Google Workspace規約と医療情報ガイドラインの論点整理
医療情報共有で本当に問われること
はじめに、私は法律家ではなく、以下は公開情報に基づく技術・運用面からの整理であり、法的助言ではありません。最終判断は、医療法務・個人情報保護・委託契約に詳しい専門家と確認してください。
2つの投稿が示した論点
この議論の出発点は、訪問看護の情報連携にGoogle Driveを使うという投稿でした。訪問看護ステーションが、医療機関に対して、指示書依頼書、指示書、訪問看護計画書、報告書などをGoogle Driveで情報連携することを提案し、快諾する医療機関が増えてきた、という内容です。学校との間でも、訪問看護情報提供書をGoogle Driveで共有する例がある、という現場感のある投稿でした。
これに対して、別の投稿では「Googleドライブであれば経産省、総務省のガイドライン『医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン』に抵触します」と指摘されています。
この2つの投稿は、どちらも重要な問題を含んでいます。前者は、訪問看護や地域連携の現場では、紙、FAX、電話、郵送だけでは限界があり、クラウド共有による効率化ニーズが実際に存在することを示しています。後者は、患者情報を含む医療・看護文書を汎用クラウドで共有する場合、医療情報ガイドライン、個人情報保護、委託先管理、契約条件を無視できないことを示しています。
つまり、ここで問うべきなのは「Google Driveだから便利」でも「Google Driveだから即違反」でもありません。問題は、個人向けGoogle Driveなのか、組織管理されたGoogle Workspaceなのか。国内リージョンかどうかではなく、国内法の適用、国外法リスク、契約、委託先管理、アクセス制御、監査証跡、医療機関側の説明責任まで閉じているかです。
Google Driveだから即NG、とは言い切れない
Google Driveで患者情報を扱うのは、医療情報ガイドライン違反ではないか。この問いには、単純な答えを出しにくいです。個人Googleアカウントや無管理のGoogle Drive共有で患者情報を扱うのは、かなり危ないです。一方で、Google Driveという製品名だけで一律に違反とは言えません。見るべきなのは、個人向けDriveなのか、組織管理されたGoogle Workspaceなのか。そして、医療情報を扱う主体が、どの契約で、どの設定で、どの運用で、どこまで説明責任を果たせるかです。
厚労省の医療情報システム安全管理ガイドライン第6.0版も、経産省・総務省の医療情報を取り扱う情報システム・サービス提供事業者向けガイドラインも、単純に「この製品なら可」「この製品なら不可」と判定する作りではありません。
参考文献▽
国内リージョン、国内法、医療ガイドライン適合は別物
「国内リージョンでなければ直ちに不可」という理解は強すぎます。医療情報ガイドラインが問題にしているのは、単純な物理所在地だけではありません。重要なのは、保存された情報を格納する情報機器等に国内法が適用されること、国外法の適用によって医療機関側の
管理責任や紛争時の対応が阻害されないこと、保存国、処理国、事業者、再委託先、責任分界を確認できることです。
したがって、国内リージョンでなくても、国内法適用や裁判管轄、契約上の責任分界が整理されていれば、利用余地はあります。個人情報保護委員会のFAQでも、外国のクラウドサービスを使う場合に、クラウド提供者が契約上個人データを取り扱わず、適切なアクセス制御があるなら、外国第三者提供に直ちに該当しない場合がある、という整理が示されています。
ただし、これは「外国クラウドなら何でもよい」という意味ではありません。外国で個人データを取り扱う場合には、当該外国の制度や安全管理措置の把握が残ります。国内法適用は入口であって、ゴールではありません。
Google Workspaceで見るべきはガイドラインだけではない
ここで重要になるのが、Google Workspaceそのものの規約です。以前、私も「ボトルネックとなるのは、ガイドラインだけでなくGoogle Workspace自体の規約も大きい」と投稿しました。どの法人が、どのプランで、どの契約条件を巻いたのかを確認しないと、医療文脈での適否は判断できません。
つまり、「Google Workspaceは国内法準拠のはずだから、医療文脈でも使える」と結論づけるのは飛躍です。国内法準拠は必要条件の一部であって、十分条件ではありません。Google Workspaceの契約条件は、契約主体、プラン、注文書、データ処理契約、Regional Termsによって確認が必要です。
また、Google WorkspaceのData Regionsは、日本国内リージョンを選ぶ機能ではありません。主に米国、欧州、グローバルなどの選択であり、日本国内保存を保証するものではありません。さらに、対象になるデータも限定されます。Drive上のファイル本体やGmail本文など一定のデータは対象になり得ますが、メタデータ、ログ、サポートデータ、運用上の処理まで全て日本国内に閉じるわけではありません。
参考文献▽
Google Workspace Service Terms
個人利用、臨床利用、組織利用を混ぜてはいけない
この論点は、生成AI利用ともつながります。以前の投稿では、医師が個人スマホAIに患者情報を入力する行為について、個人情報保護法上の第三者提供、Workspace利用規約、組織ガバナンス不在という三重のリスクを指摘しました。
ここで言いたいのは、「AIだから危険」「Googleだから危険」という単純な話ではありません。個人利用、臨床利用、組織利用が混ざると、責任の置き場が消えるということです。医療現場で本当に問題になるのは、リージョンよりも運用です。
個人Googleアカウントで患者情報を扱う。My Driveに患者ファイルを置く。退職者のDriveに情報が残る。外部共有を現場裁量にする。「リンクを知っている全員」で共有する。2段階認証を強制しない。VaultやDLPや監査ログを設定していない。私物端末から患者情報を閲覧する。こういう運用であれば、Google Workspaceであっても危険です。
逆に、組織管理されたGoogle Workspaceで、共有ドライブを中心に設計し、外部共有を原則禁止し、信頼済みドメインや組織部門単位で例外管理し、2段階認証やセキュリティキーを強制し、DLPで患者情報らしきデータの外部共有をブロックし、Vaultで保持を設計し、Driveログや管理ログを監査できる状態にしているなら、医療周辺業務や一部の医療情報管理基盤として検討できる余地はあります。ただし、それは「Googleだから安全」なのではなく、医療機関が統制を設計しているから候補になる、という話です。
ユースケースで要求水準は変わる
Google Workspaceを医療文脈で使うかどうかは、ユースケースを分けて考える必要があります。院内の一般事務、非識別化された資料、医療経営資料、教育資料、業務連絡、患者情報を含まない文書管理と、患者識別可能な診療情報、訪問看護記録、検査結果、紹介状、保険情報を扱う運用では、求められる水準が違います。
前者では、一般的な情報セキュリティ、アクセス制御、文書管理の問題として整理できる場面があります。一方、後者では、
医療情報システム安全管理ガイドライン、経産省・総務省ガイドライン、個人情報保護法、安全管理措置、委託先管理、患者説明、事故時対応まで含めて評価する必要があります。
介護領域でも同じ構造があります。以前、Geminiを使ったケア記録支援について、医療AIと介護AIでは規制構造が異なる一方、要配慮個人情報の越境データ移転と、免責条項と記録の証拠性という論点は残る、と整理しました。
つまり、医療か介護か、診療記録か業務資料か、識別可能情報か非識別化情報か、個人利用か組織管理かによって、見るべき規制と運用リスクは変わります。特に訪問看護や地域連携では、クラウド本体よりも端末、アカウント、外部共有、通信断、退職者処理が事故源になります。同じGoogle Workspaceでも、扱う情報の性質と現場運用によってリスクは大きく変わります。
判断軸はクラウド名ではなく責任分界です
だから、正しい整理はこうです。Google Driveだから即違反、ではありません。Google Workspaceだから自動的に適法、でもありません。個人Driveや無管理共有で患者情報を扱うのは、ほぼアウトに近い運用です。一方で、組織管理されたGoogle Workspaceは、契約、設定、運用、監査、説明責任を満たせば、医療文脈でも候補になり得ます。
判断軸は「Googleかどうか」ではありません。医療機関が、患者情報をどこに置き、誰がアクセスし、誰が監査し、事故時に誰が説明し、契約上どこまで責任を切り分けられるかです。クラウドのブランド名ではなく、責任分界と運用統制を見るべきです。
最終的には、国内法適用、国外法リスクの把握、契約上の責任分界、subprocessor管理、保存国・処理国の説明、監査証跡、アクセス制御、DLP、ログ、退職者処理、端末管理、障害時対応、患者・利用者への説明責任をセットで満たせるかが問われます。「国内リージョンではないから即NG」でも、「GWSだからOK」でもありません。医療情報を扱うなら、技術選定ではなく、責任設計として判断する必要があります。
この記事で書いた「AIに臨床の魂を宿す」という思いは、ただ考えを唱えるだけにとどまりません。実際に「臨床の現場で使えるようにする」段階へと進めています。記事を読むだけでなく、自分の手を動かして、安全なしくみのもとで、臨床の知識を形にして資産へと変えていく。そのための実践的な場所(Cursorvers Library)を公開しています。この考えに共感し、評論する立場ではなく「実践する立場」として、医療の未来をつくることを目指す方は、ぜひメンバーシップ(無料・有料)への参加を検討してみてください。もし不具合があれば、お問い合わせフォームからご連絡ください。
▼ Cursorvers Program Roadmap
『医療✕AI』をテーマに発信しております。最新投稿を見逃さないよう、是非登録をお願いいたします。