AIスクリブは、現代医療のデジタル相棒として急速に普及しつつある。医療従事者のバーンアウト軽減、文書作成の効率化、患者体験の向上を約束する。 しかし医療提供者とデジタルヘルス企業がAIスクライブ導入を急ぐ中、一つの重大な懸念が浮上し続けている:HIPAAリスクとは何か?
HIPAAリスクは、AIソリューションのトレーニング方法、導入方法、統合方法、ガバナンス方法に大きく依存する。貴社がAIスクライブソリューションの導入を検討中、あるいは既に使用している場合、本ブログをロードマップとしてリスクを厳密に検証すべきである。
AIスクライブとは何ですか?
AIスクリブは機械学習モデルを用いて、患者と医療提供者の対話を聴取(または録音データを処理)し、構造化された診療記録を生成する。これらのツールは、電子健康記録(EHR)へのシームレスな統合、手書きカルテ作成の削減、診察時の医師の患者対応時間増加を可能にするものとして販売されている。
舞台裏では、AIスクライブが複数のモダリティ(音声、文字起こし、構造化電子健康記録データなど)にわたって、保護された健康情報(PHI)をリアルタイムで大量に処理している。その結果、AIスクライブはHIPAAの規制対象となる。
AIスクリブライフサイクルにおけるHIPAAの落とし穴
以下は、デジタルヘルス分野のクライアント、医療システム、およびスクライブ技術を導入するAIベンダーへの助言において、当社が遭遇した最も一般的なHIPAA上の落とし穴です。
1. 適切な許可を得ずにPHIを用いてAIを訓練すること
多くのAIスクリブは、過去の診療記録や臨床医が編集したメモを含む実世界データを用いて「微調整」または再訓練される。こうしたデータには通常、PHI(個人健康情報)が含まれる。HIPAA(医療保険の携行性と責任に関する法律)の下では、被保険者である医療提供者の治療・支払い・医療業務以外の目的でPHIを使用する場合、一般的に患者の同意が必要となる。 したがって、モデル訓練や製品改善といった利用事例では、当該活動が被保険者である医療提供者の医療業務に該当することを強く立証する必要がある。さもなければ、患者の同意が必要となる。
リスク:AIベンダーが、患者の同意なしに顧客データを用いてモデルを訓練する場合、または顧客に代わって、治療・支払い・医療業務の正当な根拠に基づいて訓練する場合、その利用はHIPAA違反の可能性があると評価される必要がある。また、この技術を導入する際に必要となるその他の同意事項(州の録音法に基づく患者や医療提供者の録音に関する同意など)も考慮すべきである。
2. 不適切な業務提携契約(BAA)
被保険事業体または他の業務提携先に代わってPHIにアクセス、保存、またはその他の方法で処理を行うAIスクライブベンダーは、ほぼ常にHIPAA上の業務提携先(BA)に該当します。しかし、ベンダー契約において以下の問題が確認されています:(a) 準拠したBAA(業務提携契約)が欠如している、(b) ベンダーの責任を実質的に免除する過度に広範な免責条項を含む、または(c) 許可された利用・開示を定義していない、もしくはHIPAAで許可されていない利用・開示を含んでいる (例:適切な認可なしにベンダーがPHIでAIモデルを訓練することを許可する、またはHIPAAの例外要件を満たさない場合など)。
ヒント:すべてのAIベンダー契約を精査してください。BAAまたは基本サービス契約において以下を明確に定義していることを確認してください:アクセス・保存・処理されるデータの内容、データの使用方法(訓練に使用可能なデータを含む)、およびサービス提供後にデータが匿名化されるか保持されるかの有無。
3. セキュリティ対策の欠如
AIスクリブプラットフォームは攻撃者にとって高価値な標的である。これらのプラットフォームはリアルタイム音声の取得、臨床メモの下書き保存、またはAPIを介したEHRへの統合を行う可能性がある。プラットフォームが適切に保護されずデータ侵害が発生した場合、規制当局による罰金・制裁、集団訴訟、評判の毀損といったリスクが生じる。
HIPAA要件:被保険事業体および業務提携先は、PHIを保護するため「合理的かつ適切な」技術的・管理的・物理的保護措置を実施しなければならない。HIPAA規制対象事業体は、AIスクライブの使用を含めるようリスク分析を更新する必要もある。
4. 幻覚と誤った出力のモデル
AI書記ツール、特に生成モデルに基づくものは、臨床情報を「幻覚」または捏造することがある。さらに悪いことに、文字起こしエラーや患者誤認が発生した場合、情報を誤った患者に帰属させかねない。これは単なるワークフローの問題ではない。 PHI(個人健康情報)が誤ったカルテに挿入されたり、誤った個人に開示されたりした場合、HIPAAや州のデータ漏洩法に基づく違反となる可能性があります(さらに、誤った記録が将来の治療に影響を与える場合、患者に悪影響を及ぼす可能性さえあります)。
リスク管理:AIが作成したすべての記録に対して、人間が介在するレビューを実施してください。医療提供者が、記録を患者のカルテに入力する前にその正確性を確認するよう訓練されていることを確認してください。
5. 非識別化の誤謬
一部のベンダーは、データが非識別化されていることを理由に、自社のAIソリューションが「HIPAA準拠」であると主張しています。しかし、ベンダーはしばしば、HIPAA(45 C.F.R. § 164.514)で認められている二つの非識別化方法、すなわち「専門家による判断」または「セーフハーバー方式」のいずれかを厳密に遵守できていません。 いずれの方法でも完全に匿名化されていない場合、そのデータはHIPAA基準下で匿名化されていないものとみなされます。
コンプライアンス確認:ベンダーが「匿名化データのみを使用するためHIPAAの適用範囲外」と主張する場合、以下の点を確認してください:採用した匿名化手法、再識別リスク分析の証拠、および(該当する場合)起用した匿名化専門家の資格証明。 また、ベンダーがPHIの匿名化を委託される場合、当該匿名化作業に関して提供者とベンダー間でBAA(業務委託契約)が締結されている必要がある点に留意すること。
医療システムとデジタルヘルス企業のための実践的な次なるステップ
AIスクリブの評価または導入を検討中の企業向けに、イノベーションを阻害せずにリスクを軽減するヒントを以下に示します:
- ベンダーを徹底的に審査する
- 電子健康記録(EHR)ワークフローにガバナンスを組み込む
- 許可なく二次利用/訓練を制限する
- リスク分析を更新してください
- 医療提供者を訓練する
結論
AIスクリブは臨床文書化を変革している。しかし高度な自動化には、特にHIPAA下において大きな説明責任が伴う。ベンダー、デジタルヘルス企業、医療システムはAIスクリブを単なるソフトウェアではなく、患者ケアに組み込まれたデータ管理者として扱う必要がある。強固な契約上の保護措置を構築し、HIPAAで許可される範囲に限りPHIの使用を制限し、下流リスクを継続的に評価することで、デジタルヘルスのリーダーは不当なリスクを招くことなくイノベーションを受け入れられる。
AI、遠隔医療、テレヘルス、デジタルヘルスその他の医療イノベーションに関する詳細情報(チーム、出版物、代表的な実績を含む)については、著者各位、またはFoleyのサイバーセキュリティ・データプライバシーグループもしくはヘルスケアプラクティスグループのパートナーまたはシニアカウンセルまでお問い合わせください。
