2025年10月27日
メール
医療情報管理者様
件名: 報告された違反 HR24-00691
2024年12月17日、個人健康情報保護法(以下「法」)に基づくプライバシー侵害をオンタリオ州情報プライバシーコミッショナー事務局(IPC)に報告されました。IPCは、この件に対処するため、ファイルHR24-00691を開設しました。
侵害の概要:
侵害の状況
2024年9月23日、病院の医師が出席したバーチャル肝臓内科回診会議が、人工知能を搭載した文字起こしツールOtter.ai(以下「文字起こしツール」または「ツール」)によって誤って録音されたと報告されました。
文字起こしツールはウェブブラウザとモバイルアプリケーションで利用可能であると報告されました。このツールは、人工��知能を用いて話し言葉をテキストに変換し、ユーザーが詳細な会議メモと要約を作成できるように設計されています。Zoom、Google Meet、Microsoft Teamsなどの一般的なコミュニケーションプラットフォームと統合でき、デジタルカレンダーに保存された会議招待状にアクセスできます。このツールは、病院での使用が承認されていません。
録音に関与したOtter.aiアカウントのアカウント所有者は元医師であると報告されました。当該医師は2023年6月に病院を退職しました。彼は2024年9月に個人デバイスにOtter.aiをインストールしました。
侵害発生時点で当該医師は病院に勤務していませんでしたが、2つの重大なセキュリティ上の欠陥により、ツールは当該医師の個人用(業務に関連しない)デジタルカレンダーから回診会議の招待状にアクセスできました。第一に、当該医師は病院のポリシーに反して、会議グループで勤務用メールアドレスではなく個人用メールアドレスを使用していました。第二に、会議主催者は2023年6月に当該医師が病院を退職した後も、会議招待状から当該医師を削除していませんでした。その結果、当該医師は退院後1年以上もの間、個人用デジタルカレンダーから会議招待状にアクセスし続けることができました。
その結果、ツールは医師の個人メールカレンダーにあるリンクにアクセスすることで、2024年9月23日の肝臓内科回診会議に参加し、会議を録画することができました。
Tribunal Services Department 2 Bloor Street East
Suite 1400 Toronto, Ontario Canada M4W 1A8
Services de tribunal administratif 2, rue Bloor Street
Bureau 1400 Toronto (Ontario) Canada M4W 1A8
電話番号: (416) 326-3333
電話番号: (800) 387-0073
TTY/ATS: (416) 325-7539
Web: www.ipc.on.ca
通知。この件は、会議終了後、アカウント所有者を含む参加者に会議の要約と記録のトランスクリプトへのアクセスが自動的にメールで送信された際に発覚しました。
病院の知る限り、この会議への招待は、医師の個人カレンダーに登録されていたツールによってアクセスされた唯一の病院会議招待であったと報告されています。
範囲
会議中、7名の患者の個人健康情報が会議参加者間で話し合われ、トランスクリプトに記録されたと報告されています。これらの患者は入院しており、治療を受けていました。
漏洩に関係した個人健康情報には、患者氏名、性別、医師名、診断名、医療記録、治療情報が含まれていました。
封じ込め:
漏洩を封じ込めるため、病院は以下の措置を講じたと報告されています。
-
トランスクリプトツールへのデジタル招待をキャンセルし、今後の会議への参加を禁止しました。
-
会議に出席した、または電子メールのコピーを受け取った個人を特定し、すべての関連システムおよびデバイスから電子メールのコピーを速やかに、かつ回復不能な方法で削除するよう指示しました。受信者リストに登録されていた65人のユーザーのうち、53人が電子メールを削除したか、受信していないことを確認したと報告しました。残りの12人は病院を退職した模様です。
-
病院関連のアカウントにアクセスできる可能性のあるすべてのデバイスから、ツールおよび/ま�たは類似のツールを削除するようスタッフに指示し、病院の認証情報およびデバイスには承認された技術とアプリケーションのみを使用するよう全スタッフに周知しました。
-
元医師に対し、社内ポリシーに従い、個人アカウント、システム、デバイスから病院関連資料をすべて削除するよう指示し、確認を得ました。
-
医師に対し、会議で記録された情報の削除をOtter.aiに依頼するよう指示しました。しかし、医師はこの依頼に応じなかったと報告しました。
通知:
影響を受けた7名のうち5名に対し、2024年12月17日に書面で違反の通知を受けたと報告されました。通知書には、違反の詳細と範囲、違反に対処するために講じられた措置、IPC(医療保険監督官)への違反通知、患者がIPCに苦情を申し立てることができることとその方法、詳細情報の問い合わせ先となる病院担当者の連絡先が記載されていました。
影響を受けた他の2名は既に死亡していると報告されました。1名については、病院は通知書の写しを遺産管理人に提供しました。もう1名については、遺産管理人が不明です。そのため、通知書の写しを患者の電子医療記録にアップロードしました。
改善措置:
同様の違反の再発防止のため、病院は以下の措置を講じたと報告されました。
**i. **ファイアウォール: 病院では、ファイアウォール設定により、Otter.ai や deepseek.com などの AI スクライブツールを病院内で使用できないようにしています。
**ii. ****トレーニングの更新: **病院は、AI ツールと病院の AI 利用ポリシーについて明確に説明するため、プライバシートレー�ニング資料を更新しました。^1^ 新しいトレーニングコンテンツは、2025年6月下旬に医療学習者向けに公開され、2025年秋には他の病院のエージェント向けにも公開される予定です。病院は、更新されたトレーニングを他の病院とも共有する予定であると発表しました。
この研修には、以下の文言が含まれています。「[病院]の業務関連目的で使用されるすべてのITリソース(AIの利用を含むものを含む)は、[病院]の承認が必要です。承認されていないツールにPHI/PI/CCIを入力することはプライバシー侵害であり、PHIPAおよび専門ガイドラインに違反します。ベンダーが[病院]のデータを[病院]以外の目的で悪用する可能性があるためです。プライバシー侵害は懲戒処分、規制当局および情報プライバシーコミッショナーへの報告、および個人に対して最大20万ドル、組織に対して最大100万ドルの罰金につながる可能性があります。」
**iii. **更新されたポリシー:病院の情報および情報技術の適切な使用ポリシーは、AIツールの使用に対応するため、2025年6月に改訂されました。このポリシーには、今回の違反の状況に関連する以下の規定が含まれています。
o [病院] の職員は、承認された共有/グループ認証情報を除き、常に割り当てられたユーザーIDとパスフレーズ/パスワード(以下「認証情報」)のみを使用して [病院] の情報および IT リソースにアクセスする必要があります。
o [病院] の業務を遂行するには、[病院] が承認した IT リソースのみを使用してください。
o PHI/PI/CCI を入力、処理、または議論する際は、[病院] が承認した IT リソース(人工知能 (AI) ツール、自動化ソフトウェア/ボット、その他の IT リソースを含む)のみを使用してください。
| |
| | 
|
^1^ 病院側は、医師が2021年と2022年にプライバシー研修を修了しているものの、この研修ではAIツールの使用については触れられていないと回答しました。
o 承認されていないツールにPHI/PI/CCIを入力することはプライバシー侵害であり、PHIPA(個人情報保護法)および専門学校のガイドラインとポリシーに違反します。ベンダーは、[病院]のPHI/PI/CCIをベンダーのアルゴリズムのトレーニングやその他[病院]以外の目的で使用する可能性があるためです。
o 会議参加者リストに承認されていないAIツールまたは自動エージェントが含まれていないか確認し、会議を進める前、またはPHI/PI/CCIについて議論する前に、それらを会議から削除することを習慣づけてください。
o [病院]のエージェントは、[病院]の業務目的で、承認されていないデジタルツール(ChatGPTなどのAI製品を含む)を決して使用してはなりません。
さらに、病院ではAIツールの調達、実装、使用に関するAIガバナンスプログラムが実施されていると回答しました。このプログラムは、病院のプライバシーオフィスを含むAIガバナンス委員会によって監督されています。
結論と推奨事項:
病院が侵害の封じ込め、調査、是正、そして影響を受けた個人への通知のために講じた措置に加えて、私は病院が以下の追加措置を講じることを推奨します。
- 封じ込め: ===============
**i. **2024年9月23日の�会議で保管されていた入院患者の個人医療情報(PHI)を削除するよう、Otter.aiに正式なリクエストを提出してください。病院が医師本人にリクエストを提出するよう依頼したことは承知していますが、おそらく医師がアカウント保有者であることを理由に、医師本人がリクエストを提出したこと、または削除が行われたことについて、病院は医師から確認を受けていません。さらに、問題となっている個人健康情報の管理者として、病院は侵害を封じ込めるため、Otter.ai に対し、問題となっている PHI の削除を自ら要請すべきでした。
**ii. **メールの削除を確認せず、その後病院を去った 12 人の受信者については、病院のメールアカウントからメールを削除してください。これらの受信者のうち、外部(病院以外の)メールアカウントでメールを受信していた場合は、削除されたことを確認するためにフォローアップしてください。
- 是正措置 ==============
**iii. ****侵害プロトコル:**プライバシー侵害プロトコルを更新し、プライバシーオフィスが、今回の侵害と同様の状況で許可なく収集された PHI の削除を、個々のアカウント所有者に頼るのではなく、第三者機関に直接かつ直ちに連絡して要求するよう規定してください。
**iv. **利用規定:病院の利用規定を更新し、エージェントは病院関連業務(業務会議への出席など)を行う際に病院が承認したデバイスのみを使用し、個人用デバイスをそのような目的で使用してはならないことを明確にします。
**v. **退院監査:病院の従業員および医師の退院プロセスを監査し、カレンダー招待へのアクセスを含む病院情報システムへのすべてのアクセスが退職時に直ちに取り消されるよう、適切な手順が整備されていることを確認します。
**vi. **会議ロビーの必須化:PHI(個人医療情報)が議論されるすべてのオンライン会議において、「ロビー」の使用を技術的に強制します。主催者は各参加者を手動で承認する必要があります。これにより、許可されていないAIツールが会議に自動的に参加者として参加する可能性を低減できます。
**vii. **AIガバナンスおよび説明責任のフレームワーク: AIスクライブの調達、導入、使用に関する病院のフレームワークが、IPCのプレゼンテーション「オンタリオ州の医療におけるAI」[https://www.ipc.on.ca/en/media-centre/past-presentations/ai-ontarios-health-sector]に記載されているガイダンスに準拠していることを確認します。
このプレゼンテーションで示されているように、AIガバナンスとアカウンタビリティのフレームワークには、以下の要素が含まれる必要があります。
o AIガバナンス委員会
o ポリシー、プラクティス、および手順
o トレーニングと意識向上
o 初期評価および継続的な評価、モニタリング、およびテスト
o AIリスク管理フレームワーク
o 人による監督
o 苦情および問い合わせのメカニズム
o 救済措置、報告、および通知のメカニズム
o 機密保持およびエンドユーザー契約
o 契約上の保護措置
**viii. **プライバシー侵害の結果:プライバシー侵害は、PHIPAに基づく行政罰の対象となる可能性があることを反映するように、該当するすべての病院のポリシー、手順、およ��びトレーニング資料を更新してください。
また、IPCのガイダンス文書「医療分野のプライバシー侵害への対応:医療分野向けガイドライン」および「検出と」および「個人医療情報への不正アクセスの阻止」に記載されているガイダンスをご確認の上、遵守していただくようお願いいたします。また、今後の侵害リスクを最小限に抑えるために、実務、ポリシー、手順が十分であることを確認してください。さらに、スタッフへの今後のプライバシー研修で、今回の事例を例として取り上げ、法に基づく義務を改めて認識させ、同様の侵害の再発防止に努めていただくようお願いいたします。
上記の勧告の状況について、2026年1月27日までに最新情報をご報告くださいますようお願いいたします。
IPCは、更なる調査の必要性を示唆する追加情報が得られた場合、本件を再度調査する可能性があることにご注意ください。
敬具
デニス・イーデス アナリスト