こんにちは。弁護士の伊藤です。
生成AIをユーザーとして使うだけではなく、自社が提供するサービスに組み込む(連携させる)事例が増えています。医療DXにおいても生成AIを利用したいというご相談が増えている印象なのですが、いわゆる3省2ガイドラインを遵守する観点からも注意が必要です。
生成AIに関する論点は多数あり、また、実務上の取扱いも現在進行形で変化している認識ですが、「自社が提供するサービスに組み込む(連携させる)」場合には、①自社、②利用者(自社サービスの利用者)、及び③生成AIの提供者という少なくとも三者が登場します。また、医療DXの場合は、入力等されるのは患者の個人情報であり、④患者も登場するため、議論が複雑となります。
特に重要な論点として、現行法を前提とすると、①自社(医療DXのサービスを提供する会社)としては、生成AIに学習させないようにしておく方がよいと考えられるため、今回はこの点を解説します。
1.個人情報保護法
医療DXのサービスにおいては、医療機関が保有する患者の個人情報が入力等されることがありますが、当該サービスが生成AIと連携している場合、個人情報の流れとしては以下のように整理される可能性があります。
| 患者⇒医療機関⇒自社(医療DXのサービスを提供している会社)⇒生成AIの提供者 |
この場合、以下の二種類の個人情報の提供について、個人情報(個人データ)の第三者提供として原則として本人(患者)の同意が必要となる可能性があります(個人情報保護法第27条第1項)。
①医療機関が、取得した患者の個人情報を、自社に提供している
②自社が、(医療機関から)取得した患者の個人情報を、生成AI提供者に提供している
しかし、医療機関としては、例えば医療事務の効率化のためにDXサービスを利用しているのであって、DXサービス提供会社への個人情報の提供について、医療機関が患者から同意を取得することは、通常は想定されていないでしょう(DXサービス提供会社においても同様です。)。
この点は、いわゆる委託の例外として、「個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」(同法第27条第5項第1号)に該当するとして、上記本人同意は不要と整理することが一般的です(但し、海外法人が提供する生成AIについては、同法第28条(外国にある第三者への提供の制限)についても検討する必要がある点、注意が必要です。議論が複雑となるため、今回はいったん第28条の適用はない生成AIという前提で検討させていただきます。)。
当該整理では、大要、利用目的の範囲内であることと、委託の範囲内であることが重要と考えられますので、上記①及び②のいずれにおいても、医療を提供する(ために医療事務を処理する)等の利用目的の範囲内において、医療事務を処理するという委託された業務の範囲内に限り、患者の個人情報を取り扱うことができると考えられます。
逆に、上記の利用目的や委託された業務を超えて、生成AIの学習のために患者の個人情報を利用してしまうと、目的外利用となってしまい、委託の例外に該当せず、個人情報保護法第18条第1項や第27条第1項等への違反となってしまう可能性があります。
(医療機関においては、患者の要配慮個人情報も取り扱っているところ、同意なき要配慮個人情報の取得に該当し、同法第20条第2項違反となる可能性もあります。)
上記については、個人情報保護委員会の「生成AIサービスの利用に関する注意喚起等」(令和5年6月2日付)においても、「個人情報取扱事業者における注意点」として以下の注意喚起がなされており、同様の趣旨と解されます。
①個人情報取扱事業者が生成 AI サービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的を達成するために必要な範囲内であることを十分に確認すること。
②個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成 AI サービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成 AI サービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること。
2.「3省2ガイドライン」
医療DXサービスについては、医療機関による利用には(ア)「医療情報システムの安全管理に関するガイドライン」(厚生労働省、最新版は令和5年5月)が適用される可能性があり、サービス提供者には(イ)「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(経済産業省・総務省、最新版は令和7年3月)が適用される可能性があります。
詳細は割愛しますが、例えばサービス提供者の方のガイドラインにおいて、適用対象となる「医療情報システム等」は「医療情報を取り扱う情報システムやサービス」と定義されており、FAQ等も踏まえると、適用対象となるサービスは相当程度広い理解です。
この点、生成AIの利用については、(ア)のガイドラインのFAQ44頁に以下のように記載されています(「医療情報システムの安全管理に関するガイドライン 第 6.0 版」に関するQ&A、企7章第⑤条)。
[企Q-26] 生成 AI サービスのプロンプトとして医療情報を入力する場合、入力情報が「AI の学習等のために保存されないこと」が、契約等において担保されていれば、生成 AI サービスのサーバが国内法の適用を受けている必要はないと考えて良いか? [A] よい。企画管理編「7. 安全管理のための人的管理(職員管理、事業者管理、教育・訓練、事業者選定・契約」の【遵守事項】⑤において、「保存された情報を格納する情報機器等が、国内法の適用を受けることを確認すること。」としているが、医療情報が保存されないことが、契約等において担保されている場合は国内法の適用を受けていないサーバを利用可能です。
上記は、医療機関が生成AIサービスを直接利用する場面を想定していると考えられますが、医療機関が医療DXサービスと連携した生成AIサービスを利用する場面も同様と考えられ、入力した医療情報がAIの学習に用いられないことが前提とされていると考えられます。
なお、「医療情報」とは「医療に関する患者情報(個人識別情報)を含む情報」と定義されており(「医療情報システムの安全管理に関するガイドライン第6.0番 概説編[Overview]」1頁)、個人情報を含むと考えられます。
上記Q&A自体は、医療機関に適用されるガイドラインのQ&Aですが、医療DXを提供する事業者としても、医療機関が遵守すべきガイドラインに即したサービス設計を行う必要があると考えられます。
「医療DXと生成AIサービスを連携させたい」、「医療DXを通じて生成AIに患者情報を入力してよいのか不安だ」といったご相談があれば、ぜひ当事務所までお問い合わせください。
■SeriesAZX
AZXでは資金調達を希望するスタートアップに投資家をご紹介しております!
▼Series AZXとは▼
エイジックスが新たに取り組みを始めた、資金調達を希望する起業家に、投資家を無料でご紹介するプログラムです。
詳細はこちら → https://www.azx.co.jp/series-azx