医療介護現場でAIを使うときのルール ── 公的ガイドラインを現場目線で整理【2026年版】

医療介護現場でAIを使うときのルール ── 公的ガイドラインを現場目線で整理【2026年版】

目次
  1. 01まず全体像:何を根拠に考えるか
  2. 02ルール1:最終判断は必ず人がする
  3. 03ルール2:入れてよい情報の線引きを持つ
  4. 04ルール3:AIサービスは「国」より「契約」で選ぶ
  5. 05ルール4:「禁止」ではなく「使ってよい範囲」を決める
  6. 06ルール5:「使ってよい場面」は制度が後押ししている
  7. 07コピペで使える:院内ルールのたたき台をAIに作らせる
  8. 08まとめ

医療介護の現場でAIを使うとき、公的なガイドラインが求めていることは、突き詰めると次の3つです。

  • 最終判断は必ず人(専門職)がする。AIは下書き・整理・チェックの補助
  • 個人を特定できる情報・要配慮個人情報は、原則AIに入れない。入れるなら「学習に使わない契約」が担保されたサービスに限る
  • 「禁止」ではなく「使ってよい範囲」を施設で決める。決めないと、職員は個人アカウントのAIに流れる

この記事でわかること:

  • 何を根拠に考えればいいか(公的ガイドラインの一覧と出典URL)
  • AIに入れてよい情報・だめな情報の線引き
  • AIサービスを選ぶときの確認ポイント
  • 院内・施設内ルールの作り方(掲示できる10か条つき)

私は通所リハビリの現場で管理職をしながら、議事録や手順書づくりにAIを使っています。その実体験と、公的ガイドラインの記載を突き合わせて整理しました。

この記事は法的助言ではありません。ガイドラインの解釈と運用は施設の状況で変わります。最終的な判断は、一次資料を確認したうえで各施設・各自で行ってください。

まず全体像:何を根拠に考えるか

医療介護のAI利用に「AI専用の法律で一律禁止・許可」という仕組みはありません。既存の法律(個人情報保護法・医師法など)と、各省庁のガイドラインを組み合わせて判断します。主な根拠はこの6つです。

  1. 個人情報保護法ガイドライン(通則編)(個人情報保護委員会)── 要配慮個人情報の扱いの大元
  2. 医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(個情委・厚労省)── 医療介護向けの実務指針。2026年4月1日施行の改正版あり
  3. 生成AIサービスの利用に関する注意喚起(個人情報保護委員会)── 生成AIに個人データを入れるとどうなるか
  4. 医療情報システムの安全管理に関するガイドライン 第6.0版(厚労省)── 医療情報を扱うシステム・クラウドの安全管理。Q&A(令和7年5月)に生成AIへの言及あり
  5. AI事業者ガイドライン 第1.2版(総務省・経産省、2026年3月)── AI利用者としての心得。最新版でAIエージェントの扱いが追加
  6. 日本医師会「AIに関する臨床的課題と生命倫理について」答申(2026年4月)── 臨床でのAI利用と医師の責任

これらはほとんどが「ソフトロー」、つまり罰則付きの法律ではなくガイドラインです。ただし、逸脱してインシデントを起こせば、個人情報保護法違反や安全配慮義務違反として問われ得ます。「ガイドラインだから守らなくていい」にはなりません。

ルール1:最終判断は必ず人がする

すべての土台になるルールです。

医師法では、医行為の主体は医師です。診断書や処方箋などの文書をAIに下書きさせること自体は問題ありませんが、医師が内容を確認・修正せずそのまま使うことは認められません(日本医師会答申)。画像診断支援AIでも、AIのスコアだけを根拠に医師が画像を見ずに判定するフローは違法の懸念が強いとされています。

介護側も同じ構図です。AIが作るケアプランは過去データに基づく統計的な提案にすぎず、利用者の個別性や意向を反映してプランを組み直すのはケアマネジャーの仕事と整理されています(厚労省の調査研究。介護テクノロジーの利用促進参照)。

現場の言葉にすると、こうなります。

AIの出力は「優秀な新人の下書き」。提出前に必ず自分の目で確認し、最終責任は自分が持つ。

生成AIはもっともらしい誤り(ハルシネーション)を出す前提で使います。これは性能の問題ではなく仕組みの性質なので、「賢いAIだから確認を省く」は成立しません。

ルール2:入れてよい情報の線引きを持つ

医療・介護の情報の多くは、個人情報保護法で「要配慮個人情報」に分類されます。病歴、診療記録、ケアプラン、事故の記録などが該当し、取得や第三者提供には原則本人の同意が必要です(通則編ガイドライン医療・介護ガイダンス)。

ここで生成AIとつながります。個人情報保護委員会は、入力した情報がAIの学習に使われる場合、個人データの入力はサービス提供者への「提供」になり得ると注意喚起しています(生成AIサービスの利用に関する注意喚起)。つまり、学習される設定のAIに利用者情報を貼ると、本人の同意なしの第三者提供に該当するおそれがあるということです。

現場で迷わないために、信号の3分類で持っておくのがおすすめです。

AIに入れてよい情報の信号3分類:赤=そのまま入れない、黄=加工してから、青=そのまま使いやすい

そのまま入れない(赤信号):

  • 氏名・住所・生年月日・ID・被保険者番号
  • 病名・検査値・診療録・ケアプラン・事故報告
  • 顔写真・創部写真・音声、電子カルテや介護ソフトの画面スクショ

加工してから(黄信号):

  • 年齢は年代に(82歳 → 80代)
  • 日付は相対化(6月9日 → ある日の午前)
  • 施設名・部署名・職員名・利用者名を除く
  • ただし、珍しい病名や地域など組み合わせで特定されることがあるため、「匿名化したから安全」と過信しない

そのまま使いやすい(青信号):

  • 架空事例、個人を特定できない一般論
  • 公開資料の要約、研修資料の構成案
  • 空欄テンプレートの作成、文書の言い回しの改善

2点、見落としやすい補足があります。介護保険の被保険者番号(保険者番号+被保険者番号)は法律上の「個人識別符号」で、2026年4月からは本人確認目的での告知要求も制限されています(個人情報保護委員会FAQ)。氏名を消しても被保番が残っていれば赤信号です。もう一つ、亡くなった患者・利用者の情報も、ガイダンス上は生存者と同等の安全管理が求められます。

私自身、AIをよく使うのは委員会の議事録づくりです。個人名が出ない会議なので、安心して使えています。

もう一つ、違う形もあります。職場で使っているヒヤリハット報告アプリは、開発にAIを活用しましたが、出来上がったアプリ自体は動作にAIを使いません。外部のAIサービスにデータを渡す場面がないので、アプリが患者情報を持っていても、この記事で挙げているAI利用のルールが直接かかる話ではなくなります。AIで現場の道具を作り、運用ではAIを使わない。これも有効な形で、現場で個人情報を扱っても問題にならない可能性が高い使い方です。もちろん通常の個人情報の安全管理は必要で、最終的にどう扱うかは現場の判断になります。

ルール3:AIサービスは「国」より「契約」で選ぶ

「海外のAIは危ない」「国内サーバなら安心」という話をよく聞きますが、ガイドラインの整理は少し違います。

厚労省の医療情報システム安全管理ガイドライン6.0版のQ&A(令和7年5月)は、生成AIのプロンプトに医療情報を入力するケースについて、入力情報がAIの学習等のために保存されないことが契約等で担保されていれば、サーバが国内法の適用を受けている必要はない、という趣旨の整理をしています。

つまり判断の中心は「サーバがどこの国にあるか」ではなく「学習・保存しない契約が担保されているか」です。国内サーバでも担保がなければ入れてはいけないし、国外でも担保があれば検討できる。確認すべきは次の5点です。

  1. 入力内容が学習に使われない設定・契約か
  2. データの保存期間と削除の可否
  3. 保存先の国と準拠法(外国にある第三者への提供には別途手当てが必要)
  4. 無料の個人アカウントか、法人契約か(この2つは別物として扱う)
  5. 提供事業者側の安全管理(医療情報を取り扱う提供事業者向けガイドラインへの対応状況)

参考になる実例として、個人情報保護委員会は2025年2月、DeepSeekについて「取得されたデータが中国のサーバに保存され中国の法令が適用される」と情報提供しました。性能や無料かどうかだけでなく、データの行き先まで見て選ぶ、ということです。

なお、ファイルやカレンダーに自動でアクセスして作業するタイプのAI(AIエージェント)については、AI事業者ガイドライン第1.2版が「権限の適切な設定」「人間の判断の介在」「操作履歴の定期確認」を求めています。便利になるほど、渡す権限は最小限に絞る発想が必要です。

ルール4:「禁止」ではなく「使ってよい範囲」を決める

ここが管理職にとって一番大事なルールです。

AIを全面禁止にすると、現場は便利さを求めて個人スマホの無料AIに流れます。施設が把握できないところで患者情報が入力される、いわゆるシャドーAIです。禁止はシャドーAIを防げません。防げるのは「これは使ってよい」という安全な型を示すことです。

施設で決めることは、最低限この4つです。

  1. 使ってよいAIサービスを指定する(学習オフ・契約形態を確認したもの)
  2. 入れてよい情報・だめな情報を決める(前述の赤黄青)
  3. AIの出力をそのまま使ってよい場面・人の確認が必須の場面を分ける
  4. 相談窓口を決める(「これ入れていい?」を聞ける人を作る)

そのまま掲示に使える形で、10か条にまとめました。

  1. 氏名・住所・ID・被保険者番号・顔写真は、AIに入れない
  2. 診療録・ケアプラン・事故報告・カルテ画面のスクショは、そのまま貼らない
  3. どうしても使うなら、年齢は年代に、日付はぼかし、固有名は外してから
  4. AIに頼むのは「文章整理・要約・テンプレ作成・一般論」まで
  5. 使うAIは施設が指定したものだけ。個人アカウントに業務情報を入れない
  6. AIの答えを、診断・判断・提出文書にそのまま使わない
  7. 患者・利用者に渡す文書をAIで作ったら、必ず人が確認してから渡す
  8. 議事録・手順書・下書きづくりには、むしろ積極的に使ってよい
  9. 迷ったら入れる前に相談(窓口:○○)
  10. 入れてしまった・漏れたかもと思ったら、すぐ報告(責められるより放置が問題)

ルール5:「使ってよい場面」は制度が後押ししている

守りの話ばかりになりましたが、国の方向性は「使うな」ではありません。

介護では、厚労省の「2040年に向けたサービス提供体制等のあり方」中間とりまとめ(令和7年4月)が、ケアプランやサービス担当者会議の議事録の原案作成に生成AIを活用することを業務効率化の手段として明記しました。医療でも、2026年度の診療報酬改定で、退院時要約や診断書の原案作成・音声入力の導入が医師事務作業補助体制加算の配置基準で評価されています。

つまり「原案・下書きをAIに、最終確認を人に」という使い方は、制度的にも推奨される側にあります。議事録づくりの具体的なツール選びは、こちらの記事でまとめています。

関連記事

議事録づくり、無料でどこまで? 介護ベンダー製AIに払う価値を現場PTが整理【2026年版】

会議やカンファの議事録を作るAIツールを、無料・汎用商品・医療介護ベンダー製の3階層で比較。NotebookLMで足りる範囲と、ミルモレコーダーやカナミックなど介護専用ツールにお金を払う価値があるラインを、現場の管理職目線で整理します。

記事を読む →

コピペで使える:院内ルールのたたき台をAIに作らせる

ルール4で「使ってよい範囲を施設で決める」と書きました。そのたたき台づくりは、生成AIが得意な仕事です。ここには患者情報は一切入らないので、安心して使えます。

あなたは医療介護施設の管理者を補佐する立場です。
当施設の「職員向け 生成AI利用ルール(掲示用)」のたたき台を作ってください。

【前提】
- 施設の種類:(例:通所リハビリ)
- 使ってよいAI:(例:法人契約で学習オフ設定の○○のみ)
- 相談窓口:(例:医療安全担当)

【条件】
- 専門用語を避け、現場職員が一読で守れる短い箇条書きにする
- 「入れてよい情報/だめな情報」「人の確認が必須の場面」を必ず含める
- 10項目以内、そのまま掲示できる文体で

出てきた文面はそのまま使わず、自施設の実情に合わせて直してから掲示してください。

まとめ

医療介護のAI活用ルールを、3点に圧縮します。

  1. 最終判断は人。AIは下書き・整理・チェックの補助に徹する
  2. 個人を特定できる情報は入れない。使うなら「学習しない契約」が担保されたサービスで
  3. 禁止ではなく「使ってよい範囲」を施設で決め、掲示し、相談窓口を作る

繰り返しになりますが、この記事は各ガイドラインを現場目線で要約したもので、法的助言ではありません。ガイドラインは改定が続いており、施設の形態(医療機関か介護事業所か、扱う情報の範囲)によっても適用は変わります。実際にルールを定めるときは、本文中の出典URLから一次資料の最新版を確認し、最終的な判断は各施設・各自で行ってください。

院内・施設内のAI利用ルールづくりや研修について相談したい方は、お問い合わせからご連絡ください。