医師のAI利用率が1年で倍増──AMA調査が示す急拡大の実態

2025年2月に公表されたアメリカ医師会(AMA)の年次調査によると、米国の現役医師のうちAIを臨床現場で活用していると回答した割合は、2023年の38%から2024年には66%へと78%増加した。調査は2024年11月に1,183名の医師を対象に実施されたもので、訪問記録の自動生成、退院サマリー、ケアプラン作成、翻訳サービスなどが主要なユースケースとして報告されている。

注目すべきは、AIへの「期待が懸念を上回る」と答えた医師が30%から35%に増加した一方で、依然として過半数が慎重姿勢を崩していない点である。68%の医師がAIには「確実な、または一定の臨床上の利点がある」と認めつつも、信頼性・説明可能性・データプライバシーへの不安は根強い。医療AIの導入速度とセキュリティ対策の間に構造的なギャップが広がりつつある。

臨床AIが直面する3つの攻撃面──プロンプトインジェクション・PHI漏洩・サプライチェーン

医療AIの急速な普及は、同時に攻撃対象面(アタックサーフェス)を劇的に拡大させている。以下の3つのリスク領域が特に深刻である。

1. プロンプトインジェクションによる臨床判断の操作

2025年半ばに発見されたEchoLeak脆弱性(CVE-2025-32711、CVSSスコア9.3)は、Microsoft 365 Copilotにおいてゼロクリックでのリモートデータ窃取を可能にするプロンプトインジェクション攻撃であった。悪意あるプロンプトがメール経由で自動的に注入され、チャットログ、OneDriveファイル、SharePointコンテンツなどが外部に漏洩する仕組みである。

この手法が医療AIに転用された場合、臨床意思決定支援システム(CDSS)が偽の推奨を出力するリスクが指摘されている。具体的には、アレルギー警告の無視、不適切な薬剤の推奨、手術スケジュールの改ざんなどが想定される。学術研究では、8種類の最先端LLMに対して112の攻撃シナリオを検証した結果、感情的操作を加えたプロンプトにより危険な医療的誤情報の出力率がベースラインの6.2%から37.5%へと6倍に増幅されることが確認されている。OWASPはプロンプトインジェクションを「LLM Top 10 2025」の最上位リスク(LLM01:2025)に位置付けている。

2. PHI(保護対象医療情報)の漏洩リスク

医療AIの導入においてHIPAA準拠の不備は構造的な問題となっている。技術的セーフガード(アクセス制御、暗号化、監査証跡)の要件を満たしていないAI実装が多数報告されており、LLMの訓練データに含まれる患者情報がプロンプトを通じて抽出されるメモリゼーション(記憶再生)リスクも研究されている。

2025年7月には、AIを活用した保険加入管理企業Healthcare Interactiveが約305万人分の個人情報・医療情報の漏洩を公表し、2025年に発生した医療データ侵害の中で5番目の規模となった。BAA(Business Associate Agreement)を締結せずにパブリックLLMを使用するケースも後を絶たず、意図せぬHIPAA違反が常態化しつつある。

3. サプライチェーンとサードパーティリスク

医療機関は内製AIよりも、外部ベンダーが提供するAIプラットフォームを利用するケースが圧倒的に多い。これにより、モデルの訓練データ品質、アップデート経路のセキュリティ、APIの認証機構など、複数のサプライチェーンリスクが連鎖的に発生する。FDAが承認したAI医療機器は2024年末時点で累計1,200件超、2024年単年で235件と過去最多を記録しており、放射線科(全体の75〜80%)を中心にサードパーティ製AIデバイスの依存度は急速に高まっている。

HSCC 2026 Q1ガイダンス──医療AI特有の防御フレームワーク

こうした課題に対し、ヘルスケアセクター調整評議会(HSCC)のサイバーセキュリティ作業部会は2025年11月に、2026年第1四半期に公開予定のAIサイバーセキュリティガイダンスのプレビューを発表した。115の医療関連組織が参加するタスクフォースが2024年10月に設立され、以下の5つのワークストリームで運用レベルのフレームワークを策定している。

教育・啓発(Education and Enablement):AIサイバーリスクに関する共通用語の標準化。医療従事者とセキュリティチームの間にある「言語の壁」を解消し、リスク評価の精度を底上げする。

サイバーオペレーション・防御(Cyber Operations and Defense):AIサイバーインシデントへの準備・検知・対応・復旧に関する実践的プレイブック。検知から72時間以内のインシデント報告体制の構築を含む。

ガバナンス(Governance):AIのライフサイクル全体にわたるリスク管理フレームワーク。規制準拠、倫理審査、セキュリティ監査を統合した包括的な管理体制の設計。

セキュア・バイ・デザイン(Secure by Design):AI搭載医療機器にセキュリティ原則を組み込むための設計ガイドライン。脅威モデリング、リスクアセスメント、アップデート機構の実装を工学・サイバーセキュリティ・規制・臨床の各チームが横断的に実施する。

サードパーティリスク・サプライチェーン透明性(Third Party Risk and Supply Chain Transparency):外部ベンダーとサプライチェーンのリスク管理。モデルの出自、訓練データの品質保証、依存関係の可視化を求める。

HSCCガイダンスの特徴は、NIST AI RMF(AIリスク管理フレームワーク)やFDA規制との整合性を意識しつつ、医療セクター固有の運用上の課題(24時間365日稼働、人命への直結、多職種連携)を明示的に反映した「実践的フレームワーク」である点にある。原則の提示にとどまらず、具体的なプレイブックとして活用できる形式が目指されている。

ガバナンス空白の実態──フレームワークはあるが実装がない

ガバナンスフレームワークは急速に整備が進んでいる。NISTは2023年1月にAI RMF 1.0を公開し、「統治(Govern)」「マッピング(Map)」「測定(Measure)」「管理(Manage)」の4機能からなるリスク管理構造を提示した。WHOは2024年1月に大規模マルチモーダルモデル(LMM)の倫理・ガバナンスガイダンスを発表し、2025年3月にはアップデート版で40項目超の具体的勧告を示した。FDAは2025年1月にAI対応医療機器ソフトウェアに関するドラフトガイダンスを公開し、モデル記述、データリネージ、バイアス分析、市販後モニタリング計画の提出を推奨している。

しかし、フレームワークの充実と現場の実装には大きな乖離がある。米国の病院のうち、正式なAIガバナンス体制を整備しているのはわずか12%にとどまる。残りの88%は、AIツールの導入判断を個別の部門やベンダー任せにしており、組織横断的なリスク評価プロセスが欠如している。2025年に発生した医療データ侵害は約642件、影響を受けた個人は5,700万人に上り、HHS市民権局(OCR)はHIPAAリスク分析の不備に対する執行活動を過去最多ペースで実施している。

この「ガバナンス空白」は、AIの導入速度が組織のセキュリティ成熟度を大幅に上回っている状態を示している。特に中小規模の医療機関では、CISOの不在やセキュリティ予算の制約により、AIリスクの評価自体が行われていないケースも少なくない。

今後の展望──2026年後半に向けた3つの注視点

医療AIのセキュリティをめぐる状況は、2026年後半にかけて3つの方向で動くと予測される。

第一に、規制の実効化である。HSCCガイダンスの正式公開(2026年Q1予定)とFDAのAI医療機器ドラフトガイダンスの最終化(2025年末〜2026年初頭予定)が重なることで、医療AI開発者・運用者双方に具体的なコンプライアンス要件が課されることになる。ISO 13485整合の品質マネジメントシステム規制(QMSR)も2026年2月2日に発効しており、品質管理体制の再構築が急務となっている。

第二に、攻撃の高度化である。プロンプトインジェクションとPHI漏洩の手法は日々進化しており、マルチモーダルモデルの普及に伴い、画像・音声を経由した間接的インジェクション攻撃が新たな脅威として台頭しつつある。医療画像AIに対するアドバーサリアル攻撃(意図的な画像改ざんによる誤診誘発)も研究段階から実証段階に移行している。

第三に、ガバナンス実装のボトルネックである。フレームワークは整いつつあるが、12%という低い導入率が示すように、実装のハードルは依然として高い。NIST AI RMFの医療セクター向けプロファイルの策定が2026年以降に予定されているが、中小医療機関が独力でこれらを実装するのは困難であり、業界団体やベンダーによる実装支援エコシステムの構築が鍵を握る。

FAQ

医師のAI利用率はどのくらいまで増加したのか?

AMAの2024年11月調査によると、米国医師のAI利用率は2023年の38%から2024年に66%へと78%増加した。訪問記録の自動生成や退院サマリー作成が主な用途である。

医療AIに対するプロンプトインジェクション攻撃とは何か?

悪意あるプロンプトを注入し、臨床AIの出力を操作する攻撃手法である。臨床意思決定支援システムにおける誤った治療推奨の出力や、患者情報の不正抽出などが想定リスクとして指摘されている。OWASPはこれをLLMリスクの最上位(LLM01:2025)に分類している。

HSCC 2026 Q1ガイダンスの内容はどのようなものか?

115の医療組織が参加して策定中の実践的フレームワークで、教育・啓発、サイバーオペレーション、ガバナンス、セキュア・バイ・デザイン、サードパーティリスクの5つのワークストリームから構成される。2025年11月にプレビューが公開された。

米国の病院でAIガバナンス体制を整備しているのはどの程度か?

正式なAIガバナンスフレームワークを整備している米国の病院はわずか12%にとどまる。残りの88%はAI導入の判断を個別部門やベンダーに委ねており、組織横断的なリスク管理が欠如している状態である。

医療分野のデータ侵害は2025年にどの程度発生したのか?

HHS市民権局(OCR)のデータによると、2025年には約642件の大規模データ侵害が報告され、約5,700万人が影響を受けた。月平均57件のペースで500人以上が影響を受ける侵害が発生している。

参考文献