医療業界ではAIガバナンス委員会があちこちに設置されていますが、実際にどのAIが稼働しているのか把握している人はほとんどいません。
医療業界は委員会が大好きです。ガバナンス組織を立ち上げ、憲章を作成し、部門横断の代表者を任命し、四半期ごとの会議をスケジュールする。形式的なチェックは完了です。
しかし、委員会は現状を把握できなければ何も統治できません。そして今、多くの医療機関は自組織内でAIが何をしているのか把握できていません。
これが、CensinetがロサンゼルスのViVE 2026で発表した「2026年医療サイバーセキュリティ・ベンチマーク調査」の中心的な発見です。本調査は、American Hospital Association、Health-ISAC、Health Sector Coordinating Council、Scottsdale Institute、テキサス大学オースティン校とのパートナーシップで実施され、サイバーセキュリティ成熟度やAIガバナンス体制の準備状況に関する幅広い医療機関を対象に調査を行いました。結果は、AIを取り巻くガバナンスの枠組みは立派に構築されているものの、運用の基盤が未完成のまま残されている業界の姿を浮き彫りにしています。
数字は厳しいものです。医療機関の70%がAIガバナンス委員会を設置していますが、全社的なAIインベントリを維持しているのは30%のみ。ベンダーが既存製品にAIを組み込んだ場合の検知方法を文書化している組織は半数以下。すでに64%が、推論や意思決定、リソースとの自律的なやり取りが可能な「エージェンティックAI」の実験や導入を進めています。
CensinetのCEO、Ed Gaudet氏はこのギャップを明確に指摘しています。医療業界はAIのガバナンス体制を整備したものの、インベントリや資産管理、検知方法、明確な責任体制といった運用面の強化が導入のスピードに追いついていません。
これは、最も機密性の高いデータを扱う業界にとって重大な問題です。AIシステムがインベントリ管理や監査証跡、明確な責任者なしに保護対象医療情報を処理すれば、単なるコンプライアンスの不備にとどまらず、患者の安全リスクに直結します。そしてまさにこのガバナンス構造と運用実行のギャップこそ、Kiteworksのようなデータガバナンスプラットフォームが解消を目指している課題です。
5つの重要なポイント
- 医療業界は攻撃への対応には強いが、予防には弱い。 2026年ベンチマーク調査は、すべての医療CISOが警戒すべき傾向を裏付けています。組織はインシデント対応能力を強化してきましたが、ガバナンスや資産管理、サプライチェーン対策など、根本的な予防コントロールは依然として遅れています。医療業界は侵害後の後始末には投資していますが、そもそも侵害を防ぐための投資が不足しています。
- AIガバナンス委員会は存在するが、運用コントロールは存在しない。 医療機関の70%がAIガバナンス委員会を設置していますが、全社的なAIインベントリを維持しているのは30%のみ。ガバナンス体制があっても、実際に組織内で稼働しているAIシステムを把握している割合は40ポイントも低いのです。可視性のない委員会は「ガバナンスの演出」に過ぎません。このギャップを埋めるには、包括的な監査証跡やデータ分類の強制など、ガバナンス委員会が自らのポリシーをリアルタイムで施行できる運用インフラが必要です。
- ベンダー由来のシャドーAIは、誰も注視していない死角。 医療機関の半数以上が、ベンダーが既存製品にAI機能を組み込んだ場合の検知手法を文書化していません。つまり、組織が既に承認したツールを通じて、AIが保護対象医療情報を処理している可能性が現在進行形で存在し、誰も気付いていないのです。元々の製品に対する承認プロセスは、AIが追加された後の製品変化をカバーしていません。ベンダーによるデータアクセスの行動変化を継続的に監視することで新たな機能の兆候を検知し、包括的な監査証跡でベンダーが各チャネルでどのデータにアクセスしたかを正確に記録できます。
- エージェンティックAIはすでに本番稼働中だが、ガバナンスは未整備。 医療機関の64%がエージェンティックAIの実験や導入を進めており、8%のみが明確に導入を拒否しています。AI導入が準備状況を上回っていると回答した組織の半数以上が、まず何よりも正式なガバナンス手続きの強化が必要だとしています。AI導入はすでに進行中で、ガバナンス体制はまだ構築中。効果的なガバナンスには、最小権限アクセス、目的限定の制限、継続的な検証、そしてガバナンスポリシーを強制力あるコントロールに変える監査インフラが不可欠です。
- 地方医療機関は同じ脅威に直面しながら、リソースはごくわずか。 地方限定の医療機関は、NISTサイバーセキュリティフレームワークの基本項目では他の組織と同等ですが、AIガバナンスが全く存在しない割合は2倍にのぼります。彼らも大手医療機関と同じサイバー脅威やAI導入圧力に直面していますが、リスク管理に必要な予算や人員、専門知識が不足しています。地方医療のAIガバナンスギャップは技術の問題ではなく、リソースの問題であり、専任スタッフを必要としないエンタープライズレベルのガバナンスを実現するスケーラブルなソリューションが求められます。
対応力は強化、肝心な部分は依然として脆弱
本ベンチマーク調査は、数年にわたり続く成熟度のアンバランスさを明らかにしています。医療機関はサイバーインシデントへの対応力を着実に高めてきました。検知能力も向上し、インシデント対応計画も成熟し、復旧手順もより明確に文書化されています。
しかし、そもそも侵害を防ぐための予防的コントロールは依然として遅れています。ガバナンス体制は未完成のまま。資産管理の実践も、特にAIワークロードを含めたデジタルインフラ全体を十分にカバーできていません。サプライチェーン対策も、サードパーティベンダーやビジネスアソシエイトへの依存度が高いにもかかわらず、十分に発展していません。
この傾向は医療業界に限ったものではありませんが、医療分野では特に危険です。犯罪組織や国家支援のサイバー攻撃が医療の重要インフラを標的にし続けており、十分な監督なしにAIが急速に統合されることで、患者の安全やケア提供に直結する新たなリスクベクトルが生まれています。American Hospital Associationのサイバーセキュリティ・リスク担当ナショナルアドバイザー、John Riggi氏は「サイバーセキュリティとAIガバナンスはもはや別個の分野ではなく、どちらかを守ることは両方を守ることだ」と明言しています。
実務的な意味では、医療機関はサイバーセキュリティ投資のバランスを見直す必要があります。対応力は必要ですが、それだけでは不十分です。予防、すなわちガバナンス、資産の可視化、アクセスコントロール、サプライチェーンの監督こそが、投資不足による最大のリスク露出を生んでいます。
ガバナンスと可視性の40ポイントギャップ
AIガバナンス委員会を持つ組織が70%、AIインベントリを持つ組織が30%。この40ポイントのギャップこそ、2026年調査で最も重要な数字です。
AIインベントリのないAIガバナンス委員会は、議題のない取締役会と同じです。委員会はポリシーを策定し、ユースケースを承認し、リスクの閾値を定めることはできますが、どのAIシステムが存在し、どのデータにアクセスし、誰が承認し、どんな行動を取っているのか把握できなければ、何一つ施行できません。
インベントリの問題は、単にAIツールの数を数えることではありません。重要なのはデータフローの把握です。どのAIシステムが保護対象医療情報にアクセスできるのか?どのデータがモデルの学習やファインチューニングに使われたのか?どのベンダー製品が、契約時にはなかったAI機能を今持っているのか?各AIシステムのアクセスは誰が承認し、どんな条件でそのアクセスを取り消せるのか?
これらの問いに答えられなければ、ガバナンス委員会は「見えない中で運営」していることになります。ポリシーは作れても、その遵守状況は検証できません。そして、HIPAAやNIST AIリスクマネジメントフレームワーク、さらには業界特有のAI要件が強化される中、運用レベルでのコンプライアンスを証明できないこと自体が重大なリスクとなります。
このギャップを埋めるには、多くのガバナンス委員会が持っていない運用インフラが必要です。包括的な監査証跡でAIと医療データのすべてのやり取りを追跡し、集中型ログで「誰が」「いつ」「どのシステムを通じて」「何にアクセスしたか」を記録し、データ分類機能でアクセス制御を手作業ではなく自動で強制します。ガバナンス委員会は戦略を提供し、運用実行インフラがその戦略を強制力あるコントロールと監査証拠に変えます。
シャドーAIは従業員からではなく、ベンダーからやってくる
従来のシャドーAIの議論は、従業員が未承認のAIツール(個人のChatGPTアカウント、未承認のブラウザ拡張機能、無料プラットフォームなど)を使うリスクに焦点が当てられてきました。このリスクは現実的で、よく知られています。
しかしCensinetの調査は、検知が難しく、より危険な可能性もある別のシャドーAIの存在を明らかにしました。それは、医療機関が既に承認した製品やプラットフォームに、密かに組み込まれたAI機能です。
医療機関の半数以上が、これを検知する手法を文書化していません。ベンダーが既存プラットフォームにAI分析機能を追加したり、ビジネスアソシエイトがデータ処理パイプラインに機械学習を統合したり、EHRモジュールがAIによる臨床意思決定支援を追加したりするケースが該当します。いずれも、AI機能が存在しなかった時点で組織の標準調達プロセスを経て承認された製品です。ガバナンス委員会は製品を審査・承認しましたが、製品が変化しても再審査は行われませんでした。
これはHIPAA上の明確なコンプライアンスリスクを生みます。ベンダーのAI機能が、既存のビジネスアソシエイト契約でカバーされていない方法で保護対象医療情報を処理している場合、組織は気付かぬままリスクにさらされます。データは流れ、AIは処理を行い、コンプライアンスを証明したり違反を明らかにしたりする監査証跡は存在しません。
ベンダー組み込み型AIの検知には、単発の評価ではなく、データアクセスパターンの継続的な監視が必要です。Kiteworksは、ベンダーが組織データとやり取りするすべてのチャネル(メール、ファイル共有、API、SFTP転送、システム直接アクセス)を統合監査インフラで監視します。ベンダーアカウントのデータ量やアクセス頻度、クエリの複雑さなどに急な変化があれば、Kiteworksが即座に異常を検知します。これにより、セキュリティチームはベンダー製品が保護対象医療情報の処理方法に影響を与える変更をしたタイミングを把握できます。
委員会や承認ゲートだけではこの問題は解決できません。検知には、リアルタイムでデータアクセスを追跡し、新たな未審査の機能の兆候を可視化する継続的な運用監視が不可欠です。
エージェンティックAIはすでに存在、ガバナンス体制は未整備
2026年調査で最も重要な発見の一つは、エージェンティックAIの導入ペースです。医療機関の64%が、エージェンティックAIシステム(複数ステップのプロセスを自律実行し、データベースにアクセスし、APIと連携し、限定的な人間の監督下で運用判断を下す自律型AI)の実験や導入を進めています。
8%のみがエージェンティックAI導入を明確に拒否しており、残りの組織は探索段階から本番運用までさまざまな段階にあります。
エージェンティックAIは、従来のチャットボットや分析ツールとは根本的に異なるリスクプロファイルをもたらします。チャットボットは与えられたデータに基づいて回答しますが、エージェンティックAIはそのデータをもとに実際に行動します。記録の取得、システムの更新、ワークフローのトリガー、外部サービスとの連携などです。各エージェントは非人間型のIDを持ち、認証・認可・監視が必要ですが、従来の医療ID管理システムはこの対応を想定していませんでした。
ガバナンス上の影響は大きいです。すべてのエージェンティックAIシステムはインベントリ化され、データアクセスは監査証跡で記録され、権限は最小権限原則と継続的な検証に従い、「一度認証すれば永続アクセス」ではなく、すべての行動が監査可能でなければなりません。また、何か問題が発生した際(エージェントが不適切なデータにアクセスした場合や、想定外の行動をした場合)に責任を持つ担当者とエスカレーション経路が明確に定められている必要があります。
Kiteworksは、データレイヤーでエージェンティックAIを統治する運用インフラを提供します。Secure MCP Serverを通じて、KiteworksはエージェンティックAIがOAuth 2.0認証とロールベースアクセス制御でエンタープライズデータにアクセスできるようにし、すべてのエージェントが承認した人間の権限のみを継承し、それを超えてエスカレートできないようにします。目的限定により、各エージェントは承認されたデータ分類と機能のみにアクセス可能。継続的な検証で、すべてのデータリクエストを現行ポリシーと照合。包括的な監査証跡でエージェントのすべての行動を記録し、ガバナンス委員会が自らのポリシー施行を証明する証拠を作成します。
AI導入が準備状況を上回っていると回答した組織の半数以上が、より正式なガバナンス手続きの強化を最優先事項としています。ニーズは明確です。
地方医療:同じリスク、異なる現実
Faith Regional Health ServicesのVP兼CIOであるBrian Sterud氏は、地方医療機関が直面する課題を率直に語っています。彼らは国内最大級の医療機関と同じサイバー脅威やAI導入圧力に直面していますが、同等の予算や人員を持ちません。
ベンチマークデータもこれを裏付けています。地方限定の医療機関は、NISTサイバーセキュリティフレームワークの基本項目では他の組織と同等ですが、AIガバナンスが全く存在しない割合は2倍にのぼります。弱いのではなく、存在しないのです。
このギャップは、意識や意欲の問題ではなく、リソースの問題です。地方医療機関は通常、専任のAIガバナンススタッフや脅威アナリスト、エンタープライズレベルのガバナンスプラットフォームを導入するための予算がありません。大規模医療機関と同等の監査証跡、ポリシー施行、コンプライアンス機能を、同じ人員やインフラ投資なしで実現できるソリューションが必要です。
Kiteworksは、自動化されたポリシー施行、HIPAAやNISTフレームワークに準拠した事前設定済みのコンプライアンステンプレート、即利用可能な監査機能を提供し、小規模ITチームのガバナンス負担を軽減します。地方医療機関も、大手医療機関と同等の包括的なデータガバナンスを、ゼロからインフラを構築したり専任スタッフを雇用したりせずに導入できます。
AIリスクの責任者が不在、誰もが「誰かがやっている」と思っている
医療機関の38%が、AIリスクの責任を複数のグループで共有しているものの明確なエスカレーション経路がなく、あるいは責任者自体を定めていません。AI導入が拡大するにつれ、この構造的な脆弱性はさらに深刻化します。
リスクの分散所有は、特有の失敗パターンを生みます。AI関連のインシデント(データ漏洩、コンプライアンス違反、不正アクセスなど)が発生した際、検知から対応までの明確な経路がありません。CISOはコンプライアンスチームが担当だと思い、コンプライアンスチームはAIガバナンス委員会が担当だと思い、AIガバナンス委員会は臨床情報チームが担当だと思う。その間にインシデントは拡大します。
これを解決するには、統一された可視性が必要です。CISO、コンプライアンス責任者、プライバシー責任者、AIガバナンス委員会が、同じ包括的な監査証跡(何が、いつ、どのシステムで起きたかの記録)にアクセスできれば、事実が共有されるため責任の所在争いは減少します。Kiteworksは、統合アクティビティログとCISOダッシュボードを通じて、すべての関係者に同じリアルタイム監査データへのアクセスを提供します。自動アラートと明確なエスカレーションルールにより、インシデントは組織構造に関係なく即座に適切な担当者に通知されます。
Scottsdale InstituteのPresident兼CEO、Janet Guptill氏は、より広い変化を次のように表現しています。「サイバーセキュリティとAIガバナンスは、もはや技術的な課題にとどまらず、経営層全体の関与が求められる戦略的な必須事項です。」CISOからCEO、取締役まで、AIリスクの責任は明確に、文書化され、運用レベルで施行される必要があります。
構造から実行へ:医療機関が今すべきこと
中央集約型のAIインベントリを構築し、常に最新に保つ。 組織データに関与するすべてのAIシステム(内部導入、ベンダー製品への組み込み、サードパーティAPI経由など)は特定・カタログ化・監視されなければなりません。包括的な監査証跡は、すべてのチャネルでのデータやり取りを記録し、新たなAIシステムや機能が組織データにアクセスし始めたタイミングを特定できるため、インベントリの基盤となります。
ベンダー組み込み型AIの継続的な監視を実施する。 単発の評価を超えて、Kiteworksはメール、ファイル共有、API、SFTP、マネージドファイル転送を含むベンダーデータアクセスパターンを継続的に監視します。ベンダーの行動変化(新たなAI機能の兆候)があれば、Kiteworksが逸脱を検知し証拠を記録。ビジネスアソシエイト契約を更新し、AI機能変更の開示をベンダーに義務付け、監査証跡でコンプライアンスを検証しましょう。
明確なAIリスクの責任者とエスカレーション経路を文書化して定める。 経営層レベルでAIリスクの明確な責任を割り当てましょう。Kiteworksの統合監査インフラにより、CISO、コンプライアンス責任者、プライバシー責任者、AIガバナンス委員会が同じデータにアクセスできます。自動アラートとエスカレーションルールで、インシデントは即座に適切な担当者に通知。AI関連インシデントに誰が、どの条件で、どの権限で対応するかを明記したエスカレーション手順を定めてください。
すべてのAIワークロードにゼロトラスト原則を適用する。 すべてのAIシステムやエージェントは、最小権限アクセスと継続的な検証のもとで運用されるべきです。Kiteworksは、データ分類・エージェントID・利用目的をリクエストごとに評価する属性ベースアクセス制御でこれを実現します。目的限定により、AIのアクセスは特定のデータカテゴリと機能に制限。継続的な検証で、すべてのデータリクエストを現行ポリシーと照合し、「一度認証すれば永続アクセス」を防ぎます。
対応だけでなく予防に投資する。 サイバーセキュリティ投資のバランスを見直し、調査で遅れが指摘された基盤的コントロール(ガバナンス成熟度、資産管理、データ分類、サプライチェーン監督)に重点的に投資しましょう。Kiteworksは、侵害発生後の記録だけでなく、侵害自体を未然に防ぐための自動ポリシー施行、データ分類、アクセス制御、ベンダー監視などの予防インフラを提供します。
リソース制約環境でもガバナンスをスケールさせる。 地方や小規模医療機関には、専任AIガバナンススタッフ不要でエンタープライズレベルの監査証跡、自動ポリシー施行、コンプライアンス報告を実現できるガバナンスソリューションが必要です。Kiteworksは、事前設定済みコンプライアンステンプレート、自動施行、即利用可能な監査機能で、リソースが限られたITチームのガバナンス負担を軽減します。
ガバナンスギャップは自然には埋まらない
2026年医療サイバーセキュリティ・ベンチマーク調査は、不快ながらも必要なメッセージを伝えています。医療業界はAIガバナンスの「簡単な部分」は終えました。委員会は存在し、憲章は作成され、議論も始まっています。
しかし本当に難しいのは、これらの委員会を実効性あるガバナンス組織に変える運用インフラの構築です。AIインベントリ、継続的な監視、監査証跡、ベンダー検知、明確な責任体制。これらは理想ではなく、すでにAIが保護対象医療情報を処理し、エージェンティックAIが自律的に行動し、攻撃者がAIを使って医療インフラを攻撃している現場で求められる運用要件です。
Kiteworksは、AIガバナンスを運用レベルで実現するデータガバナンス基盤を提供します。コントロールの施行を証明する包括的な監査証跡、コンプライアンス違反になる前にベンダー組み込み型AIを検知する継続的な監視、AIシステムが許可された目的を超えてデータにアクセスするのを防ぐ最小権限アクセス制御、そしてあらゆる規模の組織にエンタープライズレベルのガバナンスを提供するスケーラブルな自動化インフラです。
このギャップを埋める組織は、構造から実行へと進み、ガバナンス体制に見合う運用力を構築し、AIガバナンスを単なるコンプライアンス対応ではなく「患者安全の必須事項」として捉え、その実現を支える運用インフラを導入した組織です。
Kiteworksの支援について詳しくは、カスタムデモを今すぐご予約ください。
よくあるご質問
医療機関のエンタープライズAIインベントリは、承認済みツールの一覧にとどまらず、各AIシステムについて以下を記録する必要があります:システムがアクセス可能な保護対象医療情報(学習データや推論入力を含む)、アクセスを承認した人物とその取り消し条件、運用するベンダーやビジネスアソシエイトと契約上の義務、システムが出力するデータの分類、システムが自律運用か人間の監督下か。インベントリ構築には単発の調査ではなく継続的な監視が不可欠です。なぜなら、ベンダー製品は変化し、AI機能が予告なく組み込まれ、新規導入も正式な承認プロセスを経ずに行われることが多いからです。医療データとのAIのすべてのやり取りを記録する包括的な監査証跡が、インベントリを常に最新に保ち、未申告の新システムや機能がデータにアクセスし始めた時点を特定します。また、インベントリはHIPAAセキュリティ規則の遵守(電子保護医療情報を処理するすべてのシステムの活動記録のレビュー義務)の前提条件でもあります。
HIPAAの下では、保護対象医療情報を作成・受領・保管・送信するすべてのベンダーはビジネスアソシエイトとみなされ、データの利用・開示を明記したビジネスアソシエイト契約(BAA)のもとで運用しなければなりません。ベンダーが既存製品にAIを組み込む場合、2つの問題が生じがちです。第一に、既存のBAAはAI機能が存在しなかった時点で締結されており、AIによるPHI処理や学習利用、AI出力の保護について規定されていない可能性が高いこと。第二に、AI機能が新規調達ではなく製品アップデートで追加された場合、標準の承認・BAA見直しプロセスが発動しないことです。これにより、BAAでカバーされていない条件下でAIシステムにPHIが流れる「未記録のPHI露出」が発生します。カバードエンティティは、ベンダーにAI機能変更の開示を義務付け、BAAを見直してAI処理を明記し、ベンダーデータアクセスパターンの変化からAI活動を検知する継続的な監視を導入する必要があります。SFTP、API、マネージドファイル転送、メールなど、あらゆるチャネルでのベンダーデータアクセスを記録する監査証跡が、未申告の処理を特定し、規制当局へのコンプライアンス証明の根拠となります。
標準的なID・アクセス管理(IAM)は人間ユーザーを前提に設計されています。ログイン時に本人認証し、ロールに権限を割り当て、セッションを記録する方式です。エージェンティックAIはこれを3点で覆します。第一に、エージェントは非人間型IDを持ち、1時間に何千回も認証するため、セッション単位の監査が現実的ではありません。第二に、エージェントはデータを「読む」だけでなく「操作」する(記録取得・システム更新・ワークフロー起動・外部API呼び出しなど)ため、過剰権限時の影響範囲(ブラスト半径)が、人間ユーザーより格段に大きくなります。第三に、エージェントはしばしばサービスアカウントの権限で動作し、個人ユーザーより広範なアクセス権を持つことが多いです。医療機関は既存IAMに次の4機能を追加する必要があります。①エージェントの権限が技術的な認証情報に関係なく特定データカテゴリと機能に限定される「目的限定」、②セッション単位ではなくリクエストごとに現行ポリシーと照合する「継続的検証」、③異常行動検知時に即座にエージェントのアクセスを遮断できる「キルスイッチ」、④認証イベントだけでなくデータレベルでエージェントの全行動を記録し、承認した人間のIDと紐付ける「監査証跡」。エージェントID・データ分類・利用目的を同時に評価する属性ベースアクセス制御が、ロールベースシステム単体では実現できないガバナンス層を提供します。
臨床現場におけるAIワークロードのゼロトラストとは、どのAIシステムからのデータリクエストも、そのデプロイ状況に関係なく、現行ポリシーで評価されるまで「信頼しない」ことを意味します。これは、調達時の承認が恒久的な許可とみなされる従来の医療AI運用とは大きく異なります。運用上、AI向けゼロトラストには4要素が必要です。①デフォルトで最小権限アクセス:AIシステムは定義された臨床機能に必要なPHI分類データのみにアクセス(例:臨床意思決定支援ツールは診断データのみ、請求データは不可)。②継続的検証:すべてのクエリがAIの許可目的とデータの機微分類に照らして都度チェックされ、ログイン時だけでなく常時評価。③データ損失防止コントロール:AIが定義外の範囲でデータを外部送信・処理するのを自動でブロック。④行動異常検知:AIシステムのデータアクセスパターンをベースライン化し、異常(クエリ量の急増、新たな記録タイプへのアクセス、深夜の活動など)を自動アラート・必要に応じ自動アクセス停止。ランサムウェア攻撃が臨床AIシステムをインフラ侵入の足掛かりにする事例が増える中、データレイヤーでのゼロトラストこそ、境界防御が破られた際の被害拡大を防ぐコントロールです。
医療分野のAIガバナンスに関する規制上の責任は、複数の方向から集約されつつあります。HIPAAセキュリティ規則は、カバードエンティティに情報システム活動のレビューに関するポリシーと手順の実施を義務付けており、これは電子PHIを処理するAIシステムにも及び、単にポリシーが存在するだけでなく、レビューが実施された証拠の文書化が求められます。NIST AIリスクマネジメントフレームワークは、AIガバナンスに経営層の責任、明確な役割分担、エスカレーション経路、取締役会レベルの報告を含めることを推奨しています。ベンチマーク調査の基盤となるHHSの405(d) Health Industry Cybersecurity Practicesも、ガバナンスとリスク管理を明確な責任者を伴う基盤的実践事項と位置付けています。Censinet調査で38%の組織がAIリスクの責任分担が分散・未定義と判明したことは、これらの要件と明確に矛盾します。規制当局がAIシステムを含むPHI漏洩を調査する際は、誰がリスクを所有していたか、どんな監督体制があったか、どの監査記録が維持されていたか、どんなエスカレーション手順が実施されたかを確認します。取締役会レベルの責任には、運用ガバナンスを証明するエクスポート可能なコンプライアンスレポートと、すべての経営幹部が同じ証拠基盤にアクセスできる統一データガバナンスインフラが不可欠です。
追加リソース
- ブログ記事 ゼロトラストアーキテクチャ:決して信頼せず、常に検証
- 動画 Microsoft GCC High:防衛請負業者がよりスマートな優位性を求める理由
- ブログ記事 DSPMで機密データが検知された後のセキュリティ対策
- ブログ記事 ゼロトラストアプローチで生成AIへの信頼を構築する方法
- 動画 ITリーダーのための機密データストレージセキュリティ完全ガイド