医療用AIモデルは希少疾患や地域格差の是正に期待される一方、学習データに含まれる患者の機密情報が抽出される新たなプライバシーリスクが実証された。TUMとインペリアル・カレッジ・ロンドンを中心とする国際研究チームは、7つの大規模臨床データセットを用い、外部ユーザーがモデルの予測結果のみから学習データに含まれた個人を推測するメンバーシップ推論攻撃を評価した。 従来の評価指標が示す攻撃成功率の低い集計値は、実際のリスクを著しく過小評価していることが判明した。対象患者の一部は攻撃に対して脆弱であり、個人の詳細な医療情報が直接推測される可能性が高い。特にモデルの規模と性能が向上するほど、攻撃に無力な患者の割合が急増し、プライバシー保護と診断精度の明確なトレードオフが存在することが実証された。 さらに、リスクがデータ集団間で不均等に分布している点も浮上した。疾患の稀な患者や、人種・保険・社会経済的背景からデータセットで少数派とされる層が、攻撃成功率の上位に過剰に占められている。これは学習データでの表現不足がAIの過剰適合を招き、個々の特異なデータが記憶化されるためだと分析された。研究チームは、この現象が医療AIへの信頼低下を招き、少数派のデータ提供をさらに阻害する負の連鎖を引き起こすと警告する。 対策として、研究チームは微分プライバシーの組み込みを強く推奨する。勾配更新にノイズを付与する手法は攻撃成功率を効果的に低減させるが、すべての患者を保護するには従来のレコード単位ではなく患者単位のプライバシー管理が必要であることが実証された。また、AIセキュリティ監査の報告基準を見直し、集計値ではなく個人または患者単位の攻撃成功率を開示する新たな標準が求められている。 本知見は、医療AIの臨床実装におけるセキュリティ基準の見直しを促す。患者データの信頼を維持しつつ性能を両立させるため、微分プライバシーを組み込んだ開発フローの標準化と厳格なアクセス制御が不可欠だ。医療AIの持続可能な普及には、プライバシー保護を技術的対価ではなく基本的な倫理要件として再定義し、国際的な監査枠組みを整備する緊急性が高い。