GENSHI AI「業務効率化のために、生成AIを医療現場で使いたい」。
そう考えたとき、最初にすべきは導入ではなく「確認」です。
患者情報は法律上の要配慮個人情報であり、扱いを誤れば情報漏えい・行政処分・刑事罰、そして患者からの信頼喪失につながります。
本記事では、2026年5月時点の最新ルール——3省2ガイドライン(厚生労働省 第6.0版・Q&A 令和7年5月/経済産業省・総務省 第2.0版)、個人情報保護法、薬機法、医師法——を一次資料にあたって読み解き、「使う前に確認すべきこと」を実務チェックリストに落とし込みます。
(GENSHI AI 代表 長嶋)
なぜ「まず確認」なのか
生成AIは、退院サマリーや紹介状の下書き、議事録の文字起こし、院内マニュアルの検索など、医療現場の"書く・調べる"業務を大きく軽減します。
しかし、便利さの裏で見落とされがちなのが「そのプロンプトに患者情報を入れていいのか」という一点です。
一般的なクラウド型の生成AIは、入力された文章を外部のサーバーに送信し、サービスによってはモデルの学習(機械学習)に再利用します。
これは「待合室の会話を、契約内容も確認せずに外部の業者へ筒抜けにする」のと同じ構造です。
医療においては、この一手間の確認を省くことが、そのまま重大インシデントの引き金になります。
本記事で扱う「確認すべきこと」は、突き詰めると次の6つに整理できます。
順に、根拠となる条文・通知を引用しながら解説します。
- そのデータは院外に出る/学習に使われるのか(最重要)
- 「3省2ガイドライン準拠」をどう確認するのか
- クラウド・外部保存で満たすべき実務要件
- そのAIは「医療機器(SaMD)」に当たらないか
- 最終責任は医師にある(医師法第17条)
- 院内のガバナンス(規程・教育・ログ・BCP)
大前提:医療情報は「要配慮個人情報」である
すべての出発点はここです。
診療に関わる患者情報は、個人情報の中でも特に取扱いに配慮を要する「要配慮個人情報」に該当します。
個人情報保護法第2条第3項は、要配慮個人情報を「本人の人種、信条、社会的身分、病歴、犯罪の経歴…その取扱いに特に配慮を要するもの」と定義し、「病歴」を法律本文に明記しています。
さらに同法施行令第2条で、健康診断等の結果や、医師等による診療・調剤・保健指導が行われた事実も要配慮個人情報に含まれることが定められています。
つまり、カルテ・検査結果・処方歴は、ほぼすべてが要配慮個人情報です。
要配慮個人情報には、通常の個人情報より一段厳しいルールがかかります。
- 取得には原則として本人同意が必要(法第20条第2項)。通常の個人情報のような「黙示の同意」での取得は認められません。
- オプトアウトによる第三者提供ができない(法第27条第2項ただし書き)。第三者提供には、原則として本人の明示的な同意が要ります。
- 漏えい時は個人情報保護委員会への報告と本人通知が義務(法第26条)。要配慮個人情報の漏えいは「報告対象事態」です。
罰則も軽くありません。
厚労省Q&A(経Q-2)は、令和2年改正個人情報保護法により「個人情報保護委員会からの命令違反が生じた場合、…法人に対する罰金刑は従来の30万円以下から1億円以下に大きく強化されています」と明記しています(法第179条)。
加えて、医療従事者には刑法上の守秘義務(刑法第134条)もあり、故意の漏えいは犯罪となり得ます。
厚労省ガイドライン経営管理編Q&A(経Q-1)は、医療情報について「漏えい等の事態が生じた場合に、一瞬にして大量に情報が漏えいする可能性がある」「医療従事者が電子化された情報の取扱いの専門家とは限らない」という固有の特殊性を指摘しています。生成AIへの不用意な入力は、まさにこの"一瞬にして大量に"を引き起こします。
では、なぜ患者の同意なしにクラウドカルテや生成AIを使えるのか
ここで当然の疑問が浮かびます。
「そんなに厳しいなら、電子カルテをクラウドに置いたり、外部の生成AIに患者情報を渡したりすること自体、できないのでは?」——それでも実際の医療現場が問題なく回っているのには、理由があります。
個人情報保護法で本人同意が問題になるのは、主に「取得」(法第20条第2項)と「第三者提供」(法第27条)の2つの場面です。
逆に、院内で診療のために使うこと自体には、改めての同意は要りません(当初の利用目的の範囲内だからです。病院の掲示やWebに「個人情報の利用目的」が公表されているのはこのため/法第18条・第21条)。
取得についても、患者が診療を受けるために自ら情報を提供する以上、診療に必要な範囲の取得には同意があると一般に整理されます。
そして決定的なのが、「委託」は第三者提供に当たらないというルールです(法第27条第5項第1号)。
クラウド型電子カルテのベンダーや、適切に契約した外部のAIサービスは、医療機関の利用目的の範囲内で処理を代行する「委託先」であって、「第三者」ではありません。
だから、患者一人ひとりの同意がなくても、クラウドカルテや生成AIに患者情報を扱わせることができます。
その代わりに課されるのが、本記事の確認2〜3で扱う「委託先の監督」義務(個情法第23〜25条)と3省2ガイドラインです。
ただし、ここには越えてはならない一線があります。
委託先(AI事業者)が、預かったデータを委託の範囲を超えて自社のために使う——たとえばモデルの学習に使う——と、もはや「委託」では説明できなくなり、目的外利用や不適正な取扱いの問題になります。
だからこそ、次章の確認1で見る「学習等に使わせない/保存させない」(厚労省Q&A 企Q-26、個情委の生成AI注意喚起)が、適法に使うための生命線になるのです。
補足:診療で「使う」と、研究のために「提供する」は別ルール
ここで、混同されやすい点を整理しておきます。
「患者データ × AI」には目的の異なる2つの場面があり、効いてくる法律が違います。
- 一次利用(本記事が扱う範囲):目の前の診療・院内業務のために生成AIを使う——退院サマリーを下書きする、議事録を文字起こしする等。→ 個人情報保護法+3省2ガイドラインが適用されます。
- 二次利用:患者データを集約し、医学研究やAIの開発・学習のために第三者へ提供する。→ 次世代医療基盤法という特別法のルートが用意されています。
前述のとおり、要配慮個人情報は原則としてオプトアウトによる第三者提供ができません(個情法第27条第2項ただし書き)。
その重要な例外が次世代医療基盤法(正式名称「医療分野の研究開発に資するための匿名加工医療情報及び仮名加工医療情報に関する法律」、令和5年改正・令和6年4月施行)です。
同法は、国が認定した認定事業者に対してであれば、本人への通知(オプトアウト)に基づいて医療情報を提供できる仕組みを設けています。認定事業者はこれを匿名加工医療情報、または2023年改正で新設された仮名加工医療情報(氏名やIDは削るが、希少疾患名などは残せるため、より精緻な解析ができる)に加工し、認定された研究者・企業(認定利用事業者)へ提供します。
ポイントは、「自院の患者データを使って独自のAIを学習・開発したい」と考えた瞬間に、論点が一次利用から二次利用へ移るということです。
その場合は本記事の範囲を超え、次世代医療基盤法や適切な匿名加工、研究倫理指針の検討が必要になります。
本記事が扱うのは、あくまで前者——すでにある生成AIを、診療・院内業務で安全に「使う」ための確認事項です。
この大前提を踏まえた具体的な安全管理の作法を定めているのが、次の「3省2ガイドライン」です。
全体像:医療×生成AIに効く2026年5月時点のルール
「医療AIの規制」と一口に言っても、実際には複数のルールが層をなしています。
2026年5月時点で、医療現場の生成AI利用に関わる主要な文書を整理すると次のとおりです。
| ルール | 所管 | 最新版/時点 | 医療×生成AIでの役割 |
|---|---|---|---|
| 医療情報システムの安全管理に関するガイドライン(3省2ガイドラインの1つ) | 厚生労働省 | 第6.0版(令和5年5月)/Q&A 令和7年5月 | 医療機関等が守るべき安全管理。外部保存・クラウド・生成AI入力の可否を規定 |
| 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(同2つ目) | 経済産業省・総務省 | 第2.0版(令和7年3月) | ベンダー(AI事業者)が守るべき安全管理。医療機関が委託先を選ぶ基準 |
| 個人情報保護法+医療・介護関係事業者ガイダンス | 個人情報保護委員会・厚労省 | ガイダンス 平成29年4月(令和8年4月一部改正) | 要配慮個人情報の取得・同意・委託先監督の大原則 |
| 生成AIサービスの利用に関する注意喚起 | 個人情報保護委員会 | 令和5年(2023年)6月2日 | 生成AIへの入力で個人情報保護法違反となり得る場面を明示 |
| プログラムの医療機器該当性に関するガイドライン(薬機法) | 厚生労働省 | 令和3年3月(令和5年3月一部改正) | 診断・治療目的のAIが「医療機器(SaMD)」に当たるかの判断 |
| AI事業者ガイドライン | 総務省・経済産業省 | 第1.2版(令和8年3月) | 分野横断のソフトロー。開発者・提供者・利用者の自主的ガバナンス |
| AI推進法(人工知能関連技術の研究開発及び活用の推進に関する法律) | 内閣府 | 令和7年法律第53号(2025年9月施行) | 基本理念・国の計画を定める理念法(罰則なし)。直接の規制ではない |
ここで重要なのは、「医療AIを一網打尽に禁止・許可する単一の法律」は存在しないということです。
日本はEUのAI法(AI Act)のようなハードな横断規制ではなく、既存の法令(個人情報保護法・薬機法・医師法)と、分野ごとのガイドライン(ソフトロー)を組み合わせる方式をとっています。
AI推進法も罰則のない理念法であり、リスク対応の実体は引き続き「3省2ガイドライン+個人情報保護法」が担っています。
だからこそ、現場では「どの法令の、どの条文・どのQ&Aに照らして確認するか」を具体的に押さえる必要があります。
確認1:そのデータは「院外に出る/学習に使われる」のか【最重要】
医療×生成AIの核心は、たった一つの問いに集約されます。
「入力した患者情報が、院外のサーバーに保存され、AIの学習に使われるのか」です。
この点について、厚労省は生成AIを名指しした唯一の公式見解をQ&A(企Q-26)で示しています。原文を引用します。
【問】生成AIサービスのプロンプトとして医療情報を入力する場合、入力情報が「AIの学習等のために保存されないこと」が、契約等において担保されていれば、生成AIサービスのサーバが国内法の適用を受けている必要はないと考えて良いか?
【答】よい。企画管理編「7. 安全管理のための人的管理…」の【遵守事項】⑤において、「保存された情報を格納する情報機器等が、国内法の適用を受けることを確認すること。」としているが、医療情報が保存されないことが、契約等において担保されている場合は国内法の適用を受けていないサーバを利用可能です。
出典:厚生労働省「『医療情報システムの安全管理に関するガイドライン 第6.0版』に関するQ&A」(令和7年5月)企Q-26
このQ&Aから、確認すべき分岐が明確になります。
- 原則(遵守事項⑤):医療情報を保存する情報機器は、国内法の適用を受けるサーバであることを確認する。=実質的に「国内リージョンでの保存・処理」が求められます。
- 生成AIの特例(企Q-26):医療情報が「保存されない/学習に使われない」ことが契約で担保されているなら、国外サーバでも利用できる。
逆に言えば、「保存されない・学習されない」ことを契約で担保できないサービスに患者情報を入れることは、ガイドライン上きわめてリスクが高い、ということです。
個人情報保護委員会の生成AIサービスの利用に関する注意喚起(令和5年6月2日)も、事業者に対して次のように述べています。
あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが…応答結果の出力以外の目的で取り扱われる場合、…個人情報保護法の規定に違反することとなる可能性がある。…当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること。
出典:個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」(令和5年6月2日)
さらに厚労省Q&A(概Q-8)は、「SNS等のWebサービスを利用して患者の医療情報を取り扱う場合、当該サービスは医療情報システムに該当し、ガイドラインの基準を満たす必要があります」と明言しています。
つまり、コンシューマー向けの無料チャットAIに患者情報を貼り付ける行為は、「ちょっとした下調べ」ではなく、ガイドラインの全要件がかかる医療情報システムの利用とみなされるのです。
「保存されないこと」を最も確実に担保する方法
契約で「学習に使わない(Zero Data Retention)」を担保するのは有効な一手です。
しかし、最も確実なのは——そもそもデータを院外に出さないことです。
院内に閉じたローカルLLM(オンプレミス)であれば、企Q-26が問題にする「国外サーバへの保存」も「外部への学習利用」も、構造的に発生しません。送信しないものは、漏れようがないからです。
ローカル化はリスクを大幅に下げますが、「閉域にすれば万事解決」という誤解にも注意が必要です。
厚労省Q&A(シQ-18)は、外部と遮断した環境について「不正ソフトウェア混入のリスクを低減できることは事実ですが、…USBポートなどを利用する場合等でも、不正ソフトウェアが混入することがあります」とし、閉域環境でも対策ソフトの導入や脆弱性対策、運用ルールは必要だと釘を刺しています。
ローカルLLMは「外部送信による漏えい」という最大級のリスクを消す強力な手段ですが、院内の運用設計とセットで初めて効果を発揮します。
確認2:「3省2ガイドライン準拠」をどう確認するのか
クラウドサービスの営業資料には、しばしば「3省2ガイドライン準拠」と書かれています。
しかし、この言葉を額面どおり受け取ってはいけません。厚労省Q&A(企Q-23)は、決定的な事実を述べています。
認定制度は現在のところ存在しません。なお、厚生労働省のガイドラインは、サービス提供業者ではなく、サービスを委託する医療機関等が遵守すべきものです。…また、サービスを委託する医療機関は、当該サービスを利用した運用形態が、厚生労働省のガイドラインに準拠していることを、自ら確認してください。
出典:厚労省 医療情報システム安全管理ガイドライン Q&A(令和7年5月)企Q-23
ここから読み取るべきポイントは2つです。
- 「3省2ガイドライン準拠」を公的に認定する制度は存在しない。第三者の"お墨付き"は無く、「準拠」は事業者の自己申告に過ぎない場合があります。
- 遵守義務を負うのは医療機関側。ベンダーが守るのは「事業者向けガイドライン(経産省・総務省 第2.0版)」であり、それを使った運用形態が厚労省ガイドラインに適合しているかは、医療機関が自ら確認する責任を負います。
では、何をもって確認すればよいのか。手がかりとなる客観的な材料は次のとおりです。
- 事業者向けガイドラインへの準拠を契約条項に明記させる(企Q-23)。「準拠している旨」を口頭ではなく契約で確認します。
- 「サービス仕様適合開示書」「医療情報セキュリティ開示書」の提出を求める(企Q-27)。経産省・総務省ガイドラインが定める開示書で、ベンダーの対応状況を確認できます。
- ISMAP・JASA CSゴールドマーク等の取得状況と「言明書」を確認する(企Q-29)。ただしQ&Aは、リストへの掲載だけでは不十分で、「審査対象を定めた『言明書』を確認の上、事業者を決定してください」としています。マークの有無ではなく、何が審査されたかまで見る必要があります。
要するに、「準拠しています」の一言ではなく、準拠を裏づける文書と契約条項で確認するのが正しい作法です。
確認3:クラウド・外部保存で満たすべき実務要件
国内リージョンのクラウドや外部保存サービスを使う場合、厚労省Q&A(企Q-24・Q-25・Q-27・Q-31)が具体的な留意事項を列挙しています。要点を整理します。
- 国内法の適用:保存先が国内法の適用を受け、これを阻害する国外法の適用がないことを確認する(企Q-27)。
- 暗号化と「管理者でもアクセスできない制御機構」:個人識別情報を暗号化し、「医療情報システム・サービス事業者の管理者といえどもアクセスできない制御機構をもつことも考えられる」(企Q-25・Q-31)。
- 委託先の監督:個人情報保護法(第23条〜第25条)および医療・介護関係事業者ガイダンスに基づき、委託先(AIベンダー)に対する必要かつ適切な監督を行う。なお同ガイダンスは生成AIを名指ししていませんが、生成AIサービスの利用は「委託先の監督」の枠組みで読むのが正確です。
- 責任分界の明確化:医療機関と事業者の役割・責任分界を、契約書やSLA(サービス品質保証)で双方が拘束力ある形で取り決める(企Q-25ほか)。
- 廃棄・返却と終了時の手当て:委託終了時の確実なデータ廃棄・返却を契約に明記する(企Q-32)。
そして見落とされがちなのが患者への説明です。
厚労省Q&A(企Q-34)は、「病態、病歴等を含めた個人情報の外部保存を行う場合」、診療開始前に「外部保存を行っている旨を、院内掲示等を通じて説明し理解を得た上で診療を開始してください」としています。
クラウドに患者情報を預ける運用は、技術要件だけでなく、患者への周知・説明という手続まで含めて初めて要件を満たします。
確認4:そのAIは「医療機器(SaMD)」に当たらないか
もう一つ、見落とすと重大な法令違反になり得るのが薬機法です。
「生成AIだから医療機器ではない」というのは誤解です。AIプログラムが医療機器(SaMD:Software as a Medical Device、プログラム医療機器)に該当すれば、承認・認証なしに提供・使用すれば薬機法違反となります。
厚労省のプログラムの医療機器該当性に関するガイドライン(令和3年3月/令和5年3月一部改正)は、該当性を2つの要素で判断するとしています。
- 使用目的:そのプログラムが、疾病の診断・治療・予防に使用されることを目的としているか。「同じ機能でも、使用目的が異なれば該当性の判断は異なる」とされます。
- リスクの程度:得られた結果が治療・診断にどの程度寄与するか、機能の障害が生じた場合に人の生命・健康に与えるおそれがどの程度か。
同ガイドラインは、「疾病の早期発見、スクリーニング、医師の診断補助、追加検査の推奨等に用いることを目的とするプログラムは、『診断』を意図するものとして」医療機器に該当し得る、と例示しています。
実務上の切り分けは、おおむね次のようになります。
| 使い方 | 医療機器(SaMD)該当性の目安 |
|---|---|
| 退院サマリー・紹介状の下書き、議事録、院内マニュアル検索、文献調べ | 業務支援であり、非該当の方向(診断・治療を目的としない) |
| 患者本人が自分の健康情報を閲覧・整理する | 低リスクとして非該当の方向 |
| 画像や症状から疾病を診断・推定し、医師の判断に直接寄与 | 該当し得る(承認・認証が必要になり得る) |
| 治療方針の決定や治療そのものを目的とする | 該当し得る |
つまり、「生成AIをどう使うか」という使用目的の設計が、規制区分を分けます。
業務効率化(書く・調べる・まとめる)にとどめる限り医療機器規制の外にありますが、診断・治療に踏み込むなら、薬機法の承認プロセスを前提に検討しなければなりません。
確認5:最終責任は医師にある(医師法第17条)
生成AIは、もっともらしい誤り(ハルシネーション)を出力します。
では、AIの出力をもとに診療してミスが起きたら、誰の責任か。答えは明確です。
医師法第17条は「医師でなければ、医業をなしてはならない」と定めます。
そして厚生労働省は、AIと医師の関係について、平成30年12月19日付け通知(医政医発1219第1号)で次のように明確化しています。
人工知能(AI)を用いた診断・治療支援を行うプログラムを利用して診療を行う場合についても、診断、治療等を行う主体は医師であり、医師はその最終的な判断の責任を負うこと、当該診療は医師法第17条の医業として行われるものであることに変わりはない。
出典:厚生労働省「AIを用いた診断、治療等の支援を行うプログラムの利用と医師法第17条の規定との関係について」(平成30年12月19日 医政医発1219第1号)
AIはあくまで「医師の判断を支援する情報提示ツール」であり、最終判断者にはなれません。
これは法的な建前であると同時に、運用設計の指針でもあります。生成AIを導入するなら、出力を必ず医師(または有資格者)が確認・修正してから採用するワークフローを前提に設計する必要があります。
MedLocal が退院サマリーや紹介状を「下書き(ドラフト)」として生成し、最終確定を人に委ねる設計になっているのは、この原則に沿うためです。
確認6:院内のガバナンス(規程・教育・ログ・BCP)
ツールとデータの確認が済んでも、運用体制がなければ絵に描いた餅です。
厚労省ガイドラインは、医療情報システムの安全管理を経営層(経営管理編)・安全管理責任者(企画管理編)・運用担当者(システム運用編)の三層で捉え、それぞれの遵守事項を定めています。生成AI利用にあたり、院内で整えるべき最低限は次のとおりです。
- 利用規程の整備:どのAIに、どの情報まで入力してよいかを明文化する。厚労省Q&A(企Q-37)は、医療情報を記録する機器・媒体は「原則として持ち出すべきではない」とし、リスク評価に基づく許諾ルールと判断基準を規程で定めるよう求めています。
- 入力してよい情報の切り分け:実名・ID・住所などの識別子を外す運用か、そもそも院内で完結する構成かを決める。
- 教育・訓練:「便利だから」と現場が無断でコンシューマーAIに患者情報を貼る事態を防ぐ。
- アクセスログと監査:誰が何を入力したかを追跡できるようにする。
- BCP(事業継続計画):厚労省Q&A(企Q-42・Q-43)は、自然災害やサイバー攻撃でシステムが使えない事態を想定したBCPの作成を「必須の事項」としています。
これらは「リスク評価に基づいて、自院の構成に合わせて」定めるのが原則です(概説編「リスク評価とリスク管理」)。
厚労省の参照パターン(概説編 図3-1)は、医療機関を「医療情報システムを院内に保有・運用するオンプレミス型」と「クラウドサービス型」、さらに専任のシステム担当者の有無で4分類しており、どの型かによって参照すべき箇所が変わります。まずは自院がどの型かを見極めることが出発点です。
実務チェックリスト(まとめ)
ここまでを、導入前に確認する一枚のチェックリストにまとめます。
| 確認項目 | 主な根拠 |
|---|---|
| ☐ 扱うデータが要配慮個人情報(病歴・検査・処方等)であると認識しているか | 個人情報保護法 第2条第3項・施行令第2条 |
| ☐ 入力情報が「学習に使われない/保存されない」ことを契約で担保しているか | 厚労省Q&A 企Q-26/個情委 注意喚起 |
| ☐ データの保存・処理が国内法の適用を受ける環境か(または院内完結か) | 企画管理編 遵守事項⑤/企Q-26 |
| ☐ 「準拠」を契約条項・開示書・言明書で確認したか(自己申告を鵜呑みにしない) | 厚労省Q&A 企Q-23・Q-27・Q-29 |
| ☐ 暗号化・アクセス制御・委託先監督・責任分界・廃棄を契約で定めたか | 企Q-25・Q-31・Q-32/個情法 第23〜25条 |
| ☐ 外部保存について患者へ院内掲示等で説明しているか | 厚労省Q&A 企Q-34 |
| ☐ その用途は「医療機器(SaMD)」に当たらないか(診断・治療目的でないか) | プログラム医療機器該当性ガイドライン(薬機法) |
| ☐ AI出力を医師が必ず確認・確定するワークフローになっているか | 医師法第17条/医政医発1219第1号 |
| ☐ 利用規程・教育・ログ・BCPなど院内ガバナンスを整えたか | 厚労省ガイドライン(経営/企画/システム運用編) |
結論:「使える形」は2つ——国内完結クラウド と 完全ローカル
確認事項を突き詰めると、医療現場で生成AIをコンプライアントに使う実装は、大きく2つの道に収束します。
道A:国内完結クラウド(学習させない契約+国内リージョン)
クラウドの利便性を活かす道です。
具体的には、国内リージョンで完結し、かつ入力を学習に使わない(Zero Data Retention)ことを契約で担保したクラウド/API(例:国内リージョンの AWS Bedrock、Azure OpenAI など)を、確認2〜3の手順を踏んで導入する構成です。
この道の具体的な選定については、姉妹記事「医療業界で突然LLMを使ってくれと言われたら」(GENSHI AI / Zenn)で、各クラウドの日本リージョン対応を比較しています。
音声入力を伴う業務(外来記録・カンファレンス議事録など)でこの道をとるなら、専門用語に強く、国内データ完結オプションを備えた音声認識が現実的な選択肢になります。
道B:完全ローカル/オンプレミス(院外にデータを出さない)
もう一つは、確認1を運用ではなくアーキテクチャで解決する道です。
院内に閉じたローカルLLMなら、「国外サーバへの保存」「外部への学習利用」という論点そのものが発生しません。送信していないデータは、漏れようがないからです。
厚労省の参照パターンでいう「オンプレミス型」に当たり、機微性の高い情報を扱う医療機関ほど、この構造的な安心は大きな意味を持ちます。
前述の「MedLocal」はこの道のためのプロダクトであり、実際にどのマシンで動かすかは「ローカルLLMとその動作マシン完全ガイド」で、性能面の検証は「ローカルLLMが医師国家試験で正答率89.7%」で詳しく扱っています。
どちらを選ぶにしても
2つの道に共通するのは、本記事の確認2〜6——準拠の確認、契約・暗号化・責任分界、医療機器該当性、医師の最終責任、院内ガバナンス——は省略できない、ということです。
生成AIの導入は「便利なツールを入れる」ことではなく、「要配慮個人情報を扱う情報システムを一つ増やす」ことだと捉えるのが、結局は最短距離です。
GENSHI AI は、医師とエンジニアが組み、この2つの道の両方——国内完結の音声認識(GENSHI Works)と、完全ローカルの医療LLM(MedLocal)——を現場目線で提供しています。
「自院はどちらの道が向いているのか」「この使い方は医療機器に当たるのか」といった個別のご相談は、お問い合わせからお気軽にどうぞ。
出典・参考資料
本記事は、以下の一次資料(2026年5月時点で公開されているもの)に基づいています。各リンクから原文をご確認いただけます。
3省2ガイドライン
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(令和5年5月)— 概説編/企画管理編/システム運用編
- 厚生労働省「『医療情報システムの安全管理に関するガイドライン 第6.0版』に関するQ&A」(令和7年5月)— 本記事の企Q-23/26/27/29/34/37/42、概Q-7/8、経Q-1/2、シQ-18 はこの文書より引用
- 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第2.0版」(令和7年3月)— ガイドライン本体(PDF)
個人情報保護関連
- 個人情報の保護に関する法律(e-Gov法令検索)/同法施行令
- 個人情報保護委員会・厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」(平成29年4月策定、令和8年4月一部改正)
- 個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」(令和5年6月2日)
- 内閣府「次世代医療基盤法」(正式名称:医療分野の研究開発に資するための匿名加工医療情報及び仮名加工医療情報に関する法律、平成29年法律第28号/令和5年改正・令和6年4月施行)— 内閣府ポータル/e-Gov法令検索。患者データの研究開発目的での二次利用を規律する特別法(本記事が扱う一次利用とは別ルート)
薬機法・医師法・AI関連法
- 厚生労働省「プログラムの医療機器該当性に関するガイドライン」(令和3年3月/令和5年3月一部改正)/医療機器プログラムについて
- 医師法(e-Gov法令検索)/厚生労働省「AIを用いた診断、治療等の支援を行うプログラムの利用と医師法第17条の規定との関係について」(平成30年12月19日 医政医発1219第1号)
- 総務省・経済産業省「AI事業者ガイドライン」(第1.2版・令和8年3月)
- 内閣府「人工知能関連技術の研究開発及び活用の推進に関する法律(AI推進法)」(令和7年法律第53号)
