医療AI規制 ― 薬機法・個人情報保護法の交点

医療AI規制 ― 薬機法・個人情報保護法の交点

画像診断、病理、ゲノム解析、問診支援――医療現場における AI 活用は、市販後の臨床現場で日常的に使われる段階に移行している^[1]。日本でも、AI を組み込んだプログラム医療機器（SaMD: Software as a Medical Device）の薬事承認件数は画像診断支援系を中心に増加傾向にある^[2]。一方、医療AIは「医薬品医療機器等法（薬機法）」と「個人情報保護法」という二つの法体系の交点に立たされており、開発・上市・運用の各局面で規制リスクが重層的に発生する。本稿では、SaMD として AI を扱う薬機法上の枠組み、PMDA の継続改良型承認制度（IDATEN）、要配慮個人情報の取扱い、米国 FDA の AI/ML SaMD Action Plan との比較を通じ、医療AI事業を持続させるための法務・コンプライアンス上の論点を整理する。

医療AIに重なる二法の構造

医療AI規制はしばしば「薬機法か個人情報保護法か」と二者択一で議論されがちだが、実務上この二法は補完的に機能する。薬機法は「製品としての医療機器（モノ）」を規律し、個人情報保護法は「学習・推論に投入される医療データ（情報）」を規律する。薬事承認を取得した SaMD であっても、利用データが個情法要請を満たさなければ違法状態となり、逆に個人情報の取扱いが完璧でも未承認のまま「診断」を謳って市販すれば薬機法違反となる^[3]。

さらに次世代医療基盤法^[4]が三層目の規律を加える。同法は2018年5月施行、2024年4月の改正で「仮名加工医療情報」を新設し研究目的の利活用範囲を拡張した^[5]。医療AI開発者は、(1) 製品 SaMD の承認制度（薬機法）、(2) 学習用データの調達ルール（個情法・次世代医療基盤法）、(3) 病院導入時の医療法・診療報酬上の位置付け――の三層を同時に満たす必要がある。

薬機法上の SaMD 規制

2014年の薬事法改正（現・薬機法）により、ソフトウェア単体が「プログラム医療機器」として規制対象に組み込まれた^[6]。SaMD はリスクに応じて高度管理医療機器（クラスIV）から一般医療機器（クラスI）まで分類され、AI 画像診断支援ソフトの多くは管理医療機器（クラスII）または高度管理医療機器（クラスIII）に該当する。クラスIIIに該当する場合、PMDA による承認審査が必要であり、製造販売業許可・QMS（品質マネジメントシステム）省令適合性調査・GVP（製造販売後安全管理基準）省令への適合が前提となる。

AI 特有の論点として、(1) 学習データの代表性とバイアス、(2) アルゴリズムの「ブラックボックス性」と説明性、(3) 市販後のモデル更新（continuous learning）の取り扱い、の3点が PMDA 審査でしばしば争点になる^[7]。とくに(3)は従来の医療機器規制が想定していなかった論点で、承認時点と現場運用時点でモデル挙動が変わりうる「適応的アルゴリズム（adaptive algorithm）」をどう承認するかが世界共通の課題となっている。これに対する日本の制度的回答が IDATEN である。

IDATEN 制度の解説

IDATEN（Improvement Design within Approval for Timely Evaluation and Notice）は、2020年9月の薬機法改正（令和元年改正の施行）に伴い導入された、プログラム医療機器の継続的改良を承認時点で計画として組み込んでおく制度である^[8]。承認申請時に「変更計画書（Pre-specified Change Control Plan）」を提出し PMDA の確認を得ておけば、承認後の性能改良（再学習を含む）が一部変更承認手続きを経ずに「届出」で実施できる仕組みである^[9]。

IDATEN の本質は、AI の宿命である「市販後にデータを蓄積して改良する」サイクルを薬事制度の中に正面から取り込んだ点にある。具体的には、(a) 変更が及ぶ範囲（性能指標・対象患者層・入力データ仕様など）、(b) 変更後の検証方法（検証用データセットと許容性能基準）、(c) 変更管理体制（社内承認フロー・ロールバック手順）、を事前に PMDA に提示する。実例として2022年以降、眼底画像診断・心電図解析・内視鏡画像解析の領域で IDATEN を活用した承認事例が公表されている^[10]。ただし「学習データを差し替えるが入出力仕様は変えない」程度の変更が中心であり、モデルアーキテクチャの抜本的入れ替えまでは想定されていない点に留意が必要である。

個人情報保護法上の要配慮情報

2017年5月施行の改正個人情報保護法で「要配慮個人情報」概念が新設され、病歴・診療情報・健診結果・障害情報などが該当することが明確化された^[11]。要配慮個人情報の取得には原則本人同意が必要で、オプトアウト方式での第三者提供は禁止される。病院から患者データの提供を受けて学習する場合、(1) 個別同意、(2) 次世代医療基盤法に基づく認定事業者経由の匿名／仮名加工医療情報、(3) 学術研究例外、のいずれかのスキームを選ぶ必要がある^[12]。

2022年4月施行の改正個情法では漏えい時の報告義務が強化され、要配慮個人情報は1件でも報告対象となった^[13]。病院から AI 開発スタートアップへのデータ移転は、DPA 相当の文書整備に加え移転先国を含む移転スキームの確認が求められる。

米国 FDA との比較

米国 FDA は2021年1月「AI/ML-Based SaMD Action Plan」を公表し、適応的アルゴリズムを規律する Predetermined Change Control Plan（PCCP）の枠組みを示した^[14]。2024年12月には PCCP に関するガイダンスがファイナル化され^[15]、市販後の性能監視（Real-World Performance Monitoring）を再申請の根拠とする思想で踏み込みが大きい。

個別事例では、2018年に世界初の「自律的に診断する」AI 医療機器として FDA 認可を受けた Digital Diagnostics 社の IDx-DR（糖尿病網膜症）^[16]、放射線科向け Aidoc の脳出血等トリアージ AI^[17]などが代表例である。画像 AI プラットフォーム EnvoyAI は2018年に TeraRecon に統合された^[18]。FDA 認可済み AI/ML 医療機器の累計件数は急増し放射線科領域が約76%を占める^[19]。日本との承認件数差は10倍規模に開いており、産業政策上の論点となっている。

医療現場での実装

規制を満たして承認を得ても、医療現場での実装は別の壁を伴う。第一に診療報酬上の評価である。日本では2022年度診療報酬改定で「人工知能技術を用いた画像診断補助」に対する加算（画像診断管理加算3の中で評価）が一部導入されたが、AI 単独で大幅な加算を生む構造には至っていない^[20]。第二に、医師法17条の医行為性との関係である。AI が「診断」を提示しても最終判断は医師が行うとの整理が厚労省通知で繰り返し示されており、この建付けは現場ワークフローの設計に影響する^[21]。

国内スタートアップでは、エルピクセル（病変検出 AI EIRL）、アイリス（咽頭画像からのインフルエンザ判定 nodoca）、エムスリーAI、Ubie（症状検索エンジン Ubie）などが薬事承認またはヘルスケアサービスの両軸で事業を進めている^[22]。とくにエルピクセルは2019年に脳動脈瘤検出 AI で薬事承認を取得し、IDATEN 制度の活用事例としても言及されることが多い。

チェックリスト：医療AI事業者が押さえるべき5項目

• [ ] 自社プロダクトが「プログラム医療機器」該当性の判定（厚労省「プログラムの医療機器該当性に関するガイドライン」^[23]に照らした判定書面の作成）を済ませているか
• [ ] 学習データの取得スキーム（同意・次世代医療基盤法・学術研究例外）が文書化され、提供元医療機関と DPA 相当の契約を交わしているか
• [ ] 市販後改良の方針が決まっており、IDATEN 制度活用の要否を承認申請前に判断しているか
• [ ] GVP・GPSP（製造販売後の安全管理・調査）体制を構築し、AI 特有の不具合（データドリフト・バイアス顕在化）を検知する仕組みを持っているか
• [ ] 海外展開を視野に入れる場合、FDA PCCP・EU MDR・各国電子カルテ規制との差分整理が完了しているか

打ち手

第一の打ち手は、開発初期から薬事・個情法・診療報酬の三領域に通じた外部アドバイザリー体制を組成することである。医療AIは法務・薬事・データサイエンス・臨床の知見が交差する領域で、社内に全領域の専門家を抱えることは現実的ではない。第二に、IDATEN の活用を念頭に置いた変更管理計画を設計フェーズから織り込む。後付けで承認を取り直すコスト（一部変更承認は通常6〜12か月）を考えれば、アーキテクチャ設計時点での「変更可能スコープ」の確定が極めてレバーが効く論点となる。第三に、データガバナンスを単なるコンプライアンス対応ではなく「学習データの差別化」へと昇華させる視点である。次世代医療基盤法経由で取得できる匿名加工医療情報は競合他社も利用しうるため、個別医療機関との独自データ提携が中長期の参入障壁になる。

「医療AIの規制は技術を阻害するためにあるのではなく、患者安全と社会的信頼を担保することで、技術を持続可能にするための社会装置である。規制を回避する設計は短期的に速く見えても、市販後の事故・回収・訴訟で結果的に最も遅い選択になる」――製造販売後安全管理を担う薬事担当者の実務感覚として、業界内で繰り返し語られる視点である。

結論：医療AI規制対応の3点

1. 二法は補完関係。薬機法はプロダクト、個情法はデータを規律する。どちらか片方でも欠落すれば事業は止まる。
2. IDATEN は AI 時代の現実解。継続改良を前提とする AI に、事後の変更管理を承認時点で組み込む日本独自の制度設計は、設計段階から積極活用すべきレバーである。
3. データガバナンスは差別化要因。要配慮個人情報の適法取得スキームを早期に確立した事業者だけが、長期的にデータ起点の競争優位を構築できる。

経営者視点：医療AIに踏み込む経営判断

経営者視点では、医療AIは「規制ハードルが高いほど参入障壁になる」典型領域である。薬事承認に2〜4年、保険収載・販路開拓を含めれば事業立ち上げに5年以上を要するケースが多く、汎用 SaaS のスピード感とは桁違いの忍耐力が要求される。しかし一度承認を取得し医療機関ネットワークに食い込めば、模倣困難性は極めて高い。経営判断として重要なのは、(1) 初期投資を「PMDA 対応コスト」と「データ調達コスト」に分けて見積もり、シリーズA〜B時点での資金計画に織り込むこと、(2) 薬事・PMS 機能を外注ではなく内製アセットとして位置付けること、(3) 海外展開（とくに FDA 510(k)）を最初から視野に入れた製品設計とすることの3点である。日本市場のみでは投資回収の蓋然性が乏しい場合が多く、設計段階からマルチリージョンを意識した規制戦略が事業性を左右する最大のドライバーとなる。

参考文献

1. 厚生労働省「保健医療分野におけるAI活用推進懇談会 報告書」2017年（および以降の関連検討会資料）
2. 独立行政法人医薬品医療機器総合機構（PMDA）「プログラム医療機器（SaMD）の承認状況」公表資料
3. 医薬品医療機器等法（昭和35年法律第145号、最終改正：令和元年法律第63号）
4. 医療分野の研究開発に資するための匿名加工医療情報及び仮名加工医療情報に関する法律（平成29年法律第28号）
5. 内閣府「次世代医療基盤法の改正概要」2023年（2024年4月施行関連資料）
6. 厚生労働省「プログラムの医療機器への該当性に関するガイドライン」2014年初版・以降改訂
7. PMDA「人工知能技術を活用した医療機器に関する評価指標」関連通知
8. 厚生労働省「医薬品医療機器等法等の一部を改正する法律」（令和元年）施行関連通知
9. PMDA「プログラム医療機器の特性を踏まえた承認制度（IDATEN）の運用について」
10. PMDA「プログラム医療機器の市販後の性能等の継続的改善に関する変更計画確認手続」事例集
11. 個人情報の保護に関する法律（平成15年法律第57号）および同法施行令、ガイドライン
12. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（医療・介護関係事業者編）」
13. 個人情報保護委員会「令和2年改正法・令和3年改正法に関する解説資料」
14. U.S. FDA, “Artificial Intelligence/Machine Learning (AI/ML)-Based Software as a Medical Device (SaMD) Action Plan”, January 2021
15. U.S. FDA, “Marketing Submission Recommendations for a Predetermined Change Control Plan for Artificial Intelligence/Machine Learning (AI/ML)-Enabled Device Software Functions”, Final Guidance, December 2024
16. Digital Diagnostics（旧 IDx）社プレスリリース「FDA permits marketing of IDx-DR」2018年4月
17. Aidoc Medical 社プレスリリース・FDA 510(k) Database 検索結果（K183285ほか）
18. TeraRecon 社プレスリリース「TeraRecon acquires EnvoyAI」2018年
19. U.S. FDA, “Artificial Intelligence and Machine Learning (AI/ML)-Enabled Medical Devices” 一覧（FDA 公式サイト、随時更新）
20. 厚生労働省「令和4年度診療報酬改定の概要」画像診断関連項目
21. 厚生労働省医政局「人工知能（AI）を用いた診断・治療支援を行うプログラムの利用と医師法第17条の規定との関係について」（医政医発通知）
22. 各社公開資料：エルピクセル株式会社、アイリス株式会社、Ubie株式会社、エムスリーAI株式会社
23. 厚生労働省「プログラムの医療機器該当性に関するガイドライン」（令和3年・令和5年改訂版）