2026.02.27

AIに症例を入力した療法士へ──それ、ガイドライン違反かもしれません

83 posts

その入力、どこに行くか知っていますか
無料版と有料版で何が違うのか
学習に使われなければ大丈夫なのか
日本のガイドラインは何と言っているか
OK例とNG例
もし入力してしまったら
次回予告

その入力、どこに行くか知っていますか

「60代女性、膝OA、TKA術後3週。疼痛NRS4、ROM屈曲100度。リハプログラムについてアドバイスをください。」

こんな文章をChatGPTに入力したことはないでしょうか。

症例検討の下調べ、治療プログラムのヒント、論文の要約。AIを臨床の補助ツールとして使う療法士も少なくありません。便利なのは間違いない。でも、その入力した情報がどこに行くか、考えたことはありますか。

ChatGPTやGeminiの無料版は、何も設定を変えなければ、入力データがAIの学習に使われる可能性があります。設定をオフにしない限り、モデル改善に使われ得る設計です。自分で設定を変更しない限り、あなたが入力した症例情報は、将来のモデル改善のために保存・分析される可能性がある。

でも、問題はそれだけではありません。

無料版と有料版で何が違うのか

誤解している人が多いのですが、有料版だから安全とは限りません。

ChatGPTの場合、月額20ドルのPlus版でも、個人向けプランである限り、設定を変更しなければ入力データが学習に使用される可能性があります。オプトアウトするには、設定画面で手動で切る必要がある。この事実を知っているPTは、どれくらいいるでしょうか。

一方で、企業向けのEnterprise版やBusiness版は、デフォルトで学習に使用されません。同じChatGPTでも、契約形態によって扱いがまったく異なります。

Geminiも同様です。Google Workspaceで提供されるGeminiは学習に使われませんが、個人向けの無料版は使われる可能性があります。

Claudeは以前、無料版でもデフォルトで学習に使わない方針でしたが、2025年8月にポリシーが変更されました。現在はユーザーに選択を求める形式になっており、設定で許可した場合は学習に使用されます。

詳しい比較は次回の記事で解説しますが、まず押さえてほしいのは、AIサービスは一枚岩ではないということ。同じサービス名でも、プランや設定によってデータの扱いが違います。

オプトアウト：ChatGPTなどの生成AIサービスにおいて、自身の入力データや会話履歴を「AIの学習データとして利用させない」ようにする設定や機能です。

学習に使われなければ大丈夫なのか

ここで多くの人が見落としている問題があります。

仮に学習に使われない設定にしたとしても、患者の個人情報を本人の同意なく外部サービスに入力すること自体が、法的に問題になる可能性があるということです。

個人情報保護法では、病歴や診療情報は「要配慮個人情報」に分類されます。一般の個人情報よりも厳格な取り扱いが求められ、第三者に提供する場合は原則として本人の同意が必要です。

外部のAIサービスに患者情報を入力する行為は、「第三者提供」に該当する可能性があります。つまり、学習に使われるかどうか以前に、そもそも入力する時点で本人同意が必要かもしれない。

もちろん、個人を特定できない形に加工すれば、第三者提供の同意は不要になります。しかし、年齢、性別、疾患名、測定値の組み合わせで個人が特定される可能性がある場合、それは匿名化とは言えません。

学習に使われないから安心、ではないのです。

日本のガイドラインは何と言っているか

3省2ガイドライン

医療情報システムの安全管理については、厚生労働省・総務省・経済産業省が策定したガイドライン群が基本ルールになっています。厚労省版は医療機関向け、総務省・経産省版は事業者向けです。

これらのガイドラインでは、外部サービスを利用する際の組織としての判断と責任が求められています。個人の判断で使っていい、という話ではありません。

HAIPガイドライン

2025年7月、医療AIプラットフォーム技術研究組合から「医療・ヘルスケア分野における生成AI利用ガイドライン第2版」が発行されました。このガイドラインは、生成AIの利用に伴うリスクと対策を具体的に示しています。

出典：医療AIプラットフォーム技術研究組合「医療・ヘルスケア分野における生成AI利用ガイドライン第2版」

まず、利用する生成AIは「自身の所属する組織において利用可能と判断されているサービスであることを確認する」必要があると明記されています。組織で利用可能と判断されていない生成AIを私的に利用する場合は、「医療情報を取扱わないことを前提」とし、参考情報の収集など「用途を限定して利用する必要がある」とされています。

リスクとしては、「プロンプトが再学習に利用されることによる情報漏えい」が明記されています。また、入出力データを格納するサーバーが「国内法の適用を受けない場所に設置されている」リスクについても繰り返し言及されています。

さらに、本人の同意を得ずに個人情報を入力すると、入力データが再学習に利用される設定となっている場合に「個人情報保護法の第三者提供に抵触する場合がある」と注意喚起されています。

つまり、個人の判断で患者情報をAIに入力することは、ガイドライン上も推奨されていません。

OK例とNG例

では、具体的に何がOKで何がNGか。ラインを示します。