ChatGPT に患者さんの病状を入力して文書を作っている。Claude に診療内容を貼り付けて要約させている。在宅医療を支える現場で AI を使う動きは、この一年でかつてないスピードで広がりました。便利です。本当に便利です。文書作成にかかっていた時間が半分以下になり、職員の負担も大きく減ります。

しかし、その AI に貼り付けられた患者さんの情報が、いま「どこの国の、どこの会社の、どこのサーバーで処理されているか」を、患者さんご本人やご家族に説明できる事業者は、実はそれほど多くありません。これはクリニックだけの話ではありません。訪問看護ステーションも、訪問服薬指導をしている薬局も、ケアマネジャー事業所も、患者さんの情報を扱うすべての事業者に同じ責任が課されています。米国のサーバーに送られ AI 提供会社の学習データに混ざる可能性が排除されているか。誰がいつ何を入力したかが追跡できるか。患者さんの同意が取れているか。これらの質問に明確に答えられないまま、現場の判断で「ちょっと便利だから」と AI を使い続けている状況を、私たちは「こそこそ AI 利用」と呼んでいます。

ご家族から、医療と AI について不安の声が届くことが増えてきました。「親のカルテ、ChatGPT に入れられたりしませんか」「うちのおじいちゃんの病状、どこかに残ったりしないですか」「訪問看護師さんが持ってきた書類、もしかして AI で作ってませんか」。当然の不安です。そして、その不安に「大丈夫です」と即答できる事業者は、制度面・技術面の両方で相当の準備を済ませている必要があります。

私たちごうホームクリニックは、医療情報の取り扱いに関する国のガイドラインに沿って、クリニック内のすべての AI 業務利用を国内リージョンの基盤に統合し、法的根拠と運用ルールを整えています。本記事では、在宅医療を支える現場全体の AI 利用に潜む「見えないリスク」の正体、当院のあり方、そして患者さんとご家族が 事前面談で聞いておくべき質問 をお伝えします。「在宅医を選ぶ視点」のひとつとして、AI の取り扱いを問うことは、これからの時代の当然のチェックポイントになります。

 

■クリニックだけの話ではない――在宅医療を支える連携先全体の課題

◎訪問看護ステーション、薬局、ケアマネ事業所も同じ責任を負う

在宅医療は、クリニックの医師だけで成り立つものではありません。訪問看護ステーションの看護師、訪問服薬指導をしている薬局の薬剤師、ケアマネジャー、訪問リハビリ事業所、訪問介護事業所。患者さんを取り囲む多くの専門職が、それぞれ患者さんの病状や生活状況に関する情報を扱いながら、連携してケアを提供しています。

この「情報を扱う」という一点で、すべての事業者は同じ責任を負います。患者さんの病状や生活情報を AI に入力する場合、誰が入力しても、どの事業所が入力しても、求められる要件は同じです。訪問看護ステーションが訪問記録を AI に要約させるとき、薬局がお薬手帳の情報を AI に貼り付けて服薬指導文を作成するとき、ケアマネがアセスメント情報を AI に整理させるとき――すべての場面で、3省2ガイドラインの要件は適用されます。

◎連携の「いちばん弱い場所」がリスクの実体になる

医療連携において重要なのは、「いちばん弱い場所」が全体の安全性を決めるという事実です。クリニックがどれだけ厳格に AI 運用を整えていても、連携先の訪問看護ステーションや薬局が「個人の便利アカウントで ChatGPT に患者情報を入力している」状態であれば、その時点で患者さんの情報は守られていません。

逆に、連携している全事業者が、それぞれの責任で要件を満たした AI 運用を行っていれば、患者さんの情報は連携の輪のどこを通っても安全に保たれます。在宅医療の AI 利用は、関係者全員で取り組むべき課題です。

◎当院から連携先へのお願いと、相互の確認

私たちは、連携している訪問看護ステーション、薬局、ケアマネ事業所、訪問介護事業所の皆様に、AI 利用についての考え方を共有させていただいています。「使うな」ではなく「使うなら要件を満たして使う」というスタンスをお伝えし、必要に応じて当院の規程・運用手順書をご提供しています。患者さんを真ん中に置いた連携を続けるための、当然の話し合いだと考えています。

 

■在宅医療の現場に広がる「見えないAI利用」――気づかれていない3つのリスク

◎リスク①「情報がどこに行っているか分からない」

まず最大のリスクは、AI に入力された情報の行き先が、現場の職員にも見えていないことです。一般的な対話型 AI サービスは、利用者が「日本から使っている」つもりでも、実際の処理は米国のサーバーで行われているケースが大半です。医療情報がそのまま海外のサーバーに送信されているわけですが、現場では「画面に向かって日本語を入力している」感覚だけで、国境を越えていることを意識しづらい設計になっています。

加えて、契約条件によっては入力された内容が AI 提供会社の「学習」に利用される可能性が残ります。これを止めるためには、利用者側で明示的に契約や設定変更が必要です。個人の便利アカウントで使っている場合、この設定が抜けていることは少なくありません。

◎リスク②「誰がいつ何をしたか追えない」

二つ目のリスクは、業務 AI の利用記録が残っていないことです。職員 A さんがいつ・どの患者さんの情報を・どのモデルに入力したか。エラーは起きなかったか。これらが追跡できなければ、万が一の情報インシデント時に「誰が何をしたのか分からない」という事態になります。

医療機関には、患者さんの情報を扱った行為について説明責任があります。「AI に入れて文書を作りました」だけでは、医療情報の管理として不十分です。誰がいつ何をしたかの監査ログがなければ、運用していると胸を張って言うことはできません。

◎リスク③「患者さんの同意がない」

三つ目は、患者さんに同意を得ていないことです。「便利だから使っている」「他のクリニックもやっている」「個人情報を直接入力していないから大丈夫」――これらは、医療現場の AI 利用を正当化する根拠にはなりません。患者さんは、ご自身の情報がどう扱われるかを知り、選ぶ権利があります。

ご家族から「うちの親の情報、AI に入れられていますか」と聞かれたとき、「使っています、同意書もお渡ししています、止めたいときは止められます」と答えられること。これが、医療機関と患者さんのあいだの最低限の信頼関係です。

 

■なぜ「ちょっと便利だから」では済まないのか

◎医療情報には特別なルールがある

患者さんの病名・治療内容・家族構成・生活歴。これらは個人情報のなかでも「要配慮個人情報」と呼ばれ、通常の個人情報よりも厳格な扱いが求められます。漏れたときの影響が大きく、本人が選択する余地が小さく、いったん広がると取り返しがつかないからです。

国は医療情報の取り扱いについて、複数のガイドラインを示しています。代表的なのが、いわゆる「3省2ガイドライン」と呼ばれる体系で、厚生労働省・経済産業省・総務省の3省が、医療情報を取り扱う事業者と医療機関に対して、満たすべき技術的・組織的な基準を示しています。

AI を業務に使うこと自体は禁じられていません。しかし、患者さんの情報を入力する以上、これらの体系に沿った運用が求められます。「便利だから」「効率化のため」は、要件を満たさなくてよい理由にはなりません。

◎「個人を特定する直接情報を入れていないから大丈夫」は通用しない

現場でよく聞かれる弁解に、「氏名は入れていない」「生年月日は入れていない」「だから個人情報ではない」というものがあります。しかし、医療情報の世界では、年齢・性別・病名・地域・治療経過の組み合わせだけで、特定の個人にたどり着けてしまう場合があります。これを「容易照合性」と呼びます。

「直接の名前を入れていないから」という理由で、AI に病状や経過を入力することは、医療情報保護の観点では十分な配慮とは見なされません。要件を満たすためには、データの取り扱い、契約、リージョン、監査ログ、患者同意のすべてを揃える必要があります。

 

■国が示した道――生成AIを医療で使うための「成立条件」

◎厚生労働省が示した実務的な指針

医療現場の AI 利用について、国は明確な方向性を示しています。厚生労働省のガイドライン Q&A において、生成 AI を医療で利用する条件として「入力情報が AI の学習等のために保存されないことが契約等で担保されていれば、生成 AI サーバが国内法の適用を受けなくても利用可能」という整理が示されました。

この一文は、医療現場の AI 利用にとって大きな意味を持ちます。要するに、次の三つが揃っていれば、生成 AI を業務に使うことは法的に成立する、という整理です。

• 入力情報が AI の学習に使われないことが契約で担保されていること（Zero Data Retention）
• 医療情報の安全な取り扱いについて、AI 提供事業者と医療機関のあいだに正式な契約が結ばれていること（BAA や DPA と呼ばれる契約類型）
• 適切な技術的・組織的な管理体制が整っていること（リージョン選択、職員別の追跡、監査ログなど）

加えて、医療・ヘルスケア分野における生成 AI 利用ガイドライン、ヘルスケア生成 AI 活用ガイドなど、複数のガイダンスがこの方向性を補強しています。「便利だから個人で使う」と「組織として要件を満たして業務に使う」の境目は、ここで明確に引かれています。

 

■当院がたどり着いた答え――AWS Bedrock 東京リージョンでの統合運用

◎「正解はひとつではない」という前提

医療で生成 AI を使うための要件は、特定のクラウドサービスでしか満たせないわけではありません。AWS Bedrock（Amazon）、Azure OpenAI Service（Microsoft）、Vertex AI（Google）の3大クラウドはいずれも、ZDR（入力情報を学習に使わない契約）、国内リージョン（東京・大阪）、医療情報を扱うための正式契約類型（BAA・DPA）、第三者認証（SOC 2・ISO/IEC 27001 等）を満たしており、要件を整えれば医療業務に使える基盤として成立します。

つまり「どの基盤を選ぶか」よりも、「どの基盤であっても、契約と運用を要件に合わせて整えているか」のほうが、本質的には重要です。当院が AWS Bedrock を選んだのは、当院の既存システム構成・利用したい AI モデル・職員別の追跡設計との相性が良かったためであり、他の事業者が Azure や Vertex を選択することも、同様に正当な判断です。

連携先の訪問看護ステーション、薬局、ケアマネ事業所などが、それぞれ最適な基盤を選んでいただいて構いません。大切なのは「説明できる側に立つ」というスタンスを共有することです。

◎処理を国内に閉じる

私たちは、業務で使う AI のすべての処理を、国内のクラウド基盤の東京リージョンに集約しました。具体的には、Amazon が提供するクラウド AI サービス（AWS Bedrock）の、日本専用のクロスリージョン推論プロファイルを採用しています。患者さんの情報が国外のサーバーに送られない設計です。

◎学習に使われない契約を結ぶ

AI 提供事業者との間で、入力情報が AI の学習に使われないことを契約で担保しています。さらに、医療情報を扱うための正式な契約類型である BAA（Business Associate Addendum）、DPA（Data Processing Addendum）、NDA を締結済みです。第三者認証として、SOC 2 Type II・ISO/IEC 27001・27017・27018 を満たす基盤を選択しています。

◎「誰が・いつ・何をしたか」を完全に追跡する

職員一人ひとりに専用の AI 利用キーを発行し、利用記録を二層で管理しています。インフラ層では AWS の標準監査ログ（CloudTrail）が5年間保管され、アプリケーション層では当院独自の監査スプレッドシートに、職員 ID・対象患者の通し番号・文書種別・モデル名・使用量・コストが自動記録されます。「他の職員のキーで使うこと」は規程で禁止し、いざというときに「誰が何をしたか」を一行ずつ説明できる状態を保っています。

◎退職時の情報遮断

職員が退職する際には、AI 利用キーを無効化し、以後の利用を物理的に止める設計です。過去の利用記録は復元できない設計のまま、証跡として残ります。「退職した職員の権限が放置されたまま」というよくあるリスクを、運用ループとして閉じています。

 

■制度として整える――規程・同意・監査・運用の四点セット

技術だけ整えても、組織として運用が回らなければ意味がありません。当院は、AI 業務利用を「制度」として確立するため、次の四点を同時に揃えました。

規程整備: 情報セキュリティ基本方針、運用管理規程、生成 AI 利用基準の三層構造で、AI 利用のルールを明文化しました。生成 AI 利用基準は13セクションにわたる包括的な内規で、処理リージョン、利用可能なモデル、契約担保、第三者認証、監査ログ、改訂タイミングまで規定しています。

患者同意: 訪問診療申込書・同意書を改訂し、AI 利用への同意を独立した同意項目として設けました。患者さんが「同意する／同意しない」を選べる設計です。患者向け説明書も新しく作成し、申込時に丁寧にご説明します。同意されない方は、従来通り職員が手作業で文書作成を行います。同意を後から撤回することも可能です。

監査: 月次でログをレビューし、職員別・患者別・文書種別・トークン数・エラー率を確認します。異常があれば即座に対応します。

運用手順書: 新入職時の AI 利用キー発行、退職時の無効化、運用ガイドの更新まで、手順書として標準化しました。属人的な運用にしないことが、長く続く前提です。

 

■事前面談で聞いてほしい――「あなたの書類はAI生成されていますか？」

「在宅医の選び方」を考えるとき、これまでは「夜間に誰が来るか」「常勤医師は何人いるか」「看取りの実績はあるか」が代表的なチェックポイントでした。これからの時代は、もうひとつ加えていただきたい質問があります。

これは攻撃的な質問ではありません。患者さんとご家族が、ご自身の情報の扱いを知る正当な権利の表明です。同じ質問は、訪問看護ステーション、薬局、ケアマネ事業所に対しても投げかけてよい質問です。

◎事前面談で聞くと安心な5つの質問

事前面談やケアマネジャーとの面談、訪問看護ステーションの初回訪問時などに、次のような質問を投げかけてみてください。回答の歯切れの良さが、その事業者の準備度合いをそのまま映します。

1. 「AI を業務でお使いですか？ どんな場面で使われていますか？」――まず使っているかどうかを正直に答えられるか。「使っていない」と即答する事業者と、「実は職員が個人的に使っているかも」と言葉を濁す事業者では、組織のガバナンスに差があります。

2. 「私の情報を AI に入力する場合、どの国のサーバーで処理されていますか？」――国内処理に統一しているかが分かります。「分かりません」「気にしたことがありません」という回答は、要件を満たした運用がされていない可能性が高いサインです。

3. 「入力された情報が、AI 提供会社の学習に使われない契約になっていますか？」――契約上の担保があるかどうか。「個人アカウントで使っている」場合、この設定や契約が抜けている可能性が高いです。

4. 「誰が・いつ・何を AI に入力したか、記録は残っていますか？」――監査ログの有無を問う質問です。記録がなければ、万が一の際に「誰が何をしたか分からない」状態です。

5. 「私の同意がなくても AI を使えるのですか？ 同意しない選択肢はありますか？」――患者同意の制度がそもそも整っているか。同意書が用意されておらず、説明もないまま使われている場合は、運用として未整備だと判断できます。

◎答えが返ってこなくても、責めなくていい

これらの質問に明確な答えが返ってこないことは、必ずしも「悪い事業者」を意味しません。むしろ、医療現場の AI 利用は急速に広がった一方で、制度を整える時間が追いついていないのが現状です。質問することの本当の意味は、現場の方々に「患者さんはここを気にしている」という意識を共有することにあります。

質問されることで、その事業者は「次の半年で整えよう」と動き出すかもしれません。それは、患者さんが医療の質を引き上げる一歩でもあります。「変える側」に立てる小さなアクションとして、事前面談での質問を活用していただけたらと思います。

 

■患者さんとご家族へ――「説明できるAI」を選び続けるという約束

私たちは AI を、業務を効率化する道具としてではなく、患者さんとご家族により多くの時間を割くための手段として位置づけています。文書作成にかけていた時間を、ベッドサイドでお話しする時間に変えるためです。

しかし、その目的のために、患者さんの情報の取り扱いを甘くすることは絶対にしません。私たちが大事にしているのは、「便利さ」と「説明責任」のどちらか一方を選ぶのではなく、両方を同時に成立させることです。

AI を使うなら、どこで処理されているかを言えること。誰が使ったかを追えること。患者さんに同意をいただくこと。これらをすべて整えてから、初めて医療現場の AI 利用は成立します。当院はその道を選び、これからも更新し続けます。

患者さん・ご家族には、申込書改訂時に AI 利用への同意を明確にお伺いします。「同意しない」を選ばれる方も全く問題なく、従来通り職員が手作業で対応します。同意された方も、いつでも撤回できます。「説明できないなら使わない」「説明できるなら使う」――この単純な原則を、私たちは制度として守り続けます。

 

■よくあるご質問

◎Q. うちの親の情報は、ChatGPT のような海外サービスに送られていますか。

A. 当院では、業務で使う AI のすべての処理を国内の東京リージョンに集約しています。患者さんの情報が国外のサーバーに送られることはありません。また、AI 提供事業者との契約で、入力情報が AI の学習に使われないことを担保しています。

◎Q. AI の利用に同意したくありません。それでも訪問診療を受けられますか。

A. もちろん受けられます。AI 利用への同意は、訪問診療を受けるための条件ではありません。同意されない方は、従来通り職員が手作業で文書を作成します。同意の有無で診療内容に差が出ることもありません。

◎Q. 一度同意したら、後から取り消せますか。

A. はい、いつでも取り消せます。撤回をご希望の場合は、担当の職員または受付にお伝えください。撤回の手続きは速やかに行います。

◎Q. どんな場面で AI を使っているのですか。

A. 主に、診療文書の下書き作成、書類の整理、定型的な文章のまとめなどに使っています。診断や治療方針の決定そのものを AI に任せることはしません。医師の判断と責任のもとで、補助的に利用しています。

◎Q. 入力された情報は、本当に AI 提供会社に残らないのですか。

A. はい、契約で担保されています。当院が利用しているサービスでは、入力された情報が AI の学習に使われない契約条件と、医療情報を扱うための正式な契約類型（BAA・DPA）を締結済みです。技術的な仕組みと契約の両方で、情報の残存を防いでいます。

 

■私たちが大切にしていること

AI は、使い方を間違えなければ、医療を支える大きな力になります。しかし、患者さんとご家族の情報を扱う以上、便利さの裏側で「見えない場所」を作ってはいけません。どこで処理されているか、誰が使ったか、同意は取れているか。これらを患者さんに対して一つひとつ説明できる状態を、私たちは「説明できる AI 利用」と呼んでいます。

医療現場の AI 利用は、これからますます広がります。だからこそ、今のうちに「説明できる側」に立ち、患者さんとご家族の信頼に応えられる運用を続けていきたいと考えています。気になることがあれば、いつでもお気軽にご相談ください。

 

■参考文献・ガイドライン

本記事は、以下の公的ガイドラインおよび関連資料を参考に作成しました。

1. 厚生労働省 医療情報システムの安全管理に関するガイドライン 第6.0版――医療機関向けの安全管理に関する基本ガイドライン。AI 利用時の取り扱いを Q&A で補足。

2. 経済産業省 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第2.0版――事業者側の遵守事項を定めた、いわゆる3省2ガイドラインの一翼（総務省側ページ）。

3. 医療・ヘルスケア分野における生成 AI 利用ガイドライン 第2版（医療AIプラットフォーム技術研究組合 HAIP）――生成 AI を医療で利用する際の実務指針（本文PDF）。

4. ヘルスケア事業者のための生成 AI 活用ガイド 第2.0版（日本デジタルヘルス・アライアンス JaDHA）――活用事例と注意点を整理した実務向けガイド（本文PDF）。

5. 個人情報保護委員会 「要配慮個人情報」に関するFAQ――医療情報の特別な扱いの法的根拠（個人情報保護法）。

6. Amazon Bedrock セキュリティ・コンプライアンス――SOC 2 Type II・ISO/IEC 27001・27017・27018 等の第三者認証文書の所在。

7. AWS HIPAA Compliance（BAA／DPA関連）――当院と AWS のあいだで締結している医療情報取り扱いの正式契約類型の根拠ページ。

 

---