クラウド上の医療AI利用促進のためのネットワークセキュリティ構成類型化と実証及び施策の提言

　医療AIは、深層学習による画像認識の飛躍的な精度向上により医療への有用性が示され、国内では内閣府SIP AIホスピタルにて医療の質向上や医療従事者の負担軽減、均霑化などの実証が進められてきた。最近では生成AIの登場により、可能性の幅は大きく広がっている。一方、個人情報保護への配慮が求められる現在、ランサムウェアなどのサイバー攻撃の危険性が高まっており、対応は喫緊の課題である。国立成育医療研究センター(NCCHD)は、AIホスピタルにおいて多くのAI開発を進め、それらアプリケーションの有用性を複数の小児医療機関で実証し、医療AIサービス利用上の課題等を先行して把握してきた。2021年4月設立された医療AIプラットフォーム技術研究組合(HAIP)は、医療機関が医療AIサービスを安全、安心、リーズナブルな費用で利用できる実行環境の研究開発を進めている。クラウド上のAIプラットフォームの実証をNCCHDの医療データを用いて、秘密分散、多要素認証、暗号化アルゴリズム、閉域網などの検証も行ない、医療AIサービスの開発、評価、実装、そして公開までをも提供するプラットフォームの完成を目指している。また宮城県を中心とした地域医療ネットワークシステムを主導的に運用する東北大学では、特にネットワークアーキテクチャ、さらには最近注目されているゼロトラストセキュリティの観点からこれらの問題解決に挑戦する環境が整っている。加えて、医療機関のシステム監査を多く手がけてきた徳洲会インフォメーションシステム(TIS)は、医療情報システムの安全管理に関する経験が豊富であり、人材不足や投資不足の問題も実際に目にしてきた強みがある。本研究は、クラウドシフトが進む医療AIサービスに対し、費用対効果の高いネットワークセキュリティ構成、そしてシステム監査のルールを示し、全国の医療機関、将来的には患者や市民も含め、安全、安心に医療AIサービスを受けられることを目指し、以上4機関が一体となってその実証と施策の提言を行う。
　本研究では、医療機関の設立母体、病床数、地域などの特性を踏まえて24病院、2クリニック、合計26医療機関に対して実態調査を行った。ヒアリング実施前に事前アンケート調査票を送付、その回答を入手することで確認すべき内容を明確にした。25医療機関については現地まで足を運び、また一部のヒアリングには厚労省厚生科学課担当官も同席し、対面によるヒアリングを実施した。このヒアリングを通して、医療機関のICT導入状況、ネットワーク構成、人員体制、リスクアセスメント実施状況、システムセキュリティ監査状況、保健所によるセキュリティ立ち入り検査対応状況などの実態を、そして医療現場が抱える課題を把握することができた。また、医療機関のシステム構成を技術面から3種類に類型化することができ、それぞれのメリット、デメリットを整理した。平均して100床あたり1名のシステム要員で院内システムのトラブル対応やセキュリティ対策を実施しており、リソース不足や知識不足、またベンダー依存体制が浮き彫りになった。技術面では、医療機関とクラウドシステムを安全かつ安心に接続するための必要とされる4種類のセキュリティ領域について、技術調査と整理を行った。システム監査については、2023年5月に発行された医療情報システムの安全管理に関するガイドライン6.0版の内容をセキュリティチェックリストへ反映、システム監査の実施方法の検討や報告書内容の検討を行った。また、地域医療連携システムに関わる医療機関に対してもアンケート調査を行い、高度化するランサムウェアには従来の境界型防御による対応では限界があることが明白となった。ゼロトラスト型のセキュリティ対策をガイドラインや、企業における導入例を参考に検討する必要があり、その実証実験を行うことができる環境をクラウドと1病院間に設置し、来年度以降の研究を展開できる基盤を整えた。ヒアリングを介して、カルテデータのバックアップや、リモート保守用途の接続、さらにはAI開発についても最新技術の検証が必要であると感じており、これらも折り込ませたプラットフォームとなっている。今後は、これら今年度の成果を基に、それぞれの医療機関が規模に対応したリーズナブルなコストで導入しやすい技術の実証を、規模に合わせて複数箇所で実施し、それに基づいたネットワークセキュリティ構成の提言、システムセキュリティチェックリストに基づいた監査の実施と監査方法の提言を実施する。個人情報保護の制約等により、AIについては期待通りの開発が進んでいない面もあるが、本提案による安全なシステムの実証により、患者、市民の参画を促し、さらなる医療技術の発展へと繋げることができる。