TokyoBlackHatNews

hipaajournal.com 13分で読了

HIPAA、医療データ、そして人工知能

人工知能(AI)は医療を急速に変革しており、データ分析、臨床判断の支援、業務の効率化、患者アウトカムの改善に向けた新たな方法を提供しています。予測分析からアンビエント・ドキュメンテーション(環境音等を活用した記録作成)ツールまで、AIシステムは日常のワークフローに組み込まれつつあります。

しかし、これらの技術が進化する一方で、その利用を規律する法的・倫理的枠組みは、長年にわたるプライバシーおよび専門職としての基準に根差したままです。保護対象保健情報(PHI)をどのように使用または開示できるかを定める連邦規則であるHIPAAに加え、医療機関は、進化する州のAI関連法、専門職の行動規範に組み込まれた倫理上の義務、そして技術の責任ある利用を定める自組織の方針にも対応しなければなりません。

これらの枠組みは、患者の機密性の保護、独立した臨床判断の行使、そして技術が有資格の医療従事者の専門的義務を代替しないことの確保といった責任を強調しています。医療情報の機密性を守りつつ責任ある形でイノベーションを進めようとする医療機関にとって、HIPAAへの準拠およびこれらのより広範な義務がAIの利用にどのように適用されるかを理解することは不可欠です。

医療におけるAIの活用方法

AIツールは現在、医療エコシステムのほぼあらゆる領域に登場していますが、すべてのAIが同じように機能するわけではありません。これらの違いを理解することは、医療機関がリスクを評価し、PHIをいつ使用または開示できるかを判断し、AIツールの適切な利用について職員を教育するうえで役立ちます。

大きく分けると、医療におけるAIは4つのカテゴリーに分類できます。すなわち、自律的にタスクを実行する人工知能、人間の意思決定を支援する拡張知能、AI機能を備えた自動化ソフトウェア、そして生成AIです。

  1. 自律型AI

このカテゴリーには、継続的な人間の関与なしに特定のタスクを実行するよう設計されたシステムが含まれます。これらのツールは定義されたパラメータの範囲内で動作し、臨床または運用のワークフローで直接利用され得る出力を生成します。

例:

  • 臨床医が画像を解釈しなくても糖尿病網膜症を検出する自律型診断ツール
  • 放射線画像(スキャン)上の異常を独立して特定する画像解析システム
  • 患者の状態悪化を検知してアラートを発する連続モニタリングツール

これらのシステムは、臨床的監督、責任(賠償責任)、および人間のレビューなしにAIの出力をどの程度信頼できるかについて重要な問いを提起します。

  1. 拡張知能

拡張知能は、人間の判断を置き換えるのではなく強化するために設計されています。これらのシステムは推奨、予測、または洞察を提供しますが、出力を解釈し最終判断を下す責任は臨床医または職員に残ります。

例:

  • 潜在的な診断を提案したり薬剤相互作用を警告したりする臨床意思決定支援ツール
  • 再入院や状態悪化のリスクが高い患者を特定するリスク層別化モデル
  • アウトリーチや介入の優先順位付けを支援する集団健康(ポピュレーションヘルス)分析

人間が主導権を保持するため、拡張知能は既存の専門職・倫理的枠組みにより適合しやすいことが多い一方、アルゴリズムの出力への過度な依存を避けるための慎重な監督が依然として必要です。

  1. AI機能を備えた自動化ソフトウェア

多くの医療機関は、事務および運用タスクを効率化するために自動化ソフトウェアを使用しています。これらのシステムに機械学習や自然言語処理などのAIが組み込まれると、従来のルールベースの自動化よりも複雑な機能を実行できます。

例:

  • 臨床文書からデータを抽出し、コーディング区分を予測し、または否認される可能性が高い請求をフラグ付けする収益サイクル(レベニューサイクル)ツール
  • 必要書類の収集を支援したり不足要素を特定したりする事前承認システム
  • 無断キャンセル(ノーショー)を予測したり予約スケジューリングを最適化したりする運用ワークフローツール

これらのツールはHIPAA上「医療業務(healthcare operations)」に該当することが多いものの、アクセス制御と監査制御、PHIの不適切な開示を防ぐためのトレーニング、そしてソフトウェアが第三者ベンダーから提供される場合には業務委託先契約(Business Associate Agreements)が依然として必要です。

  1. 生成AI

生成AIツールは、大規模データセットから学習したパターンに基づいて新しいコンテンツを作成します。医療では、事務負担の軽減とコミュニケーション支援のために、生成AIがテキスト、要約、画像、または構造化データの作成にますます利用されています。

例:

  • 記録された患者診療のやり取りに基づいて臨床ノートの下書きを作成するアンビエント・ドキュメンテーションツール
  • 患者向け指示書、紹介状、またはケア連携のための要約を生成する下書き作成ツール
  • 患者の質問に回答したりサービス案内を支援したりするチャットボット(回答を個別化するためにPHIを用いる場合がある)
  • 入力を逐語的に翻訳するのではなく、完全な文章を生成するAI対応翻訳ツール

生成AIツールは効率性とアクセシビリティを向上させ得ますが、正確性、文脈、そしてPHIが適切な保護措置を欠くシステムへ送信されるかどうかに関する懸念も生じます。これらのリスクにより、ガバナンス、ベンダー管理、職員トレーニングが特に重要になります。

AI利用を規律するうえでのHIPAAの役割

HIPAAにはAI固有の規定はありません。これは、HIPAAセキュリティ規則が技術中立(テクノロジー・ニュートラル)に設計されているためです。その結果、HIPAAの既存のプライバシー規則、セキュリティ規則、侵害通知規則が、PHIをAIツールに対してどのように使用または開示できるかを規律します。これらの要件は、PHIが人間、従来型ソフトウェアシステム、または高度なAIモデルのいずれによって取り扱われる場合でも適用されます。

HIPAAの下での出発点は、PHIの使用または開示が許容されるかどうかです。PHIは、患者の承認なしに、治療、支払い、医療業務のためにAIシステムと共有できます。PHIが運用目的で使用される場合、HIPAAは、開示の目的を達成するために開示する情報を必要最小限(minimum necessary)に制限することを組織に求めます。

HIPAAセキュリティ規則の管理的・物理的・技術的保護措置も全面的に適用されます。これらの保護措置は、情報が人間によって処理されるかアルゴリズムによって処理されるかにかかわらず、組織がリスクを評価し、適切な統制を実装し、PHIの機密性・完全性・可用性を確保することを求めます。

AIツールが第三者ベンダーによって提供される場合、HIPAAの業務委託先(ビジネス・アソシエイト)要件が関係してきます。業務委託先契約(Business Associate Agreement)は、ベンダーが対象事業体(covered entity)に代わってPHIを作成、受領、保管、または送信する場合に必要であり、ベンダーが規制対象の機能を実行するためにAIを使用する場合も含まれます。

業務委託先契約がないままPHIが第三者のAIツールに開示された場合、または匿名化(非識別化)された情報がベンダーのAIシステムによって再識別された場合、その事案はHIPAA侵害通知規則に基づく通知対象の侵害に該当します。その他の事象も侵害通知義務を引き起こし得ます。たとえば、AIが生成した出力に必要最小限を超える情報が含まれており、その後(たとえ許容される形であっても)HIPAA準拠の検証なしに第三者と共有された場合などです。

言い換えれば、AIはHIPAAの適用外にあるわけではありません。AIは、PHIが使用または開示され得る一つの手段にすぎず、同じHIPAA準拠義務が適用されます。AIによって変わるのは法的枠組みではなく、運用上のリスクと、組織がこれらのツールの機能を理解してHIPAAの要件を適切に適用する必要性です。

より厳格な要件を課す州法

HIPAAがプライバシーとセキュリティの連邦ベースラインを提供する一方で、複数の州が、AIツールまたは自動意思決定システムへの開示を規律するより厳格な法律を制定しています。一部の州(例:テキサス)では、医療の異なる領域におけるAIの利用に影響を与える複数の法律が制定されています。

これらの法律は適用範囲や適用可能性が大きく異なりますが、機微情報を自動処理に使用する前の明示的同意、データの二次利用(モデル学習を含む)に対する制限、そしてケアにAIが使用される場合に個人へ通知することを求める透明性義務などの要件を含むことが多いです。いくつかは、メンタルヘルス、生殖医療、物質使用障害、または遺伝情報などの機微なカテゴリの情報をAIツールと共有することを禁止しています。

複数州で事業を行う組織にとって、これらの差異は複雑なコンプライアンス環境を生み出します。職員トレーニングは、HIPAAだけでなく、組織の業務に適用される州レベルの最も保護的な要件も反映しなければなりません。

医療におけるAI利用のリスクと回避方法

AIは、従来のプライバシーおよびセキュリティ上の懸念を超える新たなリスク区分をもたらします。リスクの一部はAIシステムが情報を処理する方法に起因し、別の一部は職員がこれらのツールとどのように関わるかに起因します。これらのリスクを理解し、それらを軽減するための保護措置を実装することは、HIPAAに準拠し医療情報の機密性を保護する形でAIを使用するために不可欠です。

最も一般的なリスクの一つは、職員が識別可能な情報を公開型またはHIPAA非準拠のAIツールに入力してしまうことによるPHIの偶発的開示です。AIツールが承認済みであっても、特にAI生成の出力をメール、紹介メモ、その他のコミュニケーションに貼り付ける際に、必要最小限を超える情報を意図せず開示してしまうことがあります。

AIシステムは、作話(confabulations)により運用上および臨床上のリスクも伴います。作話は、AIツールが無関係または部分的にしか関連しないデータ要素を一つにまとめ、単一の不正確な出力を生成する場合に発生します。これらの誤りは、検証なしに依拠すると、不正確な要約、的外れな推奨、または誤解を招く文書化につながり得ます。AIツールはまた、異常な入力、エッジケース、または曖昧な情報に遭遇した際に予測不能な挙動を示すことがあります。

これらのリスクを管理するために、組織は、職員が異常、予期しない挙動、不正確な出力を報告できる仕組みを実装すべきです。これらの報告はパターンの特定、継続的改善の支援、AIツールが安全に使用されることの確保に役立ちます。また、標準化されたプロンプトの開発を支援し、不正確さがツール自体に起因するのか、質問の表現や入力方法に起因するのかを組織が判断する助けにもなります。

AIとのやり取りをログに記録することも同様に重要です。監査ログにより、組織はAIツールがどのように使用されたかを確認し、出力の正確性を評価し、潜在的なプライバシー事故や運用上の誤りを調査できます。ログ記録は、品質保証、モデル監視、コンプライアンスレビューも支援します。

その他のリスクには、データ漏えい、モデルドリフト、そして自動化への過度な依存が含まれます。たとえば、AIモデルが古いデータで学習されている場合、時間の経過とともに出力の精度が低下する可能性があります。同様に、職員がAI生成コンテンツは常に正しいと想定してしまい、注意力が低下して誤りを見逃すことにつながる場合があります。

組織は、HIPAA準拠をサポートするAIツールのみを使用し、HUIPAA違反のリスクを軽減するようツールを構成し、職員がAIシステムに入力してよい内容/してはならない内容に関する明確な方針を維持することで、これらのリスクを回避できます。新しいAIツールを評価し、性能を監視し、保護措置が時間の経過とともに有効であり続けることを確保するためには、強固なガバナンス体制も不可欠です。

HIPAAに準拠してAIを使用するための職員トレーニング

AIツールが日常のワークフローの一部となるにつれ、職員は患者プライバシーを保護しHIPAAに準拠する形でそれらを使用する方法を理解しなければなりません。医療スタッフ向けHIPAA AIトレーニングは、AIに伴うリスク、組織が講じている保護措置、そしてPHIが適切に取り扱われることを確保するために各人が取るべき実務的な手順について、職員が明確に理解できるようにすべきです。

AIは、職員が認識しておくべき複数のリスクをもたらします。これには、情報を公開型またはHIPAA非準拠のツールに入力した際のPHIの偶発的開示、無関係なデータを組み合わせて不正確な出力を生む作話の可能性、そしてAI生成コンテンツへの過度な依存のリスクが含まれます。AIツールはまた、異常な入力や曖昧な情報に遭遇した際に予測不能な挙動を示すことがあり、慎重にレビューしないと出力に必要最小限を超える情報が含まれる場合があります。

トレーニングの一環として、組織は、HIPAA準拠をサポートするよう承認され構成されたAIツールがどれであるかを明確に示すべきです。職員には、これらの承認済みプラットフォームのみを使用し、未承認または公開型のAIシステムにPHIを入力しないよう指導すべきです。トレーニングではまた、承認済みツールはセキュリティ、契約上の保護、適切な保護措置について評価されているものの、これらの保護が人間による監督の必要性をなくすわけではないことも説明すべきです。

トレーニングは州固有の要件も扱うべきです。一部の州は、特にメンタルヘルス、生殖医療、物質使用障害、または遺伝情報などの機微なカテゴリの情報について、より厳格な同意ルールを課しています。職員は、AIツールを使用する前に同意が必要となる場合と、これらの州レベルのルールがHIPAAの許容される使用・開示とどのように相互作用するかを理解しなければなりません。

さらに、トレーニングは運用ワークフローにも対応すべきです。職員は、アンビエント・ドキュメンテーションツール、臨床意思決定支援システム、収益サイクル自動化プラットフォームを、安全かつ適切に使用する方法を理解する必要があります。これには、どの情報をこれらのツールに入力できるか、出力をどのようにレビューするか、懸念事項をいつエスカレーションするかの理解が含まれます。トレーニングはまた、職務に基づくアクセス制御を反映し、職員が使用を許可されているAIツールがどれであるかを理解できるようにすべきです。

AIの準拠した利用を支援するため、職員トレーニングには以下のベストプラクティスを含めるべきです:

  • 承認済みAIプラットフォームのみを使用する。 組織によって承認されていないツールにPHIを入力しないでください。
  • 可能な限り、AI入力の前にPHIを完全に匿名化(非識別化)する。 タスクに識別可能なデータが必要でない限り、氏名、日付、連絡先情報、その他の識別子を削除してください。
  • それ以外の場合は、必要最小限の入力を標準化する。 タスクに必要な情報のみを提供し、余分な詳細を含めないでください。
  • 必要な場合は同意を取得する。 一部の州法または組織方針では、特定の種類の情報や処理にAIを使用する前に明示的同意が必要です。
  • 監査のためにAIとのやり取りをログに記録する。 AIツールの使用方法を文書化し、出力をレビューでき、問題を調査できるようにするため、組織の手順に従ってください。
  • 使用前にAIの出力を必ずレビューし検証する。 AIが生成した要約、推奨、説明が正しいと、原情報と照合せずに決して想定しないでください。
  • AIの影響を受けた意思決定を記録する。 AIが臨床または運用上の意思決定に寄与した場合、使用したプロンプト、生成された出力、出力をどのように検証したかを記録してください。
  • 異常、予期しない挙動、不正確な出力を報告する。 これらの問題を報告することで、組織はパターンを特定し、ツールを改善し、将来の誤りを防止できます。
  • HIPAAコンプライアンスの質問にAIを使用しない。 コンプライアンスに関する質問は、AIシステムではなく、組織のプライバシー担当またはコンプライアンス担当チームに問い合わせる必要があります。

医療スタッフ向けHIPAA AIトレーニングは、シナリオベースで実践的であり、職員の役割に関連したものであるべきです。職員はルールだけでなく、実際に誤りが起こる現場の状況も理解する必要があります。組織は、AIツールがどのように不正確、誤解を招く、または不完全な出力を生み得るかについて、具体的な例を提示すべきです。

現実的なシナリオでAIが誤る様子を見ることは、AI生成コンテンツを検証する重要性を強化し、これらのツールを安全に使用するために必要な警戒心を促します。トレーニングはまた、AIツールの進化に合わせて更新され、職員が新機能、ワークフローの変更、更新された組織方針に精通し続けられるようにすべきです。

翻訳元: https://www.hipaajournal.com/hipaa-healthcare-data-and-artificial-intelligence/

ソース: hipaajournal.com
#AIガバナンス #HIPAA #HIPAAセキュリティルール #ビジネスアソシエイト契約(BAA) #保護対象保健情報(PHI) #医療AI #医療データプライバシー #医療従事者向けコンプライアンス研修 #州法規制(AI・プライバシー) #生成AI

関連記事

未成年の子どもの診療記録へのHIPAAアクセス権行使を求め、両親がミネソタ州の病院を提訴

医療請求代行会社のデータ侵害、7つの医療グループに影響

医療機関、AIを悪用したアイデンティティ侵害への防御能力に自信なし