「AIが診断したら、医師法違反になりませんか?」 数年前までは、まじめにこんな議論が行われていました。 今は違います。 「AIを使わずに診断して見落としたら、注意義務違反(過失)になる」 そんな時代が目の前に来ています。
こんにちは。弁護士の高橋美穂です。 内視鏡AI、画像診断AI、問診AI。 雨後の筍のように医療AIが登場していますが、そのほとんどは「研究用」です。 ビジネスとして成功する(病院がお金を払う)には、2つの巨大な壁を越えなければなりません。 1つは「薬事承認(国が安全だと認めること)」。 もう1つは「保険適用(国が値段をつけること)」。 このプロセスは、複雑怪奇な「霞が関ダンジョン」です。 本記事では、このダンジョンの攻略法(ロードマップ)を、法規制のプロの視点から解説します。
第1章:AIは「医療機器」なのか? ~該当性判断~
ここがスタート地点です。 あなたの作ったAIソフトは、医療機器(SaMD)ですか? それともただの雑貨(ヘルスケアソフト)ですか?
1. 診断・治療に関わるなら「医療機器」
- 定義: 「この影はガンの可能性80%です」と表示する機能。これは医師の診断を支援し、医療行為の一部を担っているため、医療機器(SaMD)になります。
- 規制: 薬機法(旧薬事法)の規制を受けます。開発には厳格な品質管理システム(QMS)が必要で、販売には国の承認(または認証)が必要です。勝手に売れば、無承認無許可販売として逮捕されます。
2. 健康管理・業務支援なら「非医療機器」
- 定義: 「昨日はよく眠れましたね」と表示する(健康管理)、「電子カルテの入力を代行します」(業務支援)。これらは診断ではないので、医療機器ではありません。
- メリット: 2021年の厚労省ガイドラインで明確化されました。こちらは規制がなく自由に売れますが、保険点数はつきません。「あえて医療機器にしない」というのも、開発スピードを優先するベンチャーの立派な戦略です。
第2章:クラス分類と承認プロセス
医療機器になると、「リスク」に応じてクラス分けされます。このクラスによって、審査の厳しさが天と地ほど違います。
1. クラスⅡ(管理医療機器)が主戦場
- 分類:
- クラスⅠ(低リスク):不具合があっても健康被害なし。届出だけでOK。
- クラスⅡ(中リスク):内視鏡AIなど。認証機関(第三者機関)の審査でOK。
- クラスⅢ・Ⅳ(高リスク):致死的な影響あり。PMDA(国)の厳しい審査が必要。
- 戦略: 今の医療AIの多くは「クラスⅡ」を狙います。なぜなら、PMDAの審査は数年かかりますが、民間の認証機関なら半年で終わるからです。「これは診断確定ではなく、あくまで『参考情報』を出すだけです」というロジック(使用目的の書きぶり)で、クラスⅡに落とし込む。これこそが薬事戦略(Regulatory Strategy)の妙です。
2. 「ブラックボックス問題」への対応
- 課題: Deep Learning(深層学習)は、なぜその答えが出たのか説明できません。PMDAは当初「説明できないものは怖い」と難色を示していました。
- 変化: しかし最近は、「プロセスが説明できなくても、最終的な性能(正解率)さえ担保されればOK」という柔軟な姿勢に変わってきました。
- 注意点: ただし、「市販後学習(出荷後に勝手に賢くなること)」はまだ原則NGです。「バージョンアップ(一部変更申請)」の手続きを経て賢くなる必要があります。
第3章:最大の難関「保険適用(Reimbursement)」
承認されても、値段(保険点数)がつかなければ、病院は買ってくれません。 病院の持ち出しになるからです。
1. 既存の点数の中に潜り込む(A2区分:特定包括)
- 戦略: 「新しい点数」を求めず、既存の「画像診断管理加算(〇〇点)」の中に含めてもらう方法です。
- メリット: 承認までのハードルが低く、病院側も「AI導入費=コスト削減」として稟議を通しやすいです。「AIを使えば、読影時間が半分になります。その分、多くの患者を診れますよ」という時短ロジックが刺さります。
- 事例: 内視鏡AIの多くはこのパターンで普及しました。
2. 新しい点数を取る(C2区分:新技術)
- 戦略: 「AIを使えば、熟練医並みの精度が出るので、見落としが減って医療費削減になる」という「臨床的有用性」を証明し、技術料(加算)をもぎ取る方法です。
- ハードル: エベレスト級です。「AIあり vs AIなし」のランダム化比較試験(RCT)を行い、統計的な有意差を出さなければなりません。
- リターン: 認められれば「1回使うごとに〇〇円」が入るドル箱になりますが、開発コストは数億円〜数十億円に跳ね上がります。まずはA2区分で入り、実績を作ってからC2を目指すのが王道(チャレンジ申請)です。
3. サイバーセキュリティ(SBOM)の義務化
- 法改正: 2023年4月から、すべての医療機器で「サイバーセキュリティ対応」が義務化されました。
- SBOM: 「このAIには、どのオープンソースライブラリ(Log4jのVer.〇.〇など)」を使っているかをリスト化した「ソフトウェア部品表(S-BOM)」の提出が必須です。
- 運用: 脆弱性が見つかったら、即座にパッチを当てる体制(PSIRT)が求められます。「作りっぱなし」のAIは、もう市場に出せません。
第4章:ビジネスモデルの落とし穴
1. 誰が責任を取るのか?(ELSI)
- シナリオ: AIが「異常なし」と判定し、医師が見落として、後にガンが進行していた場合。
- 法的解釈: 現行法では、最終判断権者は「医師」にあります。AIはあくまで「支援ツール(CAD)」だからです。
- 防衛策: しかし、医師からメーカーに「AIがバグっていたせいだ」と損害賠償請求が来る可能性はあります。契約書(免責条項)を完璧に作り込むとともに、PL保険(生産物賠償責任保険)への加入が必須です。「本製品は診断を代行するものではありません」という文言は、お守りとしてUIの至る所に表示すべきです。
2. データの権利(知財)と出口戦略
- トラブル: AIを作るには教師データ(病院の画像)が必要ですが、病院は「俺たちのデータからできたんだから、俺たちのものだ(ロイヤリティをよこせ)」と言います。
- 解決策: 法的には「加工した者(メーカー)」に権利があるとするのが通説ですが、揉めます。事前に「共同研究契約」で、「成果物(AIモデル)の権利は甲(メーカー)に帰属するが、乙(病院)には無償利用権を与える」といった落としどころを設計しておくべきです。
- 出口: 将来、Googleなどの巨大テック企業にM&Aされる際、この「権利関係の綺麗さ(クリアランス)」が買収価格を左右します。
第5章:明日から使えるアクション・チェックリスト
AIベンチャーの皆さん、コードを書く前に法律を読みましょう。
- [ ] 開発初期から「業許可(製造販売業)」の取得準備をしているか?(総括製造販売責任者という薬剤師などの採用が必要)
- [ ] 「使用目的(Indication for Use)」を定義書に書いているか?(これがクラス分類を決める)
- [ ] 認証機関との「事前面談」に行ったか?(いきなり申請しても門前払いです)
- [ ] 治験データの収集において、個人情報保護法と倫理指針を守っているか?
- [ ] 保険戦略(A区分かC区分か)を決めてから、投資家へのピッチ資料を作っているか?
【実録】ケーススタディ:内視鏡AIの最短承認
国立がん研究センター発ベンチャーの事例
【課題】 大腸内視鏡検査におけるポリープの見落としを防ぐAI。 早く現場に届けたいが、治験には時間がかかる。
【戦略】 「診断支援(クラスⅢ)」ではなく「病変検出支援(クラスⅡ)」として申請。 「ここ怪しいですよ」とアラートを出すだけで、良性・悪性の判定は医師に委ねる、という位置づけにした。 これにより、PMDAではなく認証機関での審査が可能となり、短期間で承認を取得。
【結果】 欧州・米国でも承認を取得し、世界的なヒット製品に。 まずは低いハードル(クラスⅡ)で市場に入り、データを集めてから高機能版(クラスⅢ)を目指す「ステップアップ戦略」が功を奏した。
よくある質問(FAQ)
Q. 海外製のAIを日本で売るには?
A. 日本の薬事承認を改めて取る必要があります。海外データ(FDA承認データ)を流用できる場合もありますが、人種差(日本人でも同じ精度が出るか)の検証を求められることが多いです。日本法人(選任製造販売業者)が必要です。
Q. フリーソフトとして配れば規制されませんか?
A. お金を取らなくても、不特定多数に配布して診断に使わせれば、業としての「販売・貸与」とみなされ、無承認医療機器の販売として摘発されます。GitHubに公開する際も「研究用(臨床使用不可)」とデカデカと書く必要があります。
Q. 医師が自作したAIを自分の病院で使うのは?
A. これは「院内調剤」のようなもので、薬機法の規制対象外(自己使用)となる可能性が高いです。ただし、それを他の病院に譲ったり売ったりした瞬間にアウトになります。
Q. AIが誤診したら、メーカーは免責されますか?
A. 完全な免責は難しいでしょう。契約書に「免責」と書いてあっても、AIに明らかなバグ(設計上の欠陥)があった場合は、製造物責任法(PL法)上の責任を問われます。だからこそ、「医師賠償責任保険」に加えて、AIメーカー向けの「賠償責任保険」に入っておく必要があります。
Q. 患者さんから「私のデータをAIから消して」と言われたら?
A. AIモデル(重み係数)の中に溶け込んでしまったデータを、特定の個人分だけ「忘れる(Unlearn)」ことは技術的に極めて困難です。そのため、同意書には「一度学習モデルに組み込まれたデータは削除できません」と明記しておくのが一般的です。
Q. AIが嘘をつく(ハルシネーション)問題は?
A. 生成AI(ChatGPTなど)を医療相談に使う場合、最大のリスクです。「もっともらしい嘘」をつかれて患者が信じたら大変です。現状では、生成AIを無防備に患者対応に使うのは時期尚早であり、RAG(検索拡張生成)などで信頼できる医学書のみを参照させる仕組みが必須です。
Q. プログラム医療機器(SaMD)の広告規制は?
A. 承認前のAIを「ガンが見つかる!」と宣伝すると、薬機法68条違反(未承認医療機器の広告禁止)で逮捕されます。学会発表や論文掲載は「研究活動」として許容されますが、企業のウェブサイトで機能を紹介する際は、表現に細心の注意が必要です。「診断支援」ではなく「画像解析ソフトウェア」として紹介するなど、グレーゾーンを渡る技術が必要です。
Q. 開発費の相場は?
A. ピンキリですが、クラスⅡ(認証)レベルでも、QMS構築・治験・申請費用を合わせると最低でも5000万円〜1億円はかかります。クラスⅢ(承認)なら数億円〜です。これだけの投資を回収するビジネスモデル(誰からいくら取るか)がないまま開発先行で進むと、承認取得後に資金ショートして倒産します(デスバレー)。
Q. 医師が自分でAIを作って売ることはできますか?
A. 医師個人が「製造販売業」の許可を取るのは極めてハードルが高いです(薬剤師の雇用や、品質管理体制の構築が必要なため)。現実的には、製薬企業や医療機器メーカーとライセンス契約を結び、販売を委託する形になります。医師は「医療アドバイザー」として関わるのが一般的です。
現場で使える!重要用語解説
- PMDA (Pharmaceuticals and Medical Devices Agency):
- 医薬品医療機器総合機構。厚労省の下で、実際の審査実務を行う独立行政法人。世界で最も厳しい規制当局の一つと言われる。
- QMS (Quality Management System):
- 品質管理システム。ISO 13485。医療機器を安全に作り続けるための組織体制や手順書のこと。これがないと製造業の許可が降りない。
- GCP (Good Clinical Practice):
- 臨床試験の実施基準。治験データの信頼性を担保するためのルール。AIなどのプログラム医療機器にも適用される。
- CAD (Computer Aided Detection/Diagnosis):
- コンピュータ支援診断。医師の診断を「代行」するのではなく、「支援」するシステム。これまでの日本の薬事承認は、原則としてこのCADの立場(最終責任は医師)を取ることで許可されてきた。
コラム:AIと医師の幸せな関係
「AIは医師の仕事を奪う」 そんなSFじみた議論はもう止めましょう。
AIは「聴診器」です。 昔、聴診器が発明された時、「患者の体に直接耳を当てないなんて手抜きだ」と批判されたそうです。 今、聴診器を使わない医師はいません。 AIも同じです。 10年後、「AIを使わずに画像診断するなんて野蛮だ」と言われる日が来ます。
法規制は、新しい技術を排除するためではなく、安全に社会実装するための「ガードレール」です。 このレールを正しく理解し、乗りこなした企業だけが、未来の医療のスタンダードを作ることができます。
大きな成長市場です。
ただし、独力での突破には
限界があります。
ご相談ください
私たちは、医療・ヘルスケア業界で
よい商品・サービスを
必要とする現場に
確実に届けるためのパートナーです。
