米国医療機関が迫られるAIサプライチェーンリスク管理とSBOMからAIBOMへの進化:海外医療技術トレンド(132)(4/4 ページ)
本連載第127回で、米国メディケア・メディケイドサービスセンター(CMS)が推進するAI駆動型デジタルヘルスについて取り上げたが、AIを導入する医療機関側では、サプライチェーンリスク管理の取り組みが進んでいる。
医療機関向けAIサイバーガバナンスフレームワーク実装ガイドを公開
HSCCは2026年6月1日、医療機関の安全なAI導入を支援する「保健医療業界AIサイバーガバナンスフレームワーク実装ガイド」(関連情報)を公開した。HSCCは、「AIサイバーガバナンス」について、AIシステムのライフサイクル全体を通じてシステムの安全性、保護およびレジリエンスの確保に焦点を当てたAIガバナンスの一部と定義している。
この実装ガイドの公開に合わせて、HSCCは定義の一貫性を目的とした「AIサイバー用語集」(関連情報)を公開している。例えばSBOMについては、「ソフトウェア製品に含まれる全てのコンポーネント(構成要素)の一覧が示されている。AIにおいては、依存関係やセキュリティ上の脆弱性を理解するのに役立つ」と定義しており、AIBOMへの拡張を念頭に置いた表現となっている。
本ガイドは、医療現場の臨床/業務でのAI導入に伴う独自のサイバーセキュリティやプライバシーの課題に対処する。具体的には、複雑な規制環境への法令順守を確保しつつ、データポイズニング、モデルドリフト、敵対的攻撃といったAI特有のリスクの特定/軽減を目的とする。また、対象とする技術は、従来の機械学習や非エージェント型モデルから、生成AI、さらには自律行動が可能なエージェンティックAIに至るまで、医療現場に導入されるあらゆるAI技術を広く網羅している。
本実装ガイドの基本構成は以下のようになっている。
- エグゼクティブサマリー
- ガバナンスの基礎
- AIガバナンスフレームワークの構築
- AIライフサイクル管理
- 信頼できるAIのためのデータガバナンス
- 臨床の安全性と倫理
- サイバーセキュリティとプライバシー管理
- 生成AIおよび大規模言語モデルのリスク
- エージェンティックAI:行動するAIシステムのガバナンス
- 業務レジリエンスとAI
- ベンダーリスク管理
- 患者への関与と透明性
- 責任、保険および法的考慮事項
- 研究用AIのガバナンス
- 結論
このうち、「エージェンティックAI:行動するAIシステムのガバナンス」の中でAIBOMを取り上げている。実装ガイドでは、「高リスク(High)」および「極めて重大なリスク(Critical)」に分類されるAIシステムについて、医療機関はベンダーに対し、以下の内容を記録したAIBOMの提供を義務付けるべきだとしている。
- 使用されている基盤モデル(名前、バージョン、プロバイダー)
- ファインチューニングデータの由来の要約(データソース、地理的起源、同意の根拠):
ベンダーがこのデータは独自機密であると示した場合、組織はリスク評価のためにどの程度のレベルの要約であれば十分かを決定する必要がある - サードパーティーのライブラリ、フレームワークおよびソフトウェア開発キット(SDK)(バージョンを含む)
- APIの依存関係および外部サービスへの呼び出し
- ホスティングおよび推論インフラストラクチャ(プロバイダー、地域)
- 再委託先(サブプロセッサ)およびフォースパーティーサービス
- 既知の限界、失敗モードおよび禁忌事項
このように、本実装ガイドは、AIBOMの具体的内容まで踏み込んだものになっている。
FDAは、2023年3月29日に施行された「連邦食品医薬品化粧品法(FD&C法)第524B条」(関連情報)により、医療機器サイバーセキュリティ要求事項としてSBOMの提出を義務化した。
OWASPの「CycloneDX」(関連情報)はバージョン1.7で、機械学習モデルの用途や倫理的配慮などを示す「モデルカード」を機械判読可能なデータ構造として統合した。併せて、MLOps(機械学習オペレーション)環境などからAIBOMのJSONファイルを自動生成する「OWASP AIBOM Generator」のレファレンス実装を公開している。他方、Linux Foundationの「SPDX」(関連情報)はバージョン3.0への拡張を完了した。従来のソースコードなどに加え、AIモデルやデータセット、セキュリティ、ビルド、複雑なサプライチェーン全体を包括的に記述できる「モジュール型アーキテクチャ」を実装している。
今後、SBOMに続いて、AIBOMがAI搭載型医療機器のトータル製品ライフサイクルにおける要求事項となるのか注目される。
筆者プロフィール
笹原英司(ささはら えいじ)
宮崎県出身、千葉大学大学院医学薬学府博士課程修了(博士(医薬学))。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ(GHI)等でビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook:https://www.facebook.com/esasahara
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫連載「海外医療技術トレンド」バックナンバー
連邦政府封鎖明けからAI駆動型デジタルヘルス活用が急加速する米国の医療DX
米国保健福祉省を含む連邦政府機関は、2026会計年度予算案審議の影響を受けて2025年10月1日〜11月12日の間封鎖されたが、解除後にAIを巡る動きが加速している。
50万人の情報が流出した英国バイオバンクのインシデントでPETs利用は拡大するか
本連載第85回で、ポストコロナの時代における英国のデータ駆動型保健医療改革を取り上げた。EUの欧州ヘルスデータスペース(EHDS)実装に向けた動きが本格化する中で、英国ならではの越境データ利用の技術検証が注目されている。
医療機器大手ストライカーの事例に見る米国サイバーインシデント情報開示の複雑性
本連載第124回では、HIPAA/HITECH法に基づき、米国保健福祉省が開示したデータ侵害インシデント事案を紹介したが、それ以外の法規制に基づくインシデント情報開示も増えている。
医療にもAIの裾野を広げるインド、欧州各国との連携にはグローバルサウスも絡む
前回は、2026年ミラノ・コルティナ冬季オリンピック・パラリンピック大会を巡る最新テクノロジー動向を紹介した。今回は、AIを巡るインドと欧州各国/地域の連携について取り上げる。
健康な社会づくりを目指すミラノ・コルティナ2026とイタリアのAI/サイバー政策
本連載第113回で、イタリアのeヘルスとAI法対応を取り上げたが、今回は健康な社会づくりをレガシーの中心に据える「2026年ミラノ・コルティナ冬季オリンピック・パラリンピック競技大会」を巡る最新テクノロジー動向を紹介する。