AIスクリブは、急速に現代医療のデジタルな相棒になりつつある。臨床医の燃え尽きを減らし、文書化を合理化し、患者体験を向上させることを約束している。しかし、医療提供者やデジタルヘルス企業がAIスクライブ・ソリューションの導入を競う中、1つの大きな懸念が浮上し続けている:
HIPAAリスクは、AIソリューションがどのように訓練され、導入され、統合され、管理されるかに大きく依存する。御社がAIスクライブ・ソリューションを検討している、あるいは既に使用しているのであれば、このブログをロードマップとして、リスクを検証してください。
AI書記とは何か?
AIスクライブは、機械学習モデルを使用して、患者と医療者の面談の録音を聞き(または録音を処理し)、構造化された臨床ノートを作成する。これらのツールは、電子カルテ(EHR)にシームレスに統合し、手作業によるカルテ作成の必要性を減らし、医師が診察中に患者にもっと集中できるようにすることを目的として販売されている。
舞台裏では、AI スクライブは、複数のモダリティ(音声、トランスクリプト、構造化された EHR データなど)にまたがる大量の保護されるべき医療情報(PHI)をリアルタイムで取り扱います。その結果、AI スクライブは HIPAA によって規制されます。
AIスクライブのライフサイクルにおけるHIPAAの落とし穴
以下は、デジタルヘルスクライアント、医療システム、およびスクライブ技術を展開するAIベンダーに助言する際に、当社が遭遇した最も一般的なHIPAAの落とし穴である。
1.適切な権限なしにPHIをAIにトレーニングさせる
多くのAIスクリプションは、過去の遭遇や臨床医が編集したメモなど、実世界のデータを使って「微調整」または再トレーニングされる。そのデータには通常PHIが含まれている。HIPAAでは、PHIを医療提供者の治療、支払い、または医療業務以外の目的で使用するには、一般的に患者の承認が必要です。その結果、モデル・トレーニングや製品改良のようなユースケースは、その活動が対象事業体の医療提供者の医療業務として適格であるという強力なケースを必要とする。
リスク:AIベンダーが、患者の承認なしに、あるいは顧客の代理として、正当な治療、支払い、または医療業務に基づいて、顧客データでモデルをトレーニングしている場合、その使用はHIPAA違反の可能性があると評価される必要がある。また、州記録法に基づく患者や医療提供者の記録に関する同意など、この技術を導入するために必要となる可能性のある他の同意についても検討する。
2.不適切な業務提携契約(BAA)
AI スクライブベンダーは、対象事業体または他の業務関係者に代わって、PHI にアクセス、保管、またはその他の処理を行う場合、HIPAA の下ではほぼ常に業務関係者である。しかし、(a)準拠したBAAがない、(b)ベンダーの責任を実質的に排除するような広範な免責条項がある、(c)許可された使用と開示を定義していない、またはHIPAAで許可されていない使用と開示(例えば、ベンダーが適切な承認を得ずにPHIでAIモデルを訓練することを許可する、またはHIPAAの例外を満たすなど)が含まれているベンダー契約を見かけることがある。
ヒント:すべてのAIベンダー契約を精査すること。BAAまたは基礎となるサービス契約が、アクセス、保存、またはその他の処理されるデータ、トレーニングに使用される可能性のあるデータを含むデータの使用方法、およびサービス提供後のデータの非識別化または保持の有無を明確に定義していることを確認する。
3.セキュリティ・セーフガードの欠如
AIスクライブ・プラットフォームは、攻撃者にとって価値の高い標的である。プラットフォームは、リアルタイムの音声をキャプチャしたり、下書きの臨床ノートを保存したり、APIを介してEHRに統合したりすることができる。これらのプラットフォームが適切に保護されておらず、その結果データ侵害が発生した場合、リスクには規制当局による罰金や罰則、集団訴訟、風評被害などが含まれる。
HIPAA要件:対象事業体および事業関連者は、PHIを保護するために「合理的かつ適切な」技術的、管理的、物理的セーフガードを実施しなければならない。HIPAA 規制対象事業体は、AI スクリプターの使用を含むリスク分析を更新しなければならない。
4.モデルの幻覚と誤ったアウトプット
AIスクリプション、特にジェネレイティブ・モデルに基づいて構築されたAIスクリプションは、臨床情報を「幻覚」したり、捏造したりする可能性がある。さらに悪いことに、転記ミスや患者のミスマッチが発生すると、間違った患者に情報を誤植することもある。これは単なるワークフローの問題ではない。PHIが間違ったカルテに挿入されたり、間違った個人に開示されたりした場合、HIPAAや州のデータ漏洩法に基づく違反となる可能性がある(さらに、誤入力によって将来のケアに影響が出た場合、患者に不利益が及ぶ可能性さえある)。
リスク管理:すべてのAIが記載したメモについて、人によるイン・ザ・ループ・レビューを実施する。医療提供者が、患者の記録に記入する前にメモの正確性を確認するよう訓練されていることを確認する。
5.識別の誤り
一部のベンダーは、データが非識別化されているため、自社のAIソリューションが「HIPAAに準拠している」と主張する。しかし、ベンダーは、HIPAAの下で許容される非識別化の2つの方法(45 CFR § 164.514)のいずれかに厳密に従わないことが多い。これらの方法のいずれかに基づいてもデータが完全に非識別化されない場合、そのデータはHIPAAの下では非識別化されない。
コンプライアンス・チェック:非識別化されたデータのみが使用されるため、ベンダーが自社のシステムはHIPAAの適用範囲外であると主張する場合、使用された非識別化方法、再識別化リスク分析の証拠、および使用された非識別化専門家の資格証明書(該当する場合)を確認すること。また、非識別化のためにベンダに PHI を提供する場合は、その非識別化に関して、提供者とベンダとの間で BAA が締結されていなければならないことに注意すること。
医療システムとデジタルヘルス企業のための実践的な次のステップ
AIスクライブの導入を検討している、あるいはすでに導入している企業にとって、イノベーションを阻害することなくリスクを軽減するためのヒントがここにある:
- ベンダーを徹底的に吟味する
- EHRワークフローにガバナンスを組み込む
- 許可なく二次使用/トレーニングを制限する
- リスク分析の更新
- プロバイダーのトレーニング
結論
AIスクリブは臨床文書作成に変革をもたらしつつある。しかし、大きな自動化には大きな説明責任が伴う。ベンダー、デジタルヘルス企業、医療システムは、AIスクライブを単なるソフトウェアとしてではなく、患者ケアに組み込まれたデータスチュワードとして扱わなければなりません。強力な契約上のセーフガードを構築し、PHIの使用をHIPAAで認められている範囲に制限し、下流のリスクを継続的に評価することで、デジタルヘルスリーダーは、不当なリスクを招くことなくイノベーションを受け入れることができます。
チーム、出版物、代表的な経験を含め、AI、遠隔医療、テレヘルス、デジタルヘルス、その他の医療イノベーションに関する詳細については、執筆者のいずれか、またはフォーリーのサイバーセキュリティ&データプライバシーグループまたはヘルスケアプラクティスグループのパートナーまたはシニア弁護士にお問い合わせください。
