・生成AIを独立アプリではなく医療情報システムの一部として扱う必要性
・クラウド不備による情報漏洩やデータの汚染および可用性喪失のリスク
・経営層の指示に基づく全体最適型セキュリティガバナンスの整備要件
・組織で利用を認める生成AIの範囲と用途の明確化および代替手段の検討
・医療機関の自助努力の限界を補う共通基準の生成AIプラットフォーム構築
医療現場における生成AI活用のメリットと潜在リスク
5月7日、医療AIプラットフォーム技術研究組合とHealth ISAC Japanが、医療分野における生成AIに関連したセキュリティ対策について提言を公表しました。
医療DXの進展により、医療現場での生成AIの導入が急速に進んでいます。
医療現場における生成AI活用は、さまざまなメリットをもたらします。
例えば、診察音声から診療録や退院時サマリー、診療情報提供書等のドラフトを作成したり、検査結果や治療計画を患者向けにわかりやすく説明する文章を作成したりと、医療従事者の負担軽減に貢献します。生成AIを活用した作業時間の短縮は、実際にその効果が報告されています。
しかし、便利さの一方で、生成AIには一定のリスクが潜んでいます。特に医療においては、患者情報や医療情報を取り扱うことから、医療提供体制の一部を構成する存在となるため、一定水準のセキュリティ確保が不可欠とされます。
そのため提言書では、医療分野における生成AIは、独立したアプリケーションとして扱うのではなく、医療情報システムの一部として扱うべきだ、としています。
生成AIが直接関係する重大インシデントの想定例
医療機関における生成AIが直接関係する重大インシデントとして、次のような例が挙げられています。
・クラウドの不備によって他者の会話履歴や患者の相談内容が露出する「情報漏洩」
・悪意ある指示が混入することでAIが誤った情報や不適切な助言を出力する「データの汚染」
・システム障害やランサムウェア攻撃等でAIが停止した場合の現場の混乱と業務停止を招く「可用性の喪失」
セキュリティガバナンスの整備とプラットフォーム構築への共同提言
こうしたインシデントを防ぐために、次のとおり共同提言を行っています。
(1)医療機関における生成AI導入は、経営層の指示のもと組織横断的なルールに基づき、全体最適型のセキュリティガバナンスを整備すべき
提言書では、最低限のセキュリティルールとして、医療機関においては次のような内容を経営層の関与のもと定めるべきだとしています。
・組織として利用を認める生成AIの範囲と用途の明確化
・入力した情報が外部に漏れないようにするための未然防止策の検討
・生成AIの不適切な使い方を検知するためのモニタリングの仕組みの検討
・生成AIが利用不可となった場合でも対患者業務を継続できる代替手段の検討
(2)官民のインセンティブを組み込み、共通基準のもと評価・監査、導入支援等を段階的・継続的に実施する生成AIプラットフォームを構築すべき
一方で、生成AIの安全な利用を医療機関の自助努力のみに委ねることには限界があるとして、官民のインセンティブを組み込みつつ、セキュリティの適切な評価・訓練を継続的に改善できる生成AIプラットフォームを構築していく必要性が提言されています。
生成AIの活用が身近なものとなっている一方で、セキュリティについて今一度見直しを行い、厳格に組織で取り扱いを定め、適切に活用することが求められています。