人工知能(AI)は医療に革命をもたらす可能性を秘めている。腫瘍学分野では、診断支援、予測分析、管理業務へのAI応用が現在可能となっている。
この注目トピックは、2024年9月開催の「がん医療ビジネス・エクスチェンジ」において、デジタル・イノベーション(がん特化型AI活用事例)および先進的臨床パスに関するセッションで議論された。活発な議論を通じてビジネスケースは明確になったものの、重要な技術であるAI技術の開発が、適切かつ慎重な立法・規制枠組みの整備を大きく上回っている点は留意すべきである。
病院、医療提供者、支払者、および第三者ベンダーは、新たなAIソリューションの選定と導入において実践的な措置を講じるべきである。この重要な分野に取り組む際に留意すべき主な考慮事項を以下に示す:
適用されるすべてのプライバシーおよびセキュリティ基準への準拠を確保する
AI、そして多くの場合AIソリューションの成功は、データに依存しています。ほぼ全てのAIソリューションは膨大な量のデータを必要とし、電子カルテシステム、医療提供者プラットフォーム、患者ポータルなど、多くのソースからのデータの統合と取り込みを要します。医療組織が連邦および州のプライバシー・セキュリティ法に準拠するためには、AIソリューションをどのように、誰が利用・サポートするかを理解することが極めて重要です。[1]医療提供者向けにAIソリューションを開発・サポートするベンダーは、そのソリューションが医療提供者が期待するプライバシーとセキュリティの基盤となるベストプラクティスを満たし、準拠していることを保証しなければならない。
医療提供者は、必要な規制上の保護措置を評価するために、AIソリューションがどのように動作するかを詳細なレベルで理解しなければならない。ベンダーはAIソリューションの運用とサポートにどのようなデータを要求するのか?患者情報がベンダーと共有される場合、医療提供者は少なくともベンダーとの間で業務提携契約を締結する必要がある可能性が高い。 医療提供者は、患者への通知が要求される場合、その種類を理解すべきである。個人識別情報がAIソリューションによる推奨やフィードバック提供の目的で使用される場合、個人への通知を義務付ける州法も存在する。また、ベンダーが自社の目的(AIソリューションの訓練や競合他社との共同利用など)で医療データを使用しようとする兆候にも注意が必要である。 ベンダー自身の目的(顧客契約の管理に関連しない)でのデータ利用は、業務提携契約書で明示的に許可される必要があり、HIPAAに準拠し医療提供者の許可を得た上で、あらゆるデータは非識別化処理を施す必要があります。
当該分野における立法・規制動向を積極的に監視すること。監督強化が見込まれるため。
AIが驚異的なスピードで進化する中、政府の規制対応は遅れている。しかし、新たな法律や公式ガイダンスが頻発することは予想される。複数の州がAIの利用を研究・監視するタスクフォースや協議会を設置している。3月にはユタ州が「人工知能法」を可決し、2024年5月1日以降、規制対象職種における生成AI利用の初の開示要件を定めた。 さらに5月にはコロラド州が「人工知能との相互作用に関する消費者保護法」を可決(施行日2026年2月1日)。これは「高リスク人工知能システム」を規制する初の州法である[2]。詳細はFoley法律事務所のブログ記事「コロラド州、消費者保護を目的とした新たなAI法を可決」を参照のこと。
AI駆動型医療機器は導入前に承認が必要となる可能性がある
提供者は、提案されたAI駆動型ソリューションが規制当局の承認(例:医療機器としての承認)を必要とするかどうかを確認すべきである。必要としない場合、製品の販売を支持する規制ガイダンスと、そのような主張を裏付ける適切な表明および保証が存在するかどうかを確認する必要がある。AIは過ちから学習し、性能向上のために進化するよう訓練できるが、既存の規制モデルはAIが動作する静的な枠組みを評価するよう設計されている。 その結果、多くの医療機器は適切な規制承認を必要としているにもかかわらず取得していないか、将来的に承認要件の対象となる可能性がある。 米国食品医薬品局(FDA)はAIソリューションをより包括的に評価する方法を模索中(2024年8月時点で950件のAI/機械学習対応医療機器を認可)だが、最終的には新法制定という形で議会に指針を求める可能性がある。当面の間、医療提供者は導入前に提案されたAI駆動型医療機器を弁護士と協議の上、精査すべきである。
勤勉さと契約を通じて自らを守るための措置を講じる
最悪のシナリオを想定してください。例えば、AIベンダーがサイバーセキュリティ攻撃を受けた場合です。あるいは、AI製品の問題と提供者のAIソリューションへの過度の依存により、診断が漏れるケースも考えられます。提供者は、組織が承認したAIの使用方法を明記した方針と手順を慎重に実施し、ベンダーとAIソリューションを徹底的に精査し、適切な保護措置を組み込むよう契約書を精査し、保険その他の責任保護が整備されていることを確認すべきです。 適切なデューデリジェンスの対象領域には以下が含まれる:ベンダーが知的財産保護のために適切に登録しているか、医療詐欺やその他の高リスク領域を防ぐため従業員・代理人を審査しているか、ベンダーがどのような保険(サイバー保険を含む)を整備しているか、クレーム発生時に利用可能なリソースは何か。契約書は責任を事前に適切に配分すべきである。多くのベンダーは定型契約書を提示するが、以下のような法的条項が含まれているか慎重に確認する必要がある:
- 基本的なパフォーマンスの期待値
- 遵守及び履行に関する表明及び保証
- 機密性/プライバシーとセキュリティ
- 非勧誘義務その他の競業避止義務(特に現地勤務となるベンダーに対して)
- 補償条項 – 過失、契約違反、故意の不正行為、サイバーリスク、知的財産権侵害に関連する補償条項を確認すること。
- 責任限度額 – 多くのベンダーは、料金に関する遡及期間を1年から3年に制限しようとする。
適切なITおよびAIガバナンス手順の開発と実施
明確に定義されたコーポレートガバナンスの枠組みは、AIの倫理的な導入に関する懸念に対処し、AIソリューションへの信頼を構築し、将来的な企業の責任を最小限に抑えるのに役立ちます。これには、AIソリューションにアクセスまたは使用する従業員に対する適切なトレーニングを含む方針と手順の確立、および導入プロセス中および継続的にAIを審査・監督・監視するための体制の整備が含まれます。 ただし、AIの技術やユースケースが発展し続ける中では、こうしたガバナンス方針を継続的に検証・改善するとともに、組織内でのガバナンス方針の遵守状況を監視することが重要です。
償還を支援または強化するソリューションを優先する
AIは効率性と革新を促進し、何よりも患者ケアと治療成果の向上につながる可能性がありますが、精通した腫瘍診療施設は収益向上にも寄与するAIソリューションを模索するでしょう。AIソリューション自体が償還対象となるか、あるいはベンダーが償還への道筋を有しているか? 当該製品は、メディケア・メディケイドサービスセンター(CMS)の品質報告プログラム(例:功績に基づくインセンティブ支払い制度(MIPS))や、相互運用性促進に関する州プログラムへの準拠が認証されているか?国家医療情報技術調整官室(ONC)の認証は、セキュリティ・機能性・技術要件への適合を確認する手段としてCMSに認められている。[3]
ただし、AIソリューションとの統合レベルによっては、ベンダーは生成AIソリューションおよび臨床意思決定支援ツールに関するONCの要件に準拠するための措置を講じる必要がある場合がある。
次のステップ
医療分野においてAIが業務基盤の一部として普及するにつれ、コンプライアンス、プライバシー、セキュリティプロセスへのリスクを軽減するための実践的措置が講じられます。フォーリーは、革新的なテクノロジー、医療・ライフサイエンス、知的財産を含む複数分野において、AIに関連する法規制およびビジネス環境の変化を注視しており、支援体制を整えた弁護士チームが待機しています。 ご質問がございましたら、執筆者、担当のフォリー・リレーションシップ・パートナー、または当社の人工知能専門チームおよび医療・ライフサイエンス部門までお問い合わせください。
*著者らは、特別顧問のジャクリーン・アコスタ氏、ならびにボストン大学ロースクール在籍生でありフォリー・アンド・ラードナー法律事務所2024年夏季アソシエイトのフランチェスカ・カマチョ氏の貢献に謝意を表する。
多くの州では、多くの場合連邦の基準を上回るプライバシーおよびセキュリティ基準を設けており、これらは見直すべきである。
[2]SB205(人工知能との相互作用に関する消費者保護)
[3]ONCは最近、「意思決定支援介入」、「患者の人口統計および観察データ」、「電子症例報告」に関する改訂認証基準を発表するとともに、米国相互運用性コアデータ(USCDI)標準の新たなベースライン版をバージョン3に更新した。
