1. 米国健康医療業界の最新セキュリティインシデント事例 2. CSA Health Information Management WG「医療における人工知能」(2022年1月6日発行)の概要 3. Q&A／ディスカッション

1. 最新事例に学ぶ
クラウドネイティブな医療AIの
セキュリティ
(2022年6月3日)
Cloud Security Alliance
Health Information Management WG

2. AGENDA
1. 米国健康医療業界の最新セキュリティインシデント事
例
2. CSA Health Information Management WG
「医療における人工知能」(2022年1月6日発行)の概要
3. Q&A／ディスカッション

3. AGENDA
1. 米国健康医療業界の最新セキュリティインシデント事例
• 1-1. フロリダ州の精神科医療機関のクラウドストレージ上でのデータ侵害事案
• 1-2. がん患者支援団体のクラウドストレージ上での画像＋メタデータ侵害事案
• 1-3. 医療機関向け自律型搬送ロボットのクラウド型制御システムにおける脆弱
性事案
• 1-4. CSAの米国MITRE Engenuity「Attack Flow」を活用した遠隔手術支援
ロボットの脅威モデリングプロジェクト(現在進行中)

4. 4
1-1.米国フロリダ州の精神科医療機関サルスケア（SalusCare）「Case
2:21-cv-00250 | Florida Middle District Court」(2021年3月23日提
訴)
(https://www.docketalarm.com/cases/Florida_Middle_District_Court/2--21-cv-00250/Saluscare_Inc._v._Amazon_Web_Services_Inc/)
• 2021年3月16日、病院内のコンピューター技術者が、システムの不具合
を検知
• 不正アクセス監査ログを通じて、何者かによる不正アクセスがあり、
データ
ベースが複製されたことを確認した
• 複製されたデータには、患者および職員の個人情報（精神疾患や中毒
に
関する記録や社会保障番号など）約85,000人分が含まれていた
• ハッカーのコードはウクライナで生成された
• データベースから複製されたデータがクラウドストレージ上にアップ
ロードされた
(“John Doe”のアカウント名でストレージにアクセスしている)

5. 5
• 2021年3月19日、サルスケアは、米国保健福祉
省（HHS)の公民権室（OCR）宛に保護対象
保健情報(PHI)の侵害があったことを通知した
• 2021年3月23日、サルスケアは、フロリダ中部
地区連邦地方裁判所フォートワース支部に対し、
クラウドストレージ上に保存されたデータを保全
する一時的差止命令を求める申立を行った
• 2021年3月25日、裁判所は一時的差止命令を
発出した
出典：「Case 2:21-cv-00250 | Florida Middle District Court」(2021年3月23日)
(https://www.docketalarm.com/cases/Florida_Middle_District_Court/2--21-cv-00250/Saluscare_Inc._v._Amazon_Web_Services_Inc/)

6. 6
1-2. 米国SafetyDetectives「米国の慈善団体がユーザーの機微な画像を
露出」(2022年4月28日) (https://www.safetydetectives.com/news/breastcancer-leak-report/)
• 2022年4月28日、セキュリティ企業SafetyDetectivesの研究者が、米
国の乳がん患者支援団体Breastcancer.orgが利用するクラウドストレー
ジについて、バケットの設定ミスにより認証制御を設定しないまま、公
に利用可能の状態であったことを報告
出典：SafetyDetectives「US Charity Exposed Users’ Sensitive Images」(2022年4月28日)
(https://www.safetydetectives.com/news/breastcancer-leak-report/)

7. 7
• 公に露出状態になっていたBreastcancer.org・Webサイトのユーザー
データ
• 総ファイル数：350,000超、総データ容量：150GB超
• ユーザーのアバター：
• Breastcancer.orgユーザー50,000人超のアカウントから収集
したプロファイル画像で、その多くは登録ユーザーの画像の特
徴を示したものだった
• ユーザーのアバターとその画像に自動登録されたEXIFデータ(例.
位置情報)を組み合わせると、特定個人の識別が可能
• 投稿画像：
• Breastcancer.orgユーザーが投稿した総数300,000以上の画像
(医療目的の検査画像などを含む)および附帯するEXIFデータ
• EXIFデータには、使用したカメラ機材に関する詳細情報や、画
像を取り込んだGPS情報が含まれる（⇒特定個人の識別が可能)

8. 8
• Breastcancer.org・Webサイトの個人データに対する法規制
• HIPAA(医療保険の携行性と責任に関する法律)の適用対象外
• 消費者保護の観点から、連邦取引委員会(FTC)が所管する：
• 現行の「健康侵害通知(HBN)規則」により、個人健康記録(PHR)や
モバイルヘルスアプリケーションを提供するベンダーおよび関連するサード
パーティ・
アプリケーションを提供する事業者に対して、健康データ侵害を発見したら
60日以内(500人以上の個人が影響を受ける侵害の場合は10営業日以内)に、
FTCおよび
消費者に通知するよう求めている
*米国市民／居住者の健康情報を取り扱う海外のITベンダー／サービスプロバ
イダーにも適用される
• 2020年5月8日、FTCは、健康侵害通知（HBN)規則の一部見直し
提案に関する意見募集を開始
• FTCは、健康侵害通知規則が経済や技術、事業モデルの変化に即したもの

9. 9
• 2021年9月15日、FTCは、消費者の健康情報を収集または利用す
る
健康アプリケーションおよび接続された機器が「健康侵害通知規
則」を順守しなければならない点を訴求する政策声明書を発出し、
企業に対する注意喚起を行った
• 2022年5月20日、FTCは「予防を越えるセキュリティ：効果的な
侵害
情報開示の重要性」を公開
(https://www.ftc.gov/policy/advocacy-research/tech-at-ftc/2022/05/security-beyond-prevention-importance-effective-
breach-disclosures)
• 他の侵害通知法(例.HIPAA)に関わらず、関係者が十分予測可能な危害を
低減するのを支援するための情報開示を怠った侵害主体に対して、連邦取
引委員会(FTC)法第５条違反が適用される可能性があることを明記
• 効果的な検知と対応は、セキュリティプログラムの中核要素であり、それ
が失敗した場合には、起きたことを効果的かつ完全に情報開示すべきであ

10. 10
1-3. 米国Cynerio「CynerioがJekyllBot:5を発見して情報を開示、一連
の
重大なゼロデイ脆弱性により攻撃者は病院のロボットの遠隔制御が可能
に」
(2022年4月12日)
(https://www.cynerio.com/blog/cynerio-discovers-and-discloses-jekyllbot-5-a-series-of-critical-zero-day-vulnerabilities-allowing-attackers-to-remotely-
control-hospital-robots)
• 2022年4月12日、セキュリティ企業Cynerioの研究者が、世界中の病院
で
利用されているAethon製スマート自律型ロボットTUGの通信や制御を担
う
ホームベースサーバーに5つのゼロデイ脆弱性(JekyllBot:5)があること
を
サイバーセキュリティ・インフラストラクチャ庁(CISA)に報告
• 2022年4月12日、CISA)が「ICS Advisory (ICSA-22-102-05)
Aethon TUG Home Base Server」を発出(https://www.cisa.gov/uscert/ics/advisories/icsa-
22-102-05)

11. 11
• (参考)Aethon「医療・ホスピタリティ向けTUG自律型モバイルロボッ
ト」
(https://aethon.com/products/)
• 先進的なソフトウェアシステム：すべての配送を管理し、TUGロボットの配置を
最適化する
ソフトウェア・システムを通じて、ロボット群全体を調和させる
• 遠隔・クラウドモニタリング：24時間365日、アルゴリズムがTUGを効率的に監
視し現実の問題となる前に、潜在的問題を検知する。クラウドコマンドセンター
により、サポートの97%を遠隔で提供することを可能にしている
出典：Aethon「TUG
Autonomous Mobile
Robots for Healthcare and
Hospitality」
(https://aethon.com/prod
ucts/)

12. 12
• Aethon「サイバーセキュリティレポートに対する声明」(2022年4月12
日)
(https://aethon.com/aethon-statement-on-cyber-security-report/)
• Aethonは、当日CISAが標準的なプラクティスとして公開する前に、潜在的なサ
イバー
セキュリティの脆弱性についての告知を受けており、その通知前に、システム
パッチにより
低減策を講じていた。同社のあらゆるサイトで、脆弱性が実際に悪用されたこと
はなかった
• この問題について、サイバーセキュリティの脆弱性が修正されたことを認識する
記事がある点を歓迎する一方、特定の虚偽および／または誤解を招く声明もある
• この件に関するAethonのレビューを継続中であり、今後時期が来れば、対処する
予定
である

13. 13
• CISA「ICS Advisory (ICSA-22-102-05) Aethon TUG Home Base
Server」(2022年4月12日)の概要
(https://www.cisa.gov/uscert/ics/advisories/icsa-22-102-05)
• 影響を受けるシステム：TUG Home Base Server Version 24より前のバージョ
ン
• リスク評価：脆弱性を悪用した攻撃が成功すると、サービス妨害(DoS)の状態が
引き
起こされ、ロボットの機能を完全に制御することが可能になり、機微な情報が露
出する
• 詳細情報：TUG Home Base Serverに存在する脆弱性
1. 権限チェックの欠如 (CWE-862) ：権限のない攻撃者が、管理者特権を利用して任意に新規
ユーザーを追加したり、既存のユーザーを削除または修正できる
2. 権限チェックの欠如 (CWE-862) ：権限のない攻撃者が、ハッシュ化されたユーザーの資格
情報に、自由にアクセスできる
3. エンドポイント以外からのアクセスが可能なチャネル (CWE-300)：権限のない攻撃者が、
TUG Home Base Serverのwebsocketに接続して、TUGロボットを制御できる
4. クロスサイトスクリプティング (CWE-79) ：新たなレポートの作成・編集時、Fleet

14. 14
1-4. 米国MITRE Engenuity「Attack Flow」(2022年3月3日)
(https://ctid.mitre-engenuity.org/our-work/attack-flow/)
• Attack Flow:
• MITRE ATT&CKを利用して特定の行動を記述しながら、行動や資産に関する知識
プロパティに付随した一連の活動や資産を、機械判読可能な形で表現したものを
開発するプロジェクト
• 5つのオブジェクトから
構成される
• Flow自体
• 行動リスト
• 資産リスト
• 知識プロパティリスト
• 行動と資産の間の
因果関係リスト
出典：MITRE Engenuity「Attack Flow」(2022年3月3日)
(https://ctid.mitre-engenuity.org/our-work/attack-flow/)

15. 15
• GitHub: center-for-threat-informed-defense/attack-flow
(https://github.com/center-for-threat-informed-defense/attack-flow)
出典：MITRE Engenuity 「GitHub: center-for-threat-informed-defense/attack-flow 」(2022年5月31日時点)
(https://github.com/center-for-threat-informed-defense/attack-flow)

16. 16
• GitHub:cloudsecurityalliance/IoT-Medical-Cloud
(https://github.com/cloudsecurityalliance/IoT-Medical-Cloud)
• CSAの取組：Attack Flowを活用した遠隔手術支援ロボットの脅威モデリング
出典：Cloud Security Alliance IoT WG 「GitHub:cloudsecurityalliance/IoT-Medical-Cloud」(2022年5月31日時点)
(https://github.com/cloudsecurityalliance/IoT-Medical-Cloud)

17. AGENDA
2. CSA Health Information Management WG
「医療における人工知能(AI)」(2022年1月6日発行)の
概説

18. 18
2. Cloud Security Alliance「医療における人工知能」
(2022年1月6日発行)
(https://cloudsecurityalliance.org/artifacts/artificial-intelligence-in-healthcare/)
[構成]
1. イントロダクション
2. ロボティクス
3. ロボットプロセスオートメーション(RPA)
4. 診断・治療アプリケーション
5. ビッグデータ・予測分析
6. AIと遠隔医療
7. AIにおけるバイアス
8. COVID-19との闘いにおけるAI利用
9. 倫理的・法的課題
10.AIとクラウドコンピューティング
11.結論
• 参考文献
出典：CSA Health Information Management WG「Artificial Intelligence in Healthcare」（2022年1月6日）

19. 19
1. イントロダクション
• AIは単一技術ではなく、多くのタスクを実行する技術の集合体である
• 医療におけるAI利用の例
• 場所での持ち上げや再配置、物体の組立、病院内での補給品の配送の
ような予め定義されたタスクだけでなく、医療関係のタスクを実行す
る物理的
ロボット
• 構造化されたデジタル管理タスクを実行するロボットプロセスオート
メーション。診断・治療アプリケーションやルールベースのシステム
は、疾病の正確な診断や治療の見込を示してきた.
• 米国の平均的な看護師が、労働時間の25%を規制・管理活動に費やし
て
いることから、医療に必要とされる実質的な効率性を提供できる管理
アプリケーション
• ビッグデータと予測分析の重要性

20. 20
2. ロボティクス
• 新型コロナウイルス感染症(COVID-19)対応下で、病原体曝露の逓減対
策として、ロボットの導入が拡大
• ロボットは、病室を清掃・準備して、感染症病棟での対面接触を制限
するのに役立つ
• AI対応型医療識別ソフトウェアを備えたロボットは、病院において、
医薬品を特定、照合、配送するのに要する時間を削減する
• サプライチェーンにおいて、ロボットは、単調で反復的なタスクだけ
でなく、人間にとって潜在的に危険なタスクを引き受けることができ
る
• 米国陸軍向けの化学防護服の検証のために設計された例など、危険な
研究で、ロボットを利用することができるほか、人間にとって危険す
ぎる緊急状態で
• ロボットが有益となる方法がある
• 具体的事例：ダ・ヴィンチの手術支援ロボット、ジョンソン・エンド・

21. 21
3. ロボットプロセスオートメーション(RPA)
• 医療におけるRPA利活用のユースケース
• 診察予約：患者は、医療機関を調べて、開いている時間を見つけるだ
けで、診察を予約することができる
• 医療費精算：RPAにより、医療費は、エラーすることなく、患者に請
求される
• 請求管理：RPAにより、患者がチェックインしている間に、保険請求
様式への入力作業が自動処理される
• 患者指示票：患者面接の後、RPAは、指示票を出力し、診察予約や臨
床
検査、医用画像、医療機関の指示について患者に通知することができ
る
• 監査手順：RPAは、効率的なファイル・データ検索システムを有する
ことによって、様々な監査で医療機関に要求されるデータを生成し、
監査のためのタスクを自動化し、管理業務スタッフの負荷を削減でき

22. 22
4. 診断・治療アプリケーション
• 診断領域におけるAI利用のメリット：コスト削減、早期診断、潜在的な
人命の保護など
• 診断・治療アプリケーションにおけるAI利用のユースケース
• がん領域において、MLは、がん専門医が早期ステージで病気を検知するのに役立
つ
A) 血液・培養分析における正確性の向上
B) 疾患した細胞のマッピングと関心領域のフラグ立て
C) 腫瘍のステージングパラダイムの構築
D) 医療専門職の生産性向上
• 皮膚科において、AIは、臨床意思決定を改善し、皮膚病診断の正確性を保証する
ために利用される
A) 良性皮膚損傷から悪性黒色腫を分離するアルゴリズムの利用
B) 皮膚のほくろの進展や変化を追跡するツールの導入
C) ニキビや爪真菌、脂漏性皮膚炎向け生物学的マーカーを検出するアルゴリズ
ムの利用
• MLやAI技術は予防遺伝学の鍵であり、ヒトゲノムの転写において一気に進歩する

23. 23
• 診断・治療アプリケーションにおけるAI利用のユースケース(続き)
• 精神疾患領域において、AIは、メンタルヘルス研究や、MLを介した医学診断に影
響を
およぼすことができる
• 神経科学や神経科は、分析スキャンから人間の脳に関する知見の提供や行動パ
ターンの
検知に至るまで、研究データの収集、処理、翻訳におけるAI導入からの恩恵を受
ける
• 技術的アルゴリズムは、脳卒中の予測や回復のモニタリングを支援したり、安静
時と脳卒中関連の麻痺を区別するのに役立てたり、90日以上の虚血性脳卒中患者
の回復カーブを
予測したり、早期発見の脳卒中患者を入院後48時間モニタリングしたりするのに
役立つ
• AIは、変性状態に関する研究を支援して、複雑な障害を特定し、最適な介入を支
援する
のに有益である
• AIは、眼科的な状態の診断を支援する

24. 24
5. ビッグデータ・予測分析
• 医療機関におけるビッグデータ・予測分析導入のユースケース
1. スタッフ配置改善のための患者予測
2. プレシジョンメディシンおよび新たな療法の開発
3. リアルタイムの警告
4. 患者のエンゲージメントの強化
5. 情報に基づく戦略的計画向けの健康データ利用
6. 医療診断
7. 遠隔医療
8. 医用画像
9. 先進的なリスク・疾病管理
10.メンタルヘルスへの介入

25. 25
6. AIと遠隔医療
• 遠隔医療は、COVID-19緊急対応下におけるソーシャルディスタンス対
策の
観点から、医療機関と患者の間の安全性および効率的なコミュニケー
ションの
ための重要技術として成長している
• 世界保健機関(WHO)の政策によると、遠隔医療は臨床サービスや臨床意
思
決定支援のための代替モデルの1つであるべきであるとしている
• 遠隔医療は、電子医療カードの配布から個人相談に至るまで、AIを広く
有効
活用する業種の1つになっている
• 遠隔医療サービスは、対面で見る患者数を削減することによって、
COVID-19
曝露のリスクを低減した患者や医療機関にベネフィトをもたらした

26. 26
7. AIにおけるバイアス
• 医療AIにおけるリスク課題としてのバイアス:
医療システムにおけるバイアスは、有害な患者アウトカムにつながる可
能性があるので、AIシステム全体の中で、リスクを特定し、低減策を講
じながら、運用管理
していく必要がある
• バイアスの原因：
• 1. 認知バイアス：
集団のメンバーシップに基づく個人または集団に対する感情。認知バイアスは、
判断に影響を及ぼす人々の経験や感情の傾向を説明する用語である。AIの意思決
定に関してみると、顕著な認知バイアスは利用可能性ヒューリスティックであり、
人間は自分の現在の信念を支持するような情報に頼る傾向があるというものであ
る。
A) 認知バイアスは、以下のいずれかで、MLアルゴリズムに組み込むことができ
る。
i. 無意識のうちにアルゴリズムに導入する設計者

27. 27
• AIアルゴリズムから不必要なバイアスを取り除くために、推奨するス
テップ
1. 評価対象となるアルゴリズムやデータを理解する。設計チームに
多様性を導入することによって、意思決定プロセスにおける文化
的な機微性の役割を支援できる。
2. すべてのデータについて、バイアスを検証する。不必要なバイア
スを評価し、低減する手法がある。
3. バイアスを特定するとともに、プロセス改善を可能にする方法を
探し求める。トレーニングや設計、文化的変化を通じて、プロセ
スを改善し、バイアスを低減することができる。
4. 多様性のあるAIチームを維持することによって、不必要なバイア
スの低減に役立てることができる。アルゴリズムのライフサイク
ル全体を通して、AI

28. 28
8. COVID-19との闘いにおけるAI利用
• COVID-19緊急対応下で利用されたAIアルゴリズムのユースケース
• 医療リソースの最適化
• 病院のリソース配分の優先順位付け – 医療スタッフ、病床、人工
呼吸器など
• 発生地における医療センターの設置
• ワクチン開発における、利用可能なデータセットに基づく追加接種の
強化
• ワクチン配送における、影響の大きい地域により早くよりよく到達す
るための
モデル
• COVID-19と診断された個人接触または近接した人々を追跡するため
に、
携帯電話データを分析することによって、コミュニティにおける拡大
を防止する

29. 29
9. 倫理的・法的課題
• 医療AIにおける倫理的課題
1. 利用に関するインフォームドコンセント：
• 臨床医は、システムが利用する機械学習(ML)の形態、入力するデータの種類、
利用
するデータにバイアスまたはその他の欠点がある可能性など、AIの複雑性の
周辺に
ついて患者を教育する責任があるか？ 臨床医は、AIが利用されていることを
患者に
通知する責任があるか？
2. 透明性と安全性：
A) 最近のAI研究は、過去事例を利用して課題の内部モデルを構築したり、その
モデルを
利用して、新たな患者に関する推論を行ったりするMLに焦点を当ててきた。
MLシステムは、患者を管理するために、データに基づく診断を行い、患者の
アウトカムを改善する
ことができる。臨床意思決定支援システムにおいて、ルールは専門家によっ
て記述され、明確な来歴を有するものであり、申し分のない根拠に基づいて

30. 30
3. データプライバシー：
• 安全性を保証し、患者の信頼を得るために、透明性に関する公正な措置があるべ
きである。AI開発者は、利用するデータおよびバイアスのようなあらゆるソフト
ウェア課題に関して透明である必要がある。カリフォルニア大学バークレー校の
研究によると、AIにおける進化は、1996年医療保険の携行性と責任に関する法
律（HIPAA)を時代遅れになったという。
なぜなら、HIPAAはテック企業をカバーするわけではない－医療サービスを提供
する組織に由来する時、HIPAAは、患者の保健データを保護するのみである。
HIPAAはまた、顧客データを製薬企業やバイオテック企業に販売する遺伝子検査
企業を規制していない。遺伝子検査はAIを利用しないが、このような事例は技術
ソリューションを開発する際にプライバシー権を阻害する可能性を示している。
遺伝子検査企業は、単に祖先について語っている
だけではなく、特定の健康リスクに対する遺伝的素因に関する価値ある情報を提
供する。2017年、23andMeは、10の疾病リスク（セリアック病、遅発型アルツ
ハイマー病、パーキンソン病など）について、顧客の遺伝子情報を分析する規制
上の承認を得た。このデータ利用の1つには、予測的な遺伝子検査を利用して、

31. 31
• 医療AIにおける法的課題
1. 安全性：
ブラックボックス医薬品や、医療に関する意思決定を行う不透明な計算処理モデルの利用を
安全に遂行することがとても重要である。MLのような手法を、説明や意味の人間的な概念に役立て
ることは容易でない。MLのアウトプットは、通常、確率論的で不可解なものである。
どのようにしたら医療提供組織(HDO)は、利用するブラックボックス化したソフトウェアが安全であ
ることを保証できるかという疑問がある。米国では、食品医薬品局(FDA)が、医療システムにおける
AIを規制しており、このような能力や目的を主張してきた。
2. 責任：
万一、AIシステムが誤った推奨事項を与え、臨床医がその推奨事項を採用して患者に害が及んだら、
誰が責任を取るのか？ 臨床医が推奨事項に関する行為の責任を負うのか、それとも開発者が責任を
負うのか？厳格な
責任理論の下で、開発者は、AIにおける欠点の責任を負う可能性がある。少なくとも短期的に、AI自
体は、その行為や欠落についておそらく責任を負わないだろう。その結果、プロセスに関与する人々
（開発者と医療者）は、おそらくAIに関する責任に接するであろう。責任が専門家の責任か製品の責
任かは、AIが遂行する機能に依存する。どのように責任を設定するかは、抑制しようとして補償する
か、単に補償するかによる。補償アプローチは、
米国におけるワクチン補償を反映したものであり、開発者が出資し、危害を受けた人々に支払うこと
によって、

32. 32
3. データ保護とプライバシー：
AIは、パターンを見分けて学習し、結論づけて、まったく新しいインサイトを生み出すために、膨大
な量の分析データを必要とする。医療産業を変革できる最先端の技術がある一方、必要な技術は必ず
しも最先端である必要はない－時には、患者記録にアクセスし、予約して、器具を設定する簡単な能
力である。最先端の日常的な技術はデータに対するニーズがあり、このデータの利用は、データを保
護する責務を伴う。AIは、プライバシー侵害とサイバーセキュリティ脅威に関する固有の課題やリス
クを引き起こし、患者や医療提供組織に明らかにネガティブな
影響をもたらす。すべてのデータのプライバシーを保証するためには、データプライバシー法規制が
更新され、AIやMLのシステムで利用されるデータを含むことが求められる。プライバシー法は、AI
やMLにおけるイノベーションを
説明するために一貫性があり柔軟であることが必要である。現行規制は、技術における変化に追いつ
いていない。HIPAAはデータの非識別化を求める；しかしながら、今日の技術は、非識別化データを
リンクさせて識別化を
もたらす。
4. データセキュリティ：
万一、キュリティは、AIに新たな課題をもたらし、アルゴリズムの大半は大量のデータセットへのア
クセスを必要とするという事実により悪化させる。システム間の大量のデータ移動は、大半の医療提
供組織にとって新しいものであり、データ侵害の確率に対してより敏感になる。AI向けに大規模デー
タセットを保存すると、ハッカーにとって魅力的な標的となる。セキュリティは常に最重要である；
しかしながら、利害関係者は、医療ITエコシステムにおいてAIが発展するために不可欠なデータ共有
の課題と期待にもっと精通すべきである。医療AIおよびML機器を保護するために、医療提供組織が

33. 33
5. 知的財産法：
このような法律は、ブラックボックス医薬品の開発向けに別の課題をもたらす。AIやビッグデータを、
安全で効果的な製品やサービス、プロセスに変えるには費用がかかる。医療提供組織は、巨額の金を
ブラックボックスのアルゴリズム開発に投資する。どのようにして、投資を保護することができるだ
ろうか？ 理想的には、知的財産法は、AIやMLの開発者を保護するものだが、知的財産は、ブラック
ボックス医薬品向けには比較的弱い。特許は、技術的イノベーションを保護するにはよい選択だが、
特許はブラックボックス医薬品に対する強力な保護を提供しない。どのようにして医療提供組織がAI
への投資を保護するかという問いは、より明確化する必要がある重要課題である。
医療AIの倫理的課題
1. インフォームドコンセント
2. 透明性と安全性
3. データプライバシー
医療AIの法的課題
1. 安全性
2. 責任
3. データ保護とプライバシー
4. データセキュリティ
5. 知的財産法

34. 34
10. AIとクラウドコンピューティング
• すでにAI技術は、かつて医療機関が実行していたタスクを置き換えつつある。AIは、クラウドコン
ピューティングと組み合わせて稼働しながら、医療分野にデジタルトランスフォーメーション(DX)を
もたらしている。データ駆動型医療の導入とともに、医療機関は、将来のデータ管理・分析をAIに依
存するようになりつつある。それとともに、クラウドコンピューティングは、医療分野のデータ駆動
型AIイノベーションの共通基盤として、注目されている。
• AIの認知機能とMLは、大容量データ上で急成長しており、その拡張性や迅速なアクセスは、標準化さ
れたクラウド環境上で実現可能となっている。医療提供組織は、AIやMLをクラウドコンピューティン
グと組み合わせて利用することによって、費用を削減するだけでなく、患者アウトカムの改善に取組
んでいる。AIを備えたクラウドコンピューティングの利用は、現在医療提供組織に利用可能なビッグ
データセットから、意味のあるインサイトを引き出す際に、有効活用することができる。クラウドを
利用することによって、効果的なAIやMLに要求される大規模データセットの分析が可能になる。
• AIの進化は、医療機器や遠隔医療、IoMT（Internet of Medical Things)、デバイス、ビッグデータ
といった新技術の導入とともに加速している。これによって、医療提供組織は、AIやMLを利用した
データ分析に基づいて、慢性疾患の管理を改善し、潜在的な医療課題を特定することが可能になる。
医療提供組織は、クラウドの導入に合わせて、プライバシーやセキュリティの懸念事項に取組む必要
がある。特に、クラウドコンピューティングで利用される責任共有モデルが重要だとして、医療提供
組織に対して、リスクの評価・低減のために、コントロールが確実に設定することを推奨している。

35. 35
• 3. Q&A／ディスカッショ
ン