生成AIが業務現場に本格的に入り込んで数年が経ちました。介護・医療事業所を訪問する中で、最近特に強く感じていることがあります。それは、生成AIが普及する前と後では、企業に求められる情報セキュリティ対策の性質そのものが変わってしまったということです。
従来の情報セキュリティといえば、ウイルス対策ソフトの導入、パスワード管理、USBメモリ持ち出し禁止、といった「境界を守る」発想が中心でした。しかし生成AIの時代は違います。職員が良かれと思って入力した一文が、そのままAI提供企業のサーバーに送られ、場合によってはモデル学習の素材として使われるという、まったく新しいタイプのリスクが日常業務の中に混じり込んでいるのです。
これはもはや技術の問題というより、職場で生成AIを扱うすべての社会人の「マナー」として身につけるべきものになりました。個人情報を大量に取り扱う介護・医療事業所においては、なおさら避けて通れないテーマと考えます。
1.現場で散見される「危ういAI利用」の実態
事業所訪問や研修の場で話を伺っていると、正直に申し上げてヒヤリとする使い方が少なくありません。
第一に、無料版のChatGPTやその他AIツールを業務で使い続けているケースです。無料版は多くの場合、入力データがモデル学習に利用される設定が既定になっています。利用者氏名、家族構成、疾患名、ケアプランの文章などを貼り付けて「要約して」「文章を整えて」と指示すれば、その情報は事業所の外に出たと考えるのが正確です。
第二に、有料版を契約していても、学習オプトアウト等の基本的なプライバシー設定を一度も触らないまま使っているケースです。設定画面を開く習慣がないため、「契約さえすれば安全」という誤解が職場に広がってしまっています。
第三に、個人アカウントのAIを業務に流用しているケースです。管理者が把握できない端末・アカウントで、利用者情報が入力されている可能性を、経営者として否定できない状態です。
いずれも悪意があって行われているわけではありません。むしろ真面目に、熱心に業務を進めようとする職員ほど、ためらいなく入力しているというのが実感です。だからこそ、個人の注意任せにせず、組織として枠組みを整えることが急務なのです。
2.対策の三層構造 ― ハード・ルール・環境
介護・医療事業所が生成AIを安全に活用するための対策は、大きく3つの層に分けて整理すると分かりやすくなります。
第一層:ハード面・契約面の対策
- 業務利用は、学習に使われない法人契約プラン(ChatGPT Business/Team、Claude for Work、Microsoft 365 Copilot 等)に統一する
- 無料版・個人アカウントでの業務利用を原則禁止とする
- 端末はMDM等で管理し、業務用AIへのアクセス経路を明確にする
- 可能な範囲で、個人情報を扱う業務はオンプレミスまたは国内データセンター型のサービスを選ぶ
第二層:ルール面(ガイドライン)の対策
- 「入力してよい情報/絶対に入力してはいけない情報」のリストを明文化する
- 利用者氏名・生年月日・住所・疾患名・保険者番号など識別情報は原則マスキングしてから入力するルールを徹底する
- 生成された文章をそのまま外部に出さず、必ず専門職の目で最終確認する手順を定める
- インシデント発生時の報告ルート・初動対応を文書化する
第三層:利用環境・教育の対策
- 全職員向けに年1回以上、生成AIリテラシー研修を実施する
- 新人研修のカリキュラムに「AI利用時の個人情報保護」を組み込む
- 相談窓口(情報担当・管理者)を明確にし、迷ったらすぐ聞ける文化を作る
- 便利な使い方事例だけでなく、ヒヤリハット事例も組織内で共有する
この三層はどれか一つでは機能しないというのが私の確信です。契約だけ整えてもルールがなければ現場は迷い、ルールだけ作っても環境が伴わなければ形骸化します。
3.介護・医療事業所ならではの留意点
一般企業向けのAIセキュリティ解説記事は数多くありますが、介護・医療の現場ならではの論点をいくつか補足します。
① 個人情報保護法と介護保険法の二重規制
介護事業者は個人情報保護法に加えて、介護保険法上の守秘義務を負います。外部サービスへの情報送信は、利用者本人・家族への説明と同意という観点からも慎重を要します。重要事項説明書・契約書の見直しが必要になる場合もあるでしょう。
② 医療情報・要配慮個人情報の取り扱い
疾患名・服薬情報・ADL評価などは要配慮個人情報に該当します。一般の個人情報よりさらに厳格な管理が求められ、安易な入力は絶対に避けなければなりません。
③ 家族・外部機関への送信物のチェック
AIで下書きした文章をそのまま家族や地域包括支援センター等に送ってしまうと、ハルシネーションによる事実誤認がトラブルの火種になります。専門職の最終確認プロセスは、セキュリティであると同時に品質管理でもあるのです。
④ 小規模事業所ほど仕組みで守る
「うちは小さいから大丈夫」は最も危険な発想です。小規模事業所ほど属人的な運用になりやすく、一人のミスが事業所全体の信用失墜につながります。規模が小さいほど、ルールと環境で守るという発想の転換が必要です。
4.経営者・管理者が今週から着手できる3ステップ
完璧なガイドラインを一度に作ろうとすると、時間ばかりかかって一向に前に進みません。私がお勧めしているのは、次の3ステップです。
ステップ1:現状把握(1週間)
全職員に、「業務で使っているAIツール」「アカウント種別(個人/法人・無料/有料)」「どんな情報を入力しているか」を匿名でヒアリングする。おそらく経営者が想像している以上に多様な使われ方が見えてきます。
ステップ2:入力禁止リストと契約プランの確定(2〜3週間)
現状把握を踏まえ、「入力してはいけない情報」の一覧をA4一枚で作成する。同時に、法人として採用するAIサービスと契約プランを一本化する。ここを曖昧にしたまま研修をしても、職員は迷うだけです。
ステップ3:全職員研修とガイドラインの公布(1か月以内)
シンプルな資料で構いません。「これは入れてよい/これは絶対ダメ」の線引きを、具体例とともに共有する。その場で質疑応答を行い、現場の疑問を吸い上げて第二版に反映する、という運用が現実的です。
5.セキュリティ対策は「AI活用を止める」ためではない
最後に、経営者・管理者の皆様にぜひ持っていただきたい視点を申し上げます。
セキュリティ対策の目的は、AI活用を萎縮させることではありません。むしろ逆です。枠組みが曖昧なまま放置すれば、リスクを恐れた職員は使うのをためらい、一方で無頓着な職員は無防備に使い続ける、という最悪の二極化が起こります。
明確なガイドラインと安全な利用環境を整えるからこそ、職員は安心してAIを使いこなせるのです。これは、手指衛生や感染対策のマニュアルを整えるからこそ現場が安心してケアに集中できるのと、まったく同じ構造です。
おわりに
生成AIは、介護・医療事業所の業務効率化と人材育成において、もはや欠かせない道具となりつつあります。しかし個人情報を預かる事業の根幹を守る責任は、新しい技術が登場したからといって一切免除されないということを、経営者として強く自覚しておく必要があると考えます。
- 無料版・個人アカウントでの業務利用を見直す
- 学習オプトアウト等の基本設定を必ず確認する
- 入力してよい情報/いけない情報をガイドラインで明文化する
- 全職員に年1回以上の研修を実施する
この4点は、規模の大小を問わずすべての介護・医療事業所に共通するチェックポイントです。貴事業所でも、まずは今週中に「誰が、どのAIを、どんな情報で使っているか」の棚卸しから始めてみてはいかがでしょうか。
生成AIを職場で使いこなす力は、これからの社会人にとって基礎リテラシーです。安全な土台の上でこそ、その力は真に現場の味方となります。
筆者:木下浩志(NPO法人ちとせの介護医療連携の会 理事長/株式会社MCL 取締役/北海道介護福祉学校 非常勤講師/キャリアコンサルタント)
コメントを残す