医療AI開発におけるセキュリティの重要性

1. 医療AIにおけるデータのセンシティビティ

医療データとは、診療記録、検査結果、処方内容、病歴、画像データ、さらには患者本人のライフスタイルや遺伝情報などを含む、非常にセンシティブな情報の集まりです。これらの情報は、いわゆる「個人情報」の中でも特に厳しく取り扱う必要がある「要配慮個人情報」に該当し、法令上もその取り扱いに高いハードルが設けられています。

医療AIの開発では、こうしたセンシティブ情報を多数取り扱うため、一度でも情報漏洩が起これば、開発企業や医療機関に対する社会的信用は著しく損なわれます。また、当事者である患者の心身や生活に多大な影響を与える可能性もあります。

加えて、医療データの信頼性はAIの性能にも直結します。改ざんや漏洩などのインシデントが発生すれば、AIモデルの正確性や有効性にも疑念が生じ、プロジェクトそのものの存続すら危うくなりかねません。 したがって、医療AI開発におけるセキュリティ対策とは、単なるリスク回避にとどまらず、プロダクトの品質そのものを守る重要な要素なのです。

2. 見落とされがちな“サプライチェーン全体”のセキュリティ

医療AIの開発は、単一の企業だけで完結するものではありません。データの収集・提供を行う医療機関、データの匿名化処理を担う中間事業者、アルゴリズムの開発を行うAI企業、データアノテーションを担当するベンダーなど、多層的なサプライチェーンで構成されています。

この中で、仮にどこか1箇所でもセキュリティの弱点があれば、それが全体の脆弱性となり、情報漏洩や不正アクセスといったインシデントにつながるリスクがあります。特にアノテーションの現場では、複数の作業者が関与するため、セキュリティ教育や管理体制の不備がリスク要因となることもあります。

そのため、開発企業自身がセキュリティ対策を徹底するのはもちろんのこと、関係各社を含めた全体最適のセキュリティマネジメントが求められます。言い換えれば、「自社は安全」ではなく、「全体が安全」でなければ、医療AI開発の安全性は担保できないということです。

3. 「セキュリティ品質」~ベンダー選定の基準となるべき軸~

AI開発において、パートナーやベンダーの選定基準は、従来は「コスト・納期・品質」が中心でした。しかし、医療AIのようにセンシティブな領域では、これに加えて「セキュリティ品質」の高さを重視することが不可欠です。

セキュリティ品質は、以下のような法令・ガイドラインへの対応状況から見極めることができます。

・個人情報保護法への対応体制
・医療情報システムの安全管理に関するガイドライン（厚生労働省）への対応
・HIPAA（米国医療情報保護法）、ISMS（情報セキュリティマネジメントシステム）などの取得や運用状況

これらの法令やガイドラインは定期的に改訂されるため、「現在準拠している」だけでなく、法改正や技術進化に応じた継続的な改善体制が整っているかどうかも重要です。
ベンダー選定においては、「セキュリティガイドラインに準拠しているか？」だけでなく、「それらを現場レベルで本当に運用できているか？」という視点でセキュリティ品質の面から見極めることが求められます。

参考ブログ：医療系AIのアノテーションにおける課題と解決〜ノウハウを持つ外注ベンダーの活用〜

4. アノテーション企業としての責任と対策

私たちヒューマンサイエンスでは、医療AI開発におけるデータアノテーションの専門企業として、高水準のセキュリティ体制を構築・運用しています。法令に準拠した個人情報管理はもちろんのこと、当社はISMS認証を取得しており、ISMSの枠組みの中で、安全かつ適切に個人情報や匿名加工情報を管理・運用するだけでなく、PDCAを回すことで情報管理レベルの維持・向上を図っています。

個人情報に対する当社の代表的な取り組み

組織的安全管理措置

·「個人情報保護方針」および「情報セキュリティ管理ポリシー」を策定し運用。個人情報の利用目的や取り扱いなどをHPに掲載
参考リンク：ヒューマンサイエンス会社情報　情報管理・品質管理
·各部署にISMS委員を配置し、全社的な情報セキュリティ活動を推進
·アクセス権限を情報の機密レベルに応じて設定し明確なルールのもとで運用
·内部監査や外部審査機関による監査などを通じて継続的な改善を実施

人的安全管理措置

·全従業員にセキュリティ研修を実施
·外注業者にもNDA締結を必須とし、セキュリティ研修やセキュリティ対応状況のアンケートを毎年実施
·プロジェクト単位でのセキュリティ教育実施とNDAの追加締結にも対応
·インシデント対応体制を整備し、発生した場合には適切かつ厳正な対応・報告を実施

物理的安全管理措置

·個人情報や機密データを扱うエリアはIDカードもしくはセキュリティロックを導入し入退室管理
·お客様のご要望や案件のセキュリティ要件によって、顧客データの取り扱いはセキュリティルーム内に限定
·セキュリティルームは社員であってもプロジェクト関係者以外の立ち入り・私物端末の持ち込みは禁止
·セキュリティルームにプロジェクトマネージャーを常駐させ、案件の運用・監視を徹底
·全ての端末の暗号化はもちろんのこと、セキュリティルームで使用する移動可能な端末は常時ワイヤーロックを行い、使用後は施錠保管
·お客様よりお預かりした個人情報や機密情報は台帳管理され、PJ終了時速やかに廃棄

技術的安全管理措置

·お客様よりお預かりしたデータ管理には、弊社で許可されたクラウドサーバーを使用しアクセス制御を徹底（プロジェクト単位で設定）
·クラウドサーバへのアクセスには二段階認証・IP制限を導入し不正を防止
·OSやセキュリティソフトの更新状況を情報システム部門が一元管理し、未更新端末にはアラートを発信
·ご要望に応じてローカルアノテーションツール、オンプレサーバーでの作業にも対応

その他

·ご要望に応じて、弊社サイトでの匿名加工情報の取扱方針記載内容についてもご対応いたします
※ご対応は匿名加工情報の取り扱いの箇所のみとなります。

特に、高難易度かつ高セキュリティレベルが要求される医療AIプロジェクトにおいては、実績と対応力のあるパートナーが求められています。当社は、そうした現場の期待に応えられる体制と経験を有しています。

5. まとめ

医療AIは、医療の質を高め、人々の健康に貢献する極めて有望な技術です。そして、その進化のためには、質の高い医療データの活用が不可欠です。しかし同時に、データを扱う責任とリスクもまた増大しており、「セキュリティ」は医療AI開発における最重要テーマのひとつと言えるでしょう。

医療AIを支える全ての企業・機関が、自らを「セキュリティの担い手」として捉え、サプライチェーン全体での安全性を追求する姿勢が求められています。

私たちヒューマンサイエンスは、これからもその一翼を担うパートナー企業として、安全で信頼できるアノテーションサービスを通じ、医療AIの発展とセキュアな社会インフラの構築に貢献してまいります。

6. ヒューマンサイエンスの医療系アノテーションサービス

●医療系画像の豊富なアノテーション経験

弊社では手術画像やMRI画像など、スキルトランスファーが必要とされる難易度や専門性の高い医療系画像アノテーションに多くの経験がございます。医療系画像アノテーションプロジェクトの経験豊富なPMに加え、作業経験者も多く、難易度や専門性が高く、スキルトランスファーが必要な案件であっても高品質のアノテーションを実現いたします。

●医師監修や医師によるアノテーションへの対応

一般の作業者だけで全ての作業を行うのは、やはり心配な場合もあるでしょう。そうした場合に一部チェック作業などで医師の監修をつけるなどのご要望もいただきます。こうしたご要望に応えるべく医師の監修体制もさらに強化しており、より難易度の高いアノテーションにも対応可能です。また、一般の作業者ではなく医師によるアノテーションをご要望の場合でも、リソース確保から品質・進捗管理までPMが伴走して万全のマネジメントサービスをご提供いたします。

●クラウドソーシングを利用しないリソース管理

ヒューマンサイエンスではクラウドソーシングは利用せず、当社が直接契約した作業担当者でプロジェクトを進行します。各メンバーの実務経験や、これまでの参加プロジェクトでの評価をしっかりと把握した上で、最大限のパフォーマンスを発揮できるチームを編成しています。

●自社内にセキュリティルームを完備

ヒューマンサイエンスでは、新宿オフィス内にISMSの基準をクリアしたセキュリティルームを完備しています。そのため、守秘性の高いデータを扱うプロジェクトであってもセキュリティを担保することが可能です。当社ではどのプロジェクトでも機密性の確保は非常に重要と捉えています。リモートのプロジェクトであっても、ハード面の対策のみならず、作業担当者にはセキュリティ教育を継続して実施するなど、当社の情報セキュリティ管理体制はお客様より高いご評価をいただいております。

●アノテーションのみならず生成系AI LLMデータセット作成・構造化にも対応

データ整理ためのラベリングや識別系AIのアノテーションのみでなく、生成系AI・LLM RAG構築のためのドキュメントデータの構造化にも対応します。創業当初から主な事業・サービスとしてマニュアル制作を行い、様々なドキュメントの構造を熟知している当社ならではのノウハウを活かした最適なソリューションを提供いたします。