不利にならないよう、学習データの構成を検証
臨床利用段階
- LLMへの患者情報入力: ChatGPTやClaudeに患者情報をそのまま入力することは、個人情報の第三者提供に該当する可能性がある
- API利用時の確認: 入力データがモデルの学習に使われないか、利用規約を確認
- ローカル環境の活用: 機密性の高いデータはクラウドではなくオンプレミスで処理
よくある疑問
Q: ChatGPTに患者情報を入力してよいか?
A: 原則として、個人を特定できる情報の入力は避けるべきです。年齢・性別・検査値のみなど、匿名化した情報であれば利用できますが、組み合わせで個人が特定される可能性がないか注意が必要です。Team版やEnterprise版を契約し、データが学習に使われない設定を確認したうえで利用するのがベストプラクティスです。
Q: 自施設のデータでAIを開発する場合は?
A: 自施設内での利用であれば、仮名加工情報として比較的柔軟に扱えます。ただし、IRBの承認、患者への通知(オプトアウト手続き)、データの安全管理措置は必要です。
Q: 海外のAI企業にデータを提供する場合は?
A: 個人情報の外国への移転として、追加の要件が課されます。移転先の国の個人情報保護制度の確認、適切な契約の締結が必要です。
まとめ
医療AIの法規制は、「患者のデータを守る」ためのルールです。面倒に感じるかもしれませんが、患者の信頼なくして医療AIの発展はありません。法制度を正しく理解し、適切な手続きを踏むことが、持続可能な医療AI開発の基盤です。