医療文書抽出は
HIPAA準拠？医療機関向けガイド

HIPAAが文書抽出に求める要件

HIPAAは「AI文書抽出」を明示的に規定していません。しかし、プライバシールール（45 CFR Part 164, Subpart E）、セキュリティルール（45 CFR Part 164, Subpart C）、および違反通知ルール（45 CFR Part 164, Subpart D）の3つの構成要素が、医療文書の処理に抽出ツールを使用する方法を直接的に規定しています。

基本は単純です。文書にPHIが含まれている場合、それをクラウドAIツールにアップロードすることは、プライバシールール上の開示に該当します。この開示が許可されるのは、ツール提供者が§164.504(e)に基づく署名済みのビジネスアソシエイト契約（BAA）を結んだビジネスアソシエイトであり、かつ開示される情報量が§164.502(b)に基づく必要最小限に限定されている場合のみです。各要件とその相互作用を理解することが、準拠したワークフローと報告義務のある違反の違いを生みます。

プライバシールール（45 CFR Part 164, Subpart E）：PHIとみなされるもの

プライバシールールは、PHIを、対象事業者またはそのビジネスアソシエイトが電子的、紙、口頭を問わずあらゆる形式で保持または送信する、個人を特定できる健康情報と定義しています（45 CFR §160.103）。完全な医療記録でなくてもPHIを含む文書はあります。患者名、施術日、プランIDが記載された保険のEOBは該当します。氏名、生年月日、診断コードが記載された診療所の intake form は該当します。患者名と検査結果が記載された検査結果PDFは該当します。

文書抽出に最も直接的に影響するルールは、45 CFR §164.514(b)(2)の非識別化基準です。これは、健康情報を個人特定可能にする18カテゴリーの識別子、つまりPHIを定義しています。

セキュリティルール（45 CFR §164.306）：ePHIの保護対策

プライバシールールがPHIにアクセスできる者とその理由を規定するのに対し、セキュリティルールは、処理、送信、保存中の電子PHI（ePHI）をどのように保護しなければならないかを規定します。§164.306(a)に基づき、対象事業者とビジネスアソシエイトは、すべてのePHIの機密性、完全性、可用性を確保し（§164.306(a)(1)）、合理的に予見される脅威から保護し（§164.306(a)(2)）、合理的に予見される許容されない開示から保護し（§164.306(a)(3)）、従業員のコンプライアンスを確保しなければなりません（§164.306(a)(4)）。

文書抽出において、これは転送中の暗号化（TLS 1.2以上）、保存時の暗号化、アクセス制御、すべての文書アクセスの監査ログ、および独立して検証されたセキュリティ認証に変換されます。セキュリティルールの管理的安全対策（§164.308）はリスク分析も要求しており、抽出プロバイダーがePHIの取り扱いに固有のリスクを評価したという文書化された証拠が必要であることを意味します。

最小必要の原則（45 CFR §164.502(b)）

最小必要の原則では、対象事業者またはビジネス・アソシエイトがPHIを利用または開示する際に、「保護対象保健情報を、意図された目的を達成するために必要な最小限に制限するための合理的な努力を払わなければならない」と定めています（§164.502(b)(1)）。文書抽出において、この規定こそが目的特化型ツールと汎用文書処理ツールを分ける基準です。患者名、診療日、CPTコード、請求額などの特定のフィールドを抽出し、残りを破棄するツールは、自然に最小必要要件を満たします。一方、医療記録全体をアップロードし、すべての内容を無差別に処理して保持するツールは、§164.502(b)のリスクを生み出します。

§164.514に基づく18のPHI識別子

以下の18の識別子のいずれかが健康情報とともに文書に存在する場合、その文書はPHIとなり、HIPAAの完全な保護の対象となります（45 CFR §164.514(b)(2)(i)）。

ほとんどの医療文書には、このリストから複数の識別子が含まれています。1通のEOB（給付明細書）には通常、患者名（A）、住所（B）、診療日（C）、保険証ID（I）、口座番号（J）、MRN（H）、場合によってはSSN（G）が含まれます。そのEOBを抽出ツールにアップロードすることは、これらすべての識別子の開示に当たります。そのため、BAAと最小必要要件は譲歩の余地がないのです。

医療文書をアップロードする際に：§164.504(e)が重要な理由

ここで重要な規制上の問いがあります。医療文書をクラウドAI抽出ツールにアップロードすることは、PHIの開示に該当するのでしょうか？

はい、該当します。PHIを、代理で処理、保存、またはアクセスする第三者サービスに送信する行為は、プライバシールール上の開示に該当します。例外が適用されない限り（抽出に関しては標準的な例外はどれも該当しません）、この開示は、第三者が45 CFR §164.504(e)に基づくBAAによって拘束されたビジネスアソシエイトである場合にのみ許可されます。

§164.504(e)がBAAに求める要件

§164.504(e)(2)に基づき、BAAはビジネスアソシエイト（抽出プロバイダー）に以下を義務付けなければなりません。

抽出プロバイダーがこれら6つの要素を含むBAAを作成できない場合、またはそもそもBAAを提供しない場合、それだけで不適合となり、失格です。BAAの運用上の落とし穴（下請けへのフローダウン、AIパイプラインにおける返却か破棄かの問題、買収時の対応など）について詳しく分析した関連記事「文書抽出におけるBAAコンプライアンスの落とし穴」もご参照ください。

実践的なコンプライアンスチェックリスト：抽出ツールを検証する5つのステップ

以下の各ステップは特定のCFRセクションに対応しているため、正確な規制参照とともにコンプライアンスを文書化できます。

AI文書抽出のアーキテクチャがコンプライアンスに与える影響

AI抽出ツールのアーキテクチャは単なる技術的な実装詳細ではなく、規制上の影響を伴うコンプライアンス上の決定です。特に2つのアーキテクチャ特性がHIPAAコンプライアンスに直接影響します。

一時処理が複数の義務を満たす

一時処理（文書をアップロードし、AIがデータを読み取って抽出し、結果を返し、数分以内に原本を削除する）を前提としたツールは、§164.504(e)(2)(ii)(I)（返却または破棄）、§164.502(b)（最小限の原則—必要な期間のみデータを保持）、§164.306(a)（保存されるePHIの削減による攻撃対象領域の低減）を同時に満たします。文書を無期限に保存したり、推論パイプラインでキャッシュしたり、モデル改善のためにデータを保持するツールは、対応するコンプライアンス義務を生み出し、それらの義務が果たされない場合には対応するリスクが生じます。

カスタム列抽出による設計上の最小限の原則

最小限の原則（§164.502(b)(1)）では、PHIを意図された目的に必要なものに限定することが求められます。カスタム列抽出—抽出するフィールド（患者名、診療日、CPTコード、請求額）を定義し、AIがそれらのみを抽出する—は、アーキテクチャレベルで最小限の原則を実装します。ImageToTable.aiはこの原則に基づいて動作します。必要な列を指定すると、AIはページ上の位置ではなく意味を理解して各値を特定します。指定しなかったフィールドは抽出エンジンに認識されることなく、保存もされません。

これは「すべてを抽出して後でフィルタリングする」ツールとは本質的に異なります。後者のツールは文書全体を無差別に処理します。§164.502(b)の下では、抽出後のフィルタリングによって完全な処理が遡及的にコンプライアンス準拠になるわけではありません。義務は、後で保持するものだけでなく、使用または開示自体を制限することにあります。

コンプライアンスの要となるプロバイダー選定

規制負担を軽減するアーキテクチャを備えたプロバイダーを選ぶことが、最も効果的なコンプライアンス対策です。一時処理、カラム単位の抽出、公開された保存スケジュール、SOC 2 Type II認証、§164.504(e)の全条項をカバーするBAAを備えたツールは、文書を処理する前にほとんどのコンプライアンスギャップを解消します。

このガイドでは規制の基本を解説します。BAA交渉における実務上の落とし穴（下請けへのフローダウン、AIパイプラインにおける返却・破棄の曖昧さ）については、HIPAA BAAコンプライアンスの落とし穴（AI文書抽出）をご参照ください。GDPR第28条DPA要件の欧州版については、GDPR AI抽出コンプライアンスガイドをご覧ください。

よくある質問

AI抽出ツールを請求書処理に使う小規模診療所にもHIPAAは適用されますか？

はい。HIPAAは規模を問わずすべての対象事業者に適用されます。開業医のオフィスも、大規模病院システムと同じプライバシールール、セキュリティールール、BAA要件の対象です。患者請求書にAI抽出を利用する小規模診療所は、病院と同様にプロバイダーとのBAA締結が必要です。

アップロード前に患者名を削除すれば、その文書はPHIではなくなりますか？

§164.514(b)(2)に基づく非識別化には、名前だけでなく18種類すべての識別子の削除が必要です。名前を削除しても生年月日、MRN、郵便番号が残っている文書は依然としてPHIであり、アップロードはBAAを必要とする開示に該当します。適切なセーフハーバー非識別化には、カテゴリー(R)までの全識別子の除去が必要です。

抽出プロバイダーは、アップロードされた医療文書をAIの改善に使用できますか？

BAAで明示的に許可されている場合のみ可能です。デフォルトでは、プロバイダーは契約で許可された範囲を超えてPHIを使用・開示することはできません（§164.504(e)(2)(ii)(A)）。患者の医療文書をモデル学習に使用することは、プライバシールールで認められた利用ではありません。医療特化型の抽出プロバイダーの多くは、専用インフラまたはゼロ保持処理を提供してこの問題を回避しています。コンプライアンス上安全な方法は、BAAで文書を学習に使用しないことを明記することです。

抽出プロバイダーを変更した場合、当社のPHIはどうなりますか？

§164.504(e)(2)(ii)(I)に基づき、移行元のプロバイダーは、貴組織から受領した、または貴組織のために作成したすべてのPHIを返却または破棄しなければなりません。削除確認書を文書で取得し、コンプライアンス記録として保管してください。

非準拠の抽出ツールを使用した場合の罰則は何ですか？

OCRは、45 CFR §160.404に基づく4段階の構造で違反を執行します：第1段階（事業者が知らなかった場合）は、違反1件につき100ドルから、年間最大28,137ドル。第4段階（故意の過怠を是正しなかった場合）は、違反1件につき70,689ドル、年間上限1,726,773ドルに達します。罰金に加えて、BAAなしの抽出ツールに関わる情報漏洩は、サブパートDに基づく必須通知を引き起こします。つまり、影響を受ける個人、HHS、場合によっては地元メディアへの通知が必要となります。

スタッフが医療文書の写真をスマートフォンで撮影し、抽出ツールにアップロードする場合、HIPAAは適用されますか？

はい。媒体によって規制上の地位は変わりません。スマートフォンで撮影した医療記録の写真であっても、18の識別子のいずれかが含まれていれば、§160.103に基づくPHIです。文書がネイティブのPDFであれ、スマートフォンで撮影したJPEGであれ、同じBAAおよび最小必要基準が適用されます。