生成AIを用いた診療録作成プロダクト「medimo」を提供する株式会社medimo(東京都港区)は、情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO/IEC 27001認証を、29日付で取得した。登録範囲はAI自動カルテ作成サービスの提供とした。
株式会社medimoは、患者の診療内容やカルテ情報など「要配慮個人情報」を取り扱う点を踏まえ、国際標準に適合した管理体制であることを客観的に証明する目的で認証取得に至ったとしている。サービスは音声入力とAI要約技術を用い、医療従事者の書類業務の負担軽減を狙う取り組みの一つと説明している。
登録番号はJUSE-IR-575
認証規格はJIS Q 27001:2025(ISO/IEC 27001:2022+Amd 1:2024)で、認証登録番号はJUSE-IR-575とした。初回登録日は2025年10月29日。
株式会社medimoは、医療情報を取り扱う事業者として、運用を行ってきたとしている。今回の認証取得により、第三者機関による評価のもとで情報セキュリティ管理体制が運用されていることが認められたとの説明も示した。
今後について株式会社medimoは、AI技術の進化スピードに対応する開発力に加え、医療インフラとして求められる「安全性」「信頼性」を両立させる考えを掲げ、日本全国の医療現場におけるDX(デジタルトランスフォーメーション)を支援していく方向性を示している。
医療分野ではセキュリティ確保が経営課題の一つ
ISMS認証の運用面では、審査が複数段階で構成されるとされる。例として、第1段階審査では規程や手順書、適用範囲(スコープ)やリスクアセスメントの考え方など、文書面の確認が行われると説明されている。あわせてリスクアセスメントでは、情報資産の洗い出しや脅威・脆弱性の特定、リスク評価を実施する流れが示されている。内部監査は年1回以上の実施が挙げられ、不適合があった場合には是正の手続きが求められるとされる
医療分野では、医療機関におけるクラウドサービスの利用拡大に伴い、セキュリティ確保が経営課題の一つとなっているとの指摘がある。電子カルテを含む医療情報システムでは、ISO/IEC 27001:2022認証取得や、いわゆる3省2ガイドライン(厚生労働省・総務省・経済産業省に関わる医療情報システムの安全管理のガイドライン)準拠が、セキュリティ体制の標準として挙げられるという。情報漏えい防止に加え、従業員トレーニング、アクセス制限、物理的保管(例として金庫等)、ID設定による電子情報管理などが求められる考え方も示されている。
ガイドライン準拠も明記
今回の取り組みは、患者の診療内容やカルテ情報を扱うサービス運用を前提とし、登録範囲を「AI自動カルテ作成サービスの提供」に限定した形をとっている。認証規格はJIS Q 27001:2025(ISO/IEC 27001:2022+Amd 1:2024)を採用した。
医療クラウドサービス分野では、登録範囲を社内ITインフラや医療系システムの企画・開発・製造・営業などに設定し、JIS Q 27001:2023(ISO/IEC 27001:2022)で認証された例がある。医療AI分野でも、ISO/IEC 27001認証取得を通じて医療情報システムのセキュリティ管理を第三者機関の審査で証明すると説明する事例がみられる。こうした動きは、医療情報を取り扱うサービスで、認証やガイドライン準拠を含む説明が求められる場面があることを示す材料となっている