　米国では医療AIの導入加速に伴い、外部ベンダーへの依存度が高まり、従来の管理では対処困難なサイバーリスクが生じている。電子健康記録（EHR）の自然言語処理や遠隔モニタリングなどの重要機能を外部に依存しているが、そのセキュリティやモデルの完全性の検証は容易ではない。さらに、下請けやオープンソースが絡む多層的なサプライチェーンにより、AIコンポーネントの全体像が不透明化し、侵害や障害発生時の対応を困難にしている。

　このような背景からHSCCは2026年4月15日、「保健医療業界におけるサードパーティーAIリスクとサプライチェーンの透明性ガイド」（関連情報）を公開した。

　表1は、本ガイドの調達対象ソリューション一覧を示している。

表1　HSCC「保健医療業界におけるサードパーティーAIリスクとサプライチェーンの透明性ガイド」の調達対象ソリューション［クリックで拡大］出所：Health Sector Coordinating Council（HSCC）「Third-Party AI Risk and Supply Chain Transparency Guide」（2026年4月15日）を基に筆者作成

　上記の対象ソリューションには、FDAが規制するAIを搭載した臨床意思決定支援システムや診断／治療ツールだけでなく、幅広い医療AIソリューションが含まれる。

　次に表2は、本ガイドの構成を示している。

表2　HSCC「保健医療業界におけるサードパーティーAIリスクとサプライチェーンの透明性ガイド」の構成［クリックで拡大］出所：Health Sector Coordinating Council（HSCC）「Third-Party AI Risk and Supply Chain Transparency Guide」（2026年4月15日）を基に筆者作成

　AIシステムは、モデルのドリフト、トレーニングデータへの依存関係、アルゴリズムのバイアス、そして複数のベンダー、オープンソースコンポーネント、クラウドサービスプロバイダーにまたがる可能性のある複雑なサプライチェーン関係を通じて、動的なリスクをもたらす。本ガイドでは、サードパーティーのAIリスク管理に関して、人工知能システム独自の特性を認識した、7つのライフサイクルに基づく構造化されたプロセスを提唱している。

　さらに表3は、本ガイドにおける管理プロセスのライフサイクルを示したものである。

表3　HSCC「保健医療業界におけるサードパーティーAIリスクとサプライチェーンの透明性ガイド」におけるプロセスのライフサイクル［クリックで拡大］出所：Health Sector Coordinating Council（HSCC）「Third-Party AI Risk and Supply Chain Transparency Guide」（2026年4月15日）を基に筆者作成

　このプロセスを通じて、前述の「HIC-SCRiM v2.0」をベースラインとしながら、医療機関とサードパーティーのAIベンダーとの間に「責任共有モデル」を確立し、テクノロジーのライフサイクル全体を通じて、AI特有のリスクの透明性ある管理を確実なものにすることを目的としている。

　また、本ガイドでは、医療機関におけるAI特有のガバナンス・リスク・コンプライアンス（GRC）評価においてモデルの透明性や説明可能性を明確にするために、SBOM／AI部品表（AIBOM）の利用を掲げているのが特徴だ。

　具体的には、表3のプロセスのうち、「フェーズ1：ベンダー評価およびデューデリジェンス」における活動として、以下の通り、「AI特有のGRC評価」の3項目を挙げている。

1）調達および資産インベントリの発見と登録
2）標準的なサードパーティーリスク評価（HIC-SCRiM v2.0に準拠）
3）AI特有のGRC評価

　このうち、「3）AI特有のGRC評価」におけるテーマとして、「モデルの透明性と説明可能性」を挙げて、以下のような小項目を示している。

i）モデルアーキテクチャのドキュメント
ii）SBOMおよびAIBOM：
どの機能／ケイパビリティがAI対応かつ有効化されているかの一覧、モデルの依存関係、サードパーティーのサービス、またはモデルアーキテクチャ、トレーニングデータ、依存関係、外部サービス、サードパーティーコンポーネントを記述した同等のドキュメント
iii）ユースケースの重要度に応じた適切な説明可能性機能
iv）決定境界および確信度のしきい値
v）人間の関与メカニズムおよびオーバーライド（強制変更）機能
vi）バージョン管理およびモデルリネージ（系統）の追跡

医療機関向けAIサイバーガバナンスフレームワーク実装ガイドを公開

前のページへ 1|2|3|4 次のページへ