AIアプリは医療分野に進出しつつあります。厳格なデータセキュリティやプライバシー慣行がパッケージの一部になるかどうかは不明です。
OpenAI、Anthropic、Googleは過去1年間にわたってAI搭載の健康サービスを展開してきました。これらの製品は、個人ユーザーや組織に健康とウェルネスに関するアドバイスを提供し、病気の診断、医療記録の検査、その他さまざまな健康関連機能を実行するように設計されています。
OpenAIによれば、すでに数億人がChatGPTを使用して健康とウェルネスに関する質問に答えており、研究では大規模言語モデルが医療診断において著しく優れた能力を発揮できることが明らかになっています。ある論文では、人間の医師と比較した場合、その能力を「超人的」と呼んでいます。
しかし、これらのチャットボットが個人の健康データをどれだけ保護できるかという従来のサイバーセキュリティの懸念に加えて、ユーザーがこれらのアプリと共有する個人医療データに関してどのような法的保護が得られるかについて、多くの疑問があります。複数の医療および法律の専門家がCyberScoopに対し、これらの企業は、病院やその他の医療施設にデータの保護を義務付ける医療保険の携行性と責任に関する法律(HIPAA)に基づくデータ保護規則などの法的または規制上の要件の対象にはほぼ確実になっていないと述べています。
Electronic Privacy Information Centerの上級弁護士であるSara Geoghegan氏は、利用規約の一部として同じまたは類似のデータ保護を提供することは、規制された医療機関とやり取りすることとは明らかに異なると述べています。
「連邦レベルでは、HIPAA保護対象外の情報や消費者情報が第三者やデータブローカーに販売されることに対する制限は、一般的に包括的には存在しません」と彼女は述べています。
彼女はまた、昨年の遺伝子検査会社23andMeの破産と売却に起因するデータプライバシーの懸念を、消費者が規制されていない事業体に機密性の高い健康データや生体データを引き渡す際に直面する危険性の代表的な例として指摘しています。
多くの場合、これらのAI健康アプリは、他の生成AI製品と同じ種類のセキュリティとプライバシーのリスクを抱えています:データ漏洩、ハルシネーション、プロンプトインジェクション、そして自信に満ちているが間違った答えを提供する傾向です。
さらに、医療業界におけるデータ侵害は、現在のAIブームの前から、過去数年間でますます一般的になっています。医療機関はハッキング、フィッシング、ランサムウェアの頻繁な標的となっており、企業は患者データの保護に失敗した場合、HIPAAの下で法的責任を問われる可能性がありますが、多くのシステムが古いソフトウェアに依存し、多数の外部ベンダーに依存し、強力なサイバーセキュリティのコストと複雑さに対応するのに苦労しているため、侵害は依然として発生しています。
医療およびサイバーセキュリティリスク管理コンサルティング会社First Health AdvisoryのCEOであるCarter Groome氏は、これらのテクノロジー企業が健康データを保護すると合理的に約束できるかどうかという懸念を超えて、彼らのセキュリティ保護が企業ポリシー以上のものであるかどうかも明らかではないと述べています。
「彼らはHIPAAによって義務付けられていません」とGroome氏は述べています。「アプリを構築している組織にとって、医療データプライバシー法への準拠に関して本当にグレーゾーンがあります。」
プライバシーは、機密医療情報を保護し、医療システム全体への信頼を構築するために、健康と医療において特に重要です。そのため、病院、診療所、検査施設、その他の関連事業体は、患者記録やその他の健康データを保護するための強化された法律や規制の対象となっています。
HIPAAのような法律は、対象事業体とそのビジネスアソシエイトに対し、「特定の個人識別可能な健康情報のセキュリティのために、合理的かつ適切な管理的、物理的、技術的保護措置を維持する」ことを要求しています。
また、特定の健康データがデータ侵害でアクセス、取得、使用、または開示された場合に、被害者、保健福祉省、場合によっては一般市民に通知することを企業に強制する侵害通知規則の対象となります。
Groome氏とCenter for Democracy and TechnologyのData and Privacy ProjectのAndrew Crawford上級弁護士は、OpenAI、Anthropic、Googleのようなテクノロジー企業は、HHSによれば健康保険、クリアリングハウス、医療提供者、電子保護医療情報(ePHI)を転送するビジネスアソシエイトに適用されるHIPAAのセキュリティ規則に基づく対象事業体とはほぼ確実に見なされないと述べています。
OpenAIとAnthropicは、ChatGPT HealthまたはClaude for HealthcareがHIPAAに準拠していると主張していません。AnthropicのウェブサイトはClaude for Healthcareを「HIPAA対応インフラストラクチャ上に構築されている」と説明しており、OpenAIの医療関連エンタープライズ製品スイートのページでは、HIPAAコンプライアンスを「サポート」していると主張しています。
OpenAI、Anthropic、GoogleはCyberScoopからのコメント要請に応じませんでした。
この区別は、「HIPAAのプライバシー保護に拘束されない多数の企業が、人々の健康データを収集、共有、使用することになる」ことを意味するとCrawford氏はCyberScoopへの声明で述べています。「また、健康データがどのように収集、使用、共有、保存されるかのルールを設定するのは各企業に任されているため、不適切なデータ保護とポリシーは機密性の高い健康情報を本当の危険にさらす可能性があります。」
HIPAAのような法律は健康データに対する強力なプライバシー保護を含んでいますが、範囲が限定されており、「記録のデジタル化を支援することを目的としたものであり、テクノロジー企業が診療所の外であなたの健康データを収集することを止めるためのものではありません」とGeoghegan氏は述べています。
医療分野への拡大に伴い、OpenAI、Anthropic、Googleのようなテクノロジー企業は、製品発表においてデータセキュリティを最優先事項として強調しています。
OpenAIは、彼らの健康モデルが健康に関する会話を区画化するために組み込まれた暗号化と分離機能の追加レイヤーを使用し、多要素認証などの追加機能も備えていると述べています。そして、他のOpenAIモデルと同様に、ChatGPT Healthは保存中および転送中のデータを暗号化し、30日以内にチャットを削除する機能があり、データがAIトレーニングに使用されないことを約束しています。
医療記録のアップロードについて、OpenAIは米国の患者向けに健康データを接続するAI搭載デジタルヘルスプラットフォームであるb.wellと提携していると述べています。同社のウェブサイトによれば、「ユーザーがいつでもデータ共有の許可を制御および変更できる透明で消費者に優しいプライバシーポリシーを使用し、個人データを販売せず、限定された場合にのみ許可なしで共有します。また、自主的にCARIN Alliance Trust FrameworkおよびCode of Conductに従っており、FTCに対して説明責任を負い、暗号化、定期的なセキュリティレビュー、HITRUSTおよびNIST CSF認証などの措置を通じてHIPAA基準を満たすか上回ることを目指していますが、どのシステムもサイバーリスクを完全に排除することはできないと述べています。
法律の専門家によれば、テクノロジー企業がAI製品が「HIPAA準拠」または「HIPAA対応」であると約束する場合、これらの主張が健康データを無責任に使用しないという約束以上のものになるかどうかは不明確であることが多いとのことです。
これらの区別は個人の健康データに関しては重要です。Geoghegan氏は、ウェルネス業界の一部の分野では、規制されていない企業が規制に法的拘束力がないという事実を回避するために「HIPAA準拠」であると曖昧に主張することは珍しくないと述べています。
「一般的に言えば、多くの企業がHIPAA準拠だと言っていますが、彼らが意味しているのは、彼らがHIPAA規制対象事業体ではないため、義務がないということです」とGeoghegan氏は述べています。
Groome氏は、AI企業がプライバシー批評家の懸念を和らげるためにセキュリティへのコミットメントについて「誇張している」と示唆し、彼らの製品発表には「あなたの情報をどれだけ保護するかという点で滑稽なレベル」が含まれていると指摘しています。
さらなる複雑な要素は、AI ツールがいくつかの点でブラックボックスのままであり、開発者でさえそれらがどのように機能するかを完全に理解または説明できないということです。そのような不確実性は、特に医療データの場合、悪いセキュリティまたはプライバシーの結果につながる可能性があります。
「企業が出てきて『私たちは完全にHIPAA準拠です』と言うのは今本当に不安定であり、彼らがやっていることは消費者に誤った信頼感を与えようとしていると思います」とGroome氏は述べています。
複数の情報源がCyberScoopに対し、これらのリスクにもかかわらず、AI健康アプリが広く使用され続けると予想していると述べています。その一因は、従来のアメリカの医療システムが非常に高額であることです。
対照的に、AIツールは便利で、即座に利用でき、費用対効果が高いです。Geoghegan氏やGroome氏のような人々は、人々をこれらのアプリに向かわせる圧力に同情していると述べていますが、トレードオフは厄介です。
「これの多くは、医療がアクセスできない、取得が困難で、高額であり、人々が医療提供を信頼しない理由が多くあるという事実に起因しています」とGeoghegan氏は述べています。「しかし、その医療がアクセスできないことへの解決策は、ビッグテックや億万長者の製品に依存することではありません。私たちは[彼らが]私たちの最善の健康利益を念頭に置いているとは信頼できません。」
翻訳元: https://cyberscoop.com/ai-healthcare-apps-hipaa-privacy-risks-openai-anthropic/
