AIツールが医療データを扱うとき：なぜHIPAAの対象企業だけが懸念されるわけではないのか

OpenAIの新たに発表されたChatGPT Health機能は、ユーザーが医療記録を人工知能プラットフォームに預ける際に、個人情報の保護がどのように行われているのかについて深刻な疑問を引き起こしています。同社は安全策を講じたと主張していますが、プライバシー擁護者は既存の規制が消費者保護に危険なギャップを生んでいると指摘しています。

HIPAA対象外のプライバシー保護のギャップ

多くのユーザーが見落としがちな重要な区別は、健康データの法的扱いがそれを保持する主体によって異なるという点です。HIPAAの対象となる医療機関や保険会社、医師の事務所があなたの医療情報を保管している場合、厳格なプライバシールールが適用されます。しかし、テクノロジー企業やAIプラットフォーム、健康アプリの開発者は、ほとんど規制の及ばない空間で運営されています。

民主主義と技術の中心地であるCenter for Democracy and Technologyの上級政策顧問、Andrew Crawfordはこの格差を次のように強調しています。「HIPAAのプライバシールールは、あなたの健康データが医師や保険会社によって保持されている場合に適用されます。これに対し、健康アプリやウェアラブルトラッカー、AI企業などの非HIPAA対象の主体には適用されません。」つまり、ChatGPT Healthは暗号化や分離された保存を行っているにもかかわらず、従来の医療提供者と同じコンプライアンス基準に縛られているわけではありません。

OpenAIの新機能へのアプローチ

ChatGPT Healthは、ユーザーが医療記録や健康情報を直接プラットフォームにアップロードできる機能です。OpenAIは、このツールは診断や治療サービスを提供することを目的とせず、ユーザーの健康理解を支援するためのものだと述べています。同社は、一般的で事実に基づく健康情報のみを共有し、高リスクなシナリオについては実際の医療専門家と相談を促すと強調しています。

この機能は今週からEUおよびUK以外の特定のユーザー向けに展開され、今後数週間でiOSやウェブアクセスも拡大される予定です。

より深刻な懸念：あなたのデータを誰が管理しているのか？

Public Citizenの大手テック責任追及活動家、J.B. Branchは、自己規制だけでは不十分だと指摘します。「企業がプライバシー保護策を講じていると主張しても、消費者はデータの使用、保持、再利用について意味のある同意や透明性、コントロールを持てていないことが多い」と述べています。「健康データは特に敏感であり、明確な法的制限や執行可能な監督なしには、自己規制の安全策だけでは誤用や再識別、下流の被害から人々を守ることはできません。」

この問題は現在の利用状況を超えています。OpenAIは、健康に関する会話は基盤モデルの訓練には使用しないとしていますが、連邦レベルの包括的なプライバシー法がないため、今後このデータの再利用を防ぐ手段はほとんどありません。

メンタルヘルスの新たな側面

ChatGPT Healthの開始タイミングも注目に値します。OpenAIは以前、1,000,000人以上のユーザーが週にChatGPTと自殺や精神的危機について話していると明らかにしており、これは全ユーザーの約0.15%に相当します。この数は、プラットフォームが事実上のメンタルヘルスリソースとなっていることを示していますが、敏感な心理的データを規制する枠組みは存在しません。

本当の問題：規制のない環境における消費者の負担

Crawfordは、連邦政策が実質的に個々のユーザーに負担を押し付けていると強調します。「現在の法律は、私たちが日常的に使う技術がどのようにデータを扱っているかについて、消費者に自己判断を求めるものです」と彼は述べています。「健康データを保持するテクノロジー企業を規制する包括的な連邦プライバシー法がないため、個人は自らリスク評価を行わなければなりません。」

HIPAAの対象となる主体とは異なり、OpenAIのような企業は自らプライバシー基準を定めています。連邦の介入やAIが扱う健康データに対応した規制の更新がなければ、この不均衡は今後も続くでしょう。