MITの科学者が臨床AI時代の記憶化リスクを調査
MIT の研究者らが、医療用 AI モデルが患者データを「記憶」するリスクを解明し、プライバシー侵害を防ぐための厳格な評価フレームワークを提唱した。
キーポイント
医療 AI のデータ記憶リスクの特定
非識別化された電子健康記録(EHR)で訓練された基盤モデルが、特定の患者情報を「記憶」し、悪意あるプロンプトによって漏洩する可能性が実証された。
プライバシー侵害の文脈評価の必要性
単なるデータ漏洩の評価ではなく、医療現場における具体的な文脈でリスクを評価し、患者の信頼を損なうレベルかどうかを判断する重要性が強調された。
実用的な評価フレームワークの提案
モデル公開前に実施すべき、標的型プロンプトによる情報抽出を防ぐための厳格なテストセットアップと評価手順が提唱されている。
影響分析・編集コメントを表示
影響分析
この記事は、医療 AI の普及における最大の障壁の一つである「患者プライバシー」のリスクを可視化し、業界全体が直面する新たな課題を提起しています。単なる技術的な欠陥として片付けられることなく、倫理的・法的な観点からの厳格な評価基準の確立を促すものであり、今後医療 AI モデルの開発・公開プロセスに大きな影響を与えるでしょう。
編集コメント
医療分野における AI の信頼性を担保するためには、性能だけでなく「記憶によるプライバシー侵害」のリスク評価が不可欠であることが浮き彫りになりました。開発者は今すぐ、従来の精度検証に加え、悪意あるプロンプトに対する防御テストを標準プロセスに組み込むべきです。
患者のプライバシーは何のためにあるのか?世界で最も古く、最も広く知られる医療倫理文書の一つと考えられているヒポクラテスの誓いは次のように述べている。「私は、専門的な診療に関連するか否かにかかわらず、患者の生活の中で見聞きしたことで、外部で語られるべきでないものは、それらすべてを私的なものと見なして秘密を守る」
データを求めるアルゴリズムとサイバー攻撃の時代においてプライバシーがますます希少になる中、医療は、機密性が実践の中心であり続ける数少ない分野の一つである。それによって患者は医師に機密情報を信頼して託すことができる。
しかし、MITの研究者らが共著した論文は、匿名化された電子健康記録(EHRs)で訓練された人工知能モデルが、患者固有の情報を記憶する可能性を調査している。この研究は、2025年の神経情報処理システム会議(NeurIPS)で最近発表され、標的型プロンプトによって情報が漏洩しないことを保証するための厳格なテスト手法を推奨している。また、漏洩が患者のプライバシーを実質的に侵害するかどうかは、医療の文脈で評価されなければならないことを強調した。
EHRsで訓練された基盤モデルは通常、多くの患者記録を基に知識を一般化し、より良い予測を行うべきである。しかし、「記憶化」が起こると、モデルは単一の患者記録に依存して出力を生成し、患者のプライバシーを侵害する可能性がある。特に、基盤モデルはすでにデータ漏洩を起こしやすいことが知られている。
「これらの大規模モデルにおける知識は多くのコミュニティにとって資源となり得ますが、敵対的攻撃者はモデルに入力(プロンプト)を与えて学習データに関する情報を抽出することができます」と、MITおよびハーバード大学のブロード研究所内エリック&ウェンディ・シュミットセンターのポスドク研究員で、論文の筆頭著者であるサナ・トネカボニは述べる。基盤モデルが個人データも記憶するリスクを考慮し、彼女は「この研究は、モデルを公開する前に私たちのコミュニティが取ることのできる実用的な評価手法が確実にあるようにするための一歩です」と指摘している。
医療においてEHR基盤モデルがもたらす潜在的なリスクについて研究を行うため、トネカボニはMITのマルジエ・ガセミ准教授に協力を求めた。ガセミ准教授は、「健康のための機械学習アブドゥル・ラティフ・ジャミール・クリニック(Jameel Clinic)」の主任研究者であり、計算機科学・人工知能研究所(CSAIL)のメンバーでもある。MIT電気工学・計算機科学科および医学工学・科学研究所の教員であるガセミ准教授は、医療における堅牢な機械学習に焦点を当てた「Healthy ML」グループを率いている。
悪意のある攻撃者が機密データを暴露するにはどれだけの情報が必要で、漏洩した情報に伴うリスクは何か?これを評価するため、研究チームは将来のプライバシー評価の基礎を築くことを目指す一連のテストを開発した。これらのテストは、さまざまな種類の不確実性を測定し、攻撃可能性の様々な段階を評価することで、患者に対する実用的なリスクを測定するように設計されている。
「私たちはここで実用性を本当に強調しようとしました。もし攻撃者が情報を抽出するために、あなたの記録から数十の検査の日付と値を知る必要があるなら、害のリスクはほとんどありません。もし私がすでにそのレベルの保護された元データにアクセスできるなら、なぜさらに多くの情報を得るために大規模な基盤モデルを攻撃する必要があるでしょうか?」とガセミ准教授は述べる。
医療記録の避けられないデジタル化に伴い、データ侵害はより一般的になっている。過去24か月間、米国保健社会福祉省は、500人以上に影響を与える健康情報に関する747件のデータ侵害を記録しており、その大半はハッキングまたはITインシデントに分類されている。
特徴的な病状を持つ患者は、特定することがいかに容易であるかを考えると、特に脆弱である。「匿名化されたデータであっても、それは個人についてどのような情報を漏洩するかに依存します」とトネカボニは言う。「一度彼らを特定すれば、あなたははるかに多くのことを知ることになります」
構造化されたテストにおいて、研究者らは、攻撃者が特定の患者についてより多くの情報を持っているほど、モデルが情報を漏洩する可能性が高いことを発見した。彼らは、プライバシーリスクを適切に評価するために、モデルの一般化と患者レベルの記憶化を区別する方法を示した。
論文はまた、いくつかの漏洩は他のものよりも有害であることを強調した。例えば、モデルが患者の年齢や人口統計情報を明らかにすることは、HIV診断やアルコール乱用などのより敏感な情報を明らかにすることよりも、害の少ない漏洩とみなされる可能性がある。
研究者らは、特徴的な病状を持つ患者は、特定が容易であるため特に脆弱であり、より高いレベルの保護が必要となる可能性があると指摘している。「匿名化されたデータであっても、それは本当に個人についてどのような情報を漏洩するかに依存します」とトネカボニは言う。研究者らは、この研究をより学際的なものに拡大し、臨床医、プライバシー専門家、さらに法律専門家を加えることを計画している。
「私たちの健康データが非公開であるのには理由があります」とトネカボニは言う。「他の人がそれについて知る理由はありません」
この研究は、MITおよびハーバード大学のブロード研究所内エリック&ウェンディ・シュミットセンター、ワレンベリAI、クヌート&アリス・ワレンベリ財団、米国国立科学財団(NSF)、ゴードン&ベティ・ムーア財団賞、Google Research Scholar賞、およびシュミット・サイエンシズのAI2050プログラムによって支援された。この研究の準備に使用されたリソースは、一部、オンタリオ州、カナダ政府(CIFARを通じて)、およびベクター研究所を支援する企業によって提供された。
原文を表示
What is patient privacy for? The Hippocratic Oath, thought to be one of the earliest and most widely known medical ethics texts in the world, reads: “Whatever I see or hear in the lives of my patients, whether in connection with my professional practice or not, which ought not to be spoken of outside, I will keep secret, as considering all such things to be private.”
As privacy becomes increasingly scarce in the age of data-hungry algorithms and cyberattacks, medicine is one of the few remaining domains where confidentiality remains central to practice, enabling patients to trust their physicians with sensitive information.
But a paper co-authored by MIT researchers investigates how artificial intelligence models trained on de-identified electronic health records (EHRs) can memorize patient-specific information. The work, which was recently presented at the 2025 Conference on Neural Information Processing Systems (NeurIPS), recommends a rigorous testing setup to ensure targeted prompts cannot reveal information, emphasizing that leakage must be evaluated in a health care context to determine whether it meaningfully compromises patient privacy.
Foundation models trained on EHRs should normally generalize knowledge to make better predictions, drawing upon many patient records. But in “memorization,” the model draws upon a singular patient record to deliver its output, potentially violating patient privacy. Notably, foundation models are already known to be prone to data leakage.
“Knowledge in these high-capacity models can be a resource for many communities, but adversarial attackers can prompt a model to extract information on training data,” says Sana Tonekaboni, a postdoc at the Eric and Wendy Schmidt Center at the Broad Institute of MIT and Harvard and first author of the paper. Given the risk that foundation models could also memorize private data, she notes, “this work is a step towards ensuring there are practical evaluation steps our community can take before releasing models.”
To conduct research on the potential risk EHR foundation models could pose in medicine, Tonekaboni approached MIT Associate Professor Marzyeh Ghassemi, who is a principal investigator at the Abdul Latif Jameel Clinic for Machine Learning in Health (Jameel Clinic) and a member of the Computer Science and Artificial Intelligence Lab. Ghassemi, a faculty member in the MIT Department of Electrical Engineering and Computer Science and Institute for Medical Engineering and Science, runs the Healthy ML group, which focuses on robust machine learning in health.
Just how much information does a bad actor need to expose sensitive data, and what are the risks associated with the leaked information? To assess this, the research team developed a series of tests that they hope will lay the groundwork for future privacy evaluations. These tests are designed to measure various types of uncertainty, and assess their practical risk to patients by measuring various tiers of attack possibility.
“We really tried to emphasize practicality here; if an attacker has to know the date and value of a dozen laboratory tests from your record in order to extract information, there is very little risk of harm. If I already have access to that level of protected source data, why would I need to attack a large foundation model for more?” says Ghassemi.
With the inevitable digitization of medical records, data breaches have become more commonplace. In the past 24 months, the U.S. Department of Health and Human Services has recorded 747 data breaches of health information affecting more than 500 individuals, with the majority categorized as hacking/IT incidents.
Patients with unique conditions are especially vulnerable, given how easy it is to pick them out. “Even with de-identified data, it depends on what sort of information you leak about the individual,” Tonekaboni says. “Once you identify them, you know a lot more.”
In their structured tests, the researchers found that the more information the attacker has about a particular patient, the more likely the model is to leak information. They demonstrated how to distinguish model generalization cases from patient-level memorization, to properly assess privacy risk.
The paper also emphasized that some leaks are more harmful than others. For instance, a model revealing a patient’s age or demographics could be characterized as a more benign leakage than the model revealing more sensitive information, like an HIV diagnosis or alcohol abuse.
The researchers note that patients with unique conditions are especially vulnerable given how easy it is to pick them out, which may require higher levels of protection. “Even with de-identified data, it really depends on what sort of information you leak about the individual,” Tonekaboni says. The researchers plan to expand the work to become more interdisciplinary, adding clinicians and privacy experts as well as legal experts.
“There’s a reason our health data is private,” Tonekaboni says. “There’s no reason for others to know about it.”
This work supported by the Eric and Wendy Schmidt Center at the Broad Institute of MIT and Harvard, Wallenberg AI, the Knut and Alice Wallenberg Foundation, the U.S. National Science Foundation (NSF), a Gordon and Betty Moore Foundation award, a Google Research Scholar award, and the AI2050 Program at Schmidt Sciences. Resources used in preparing this research were provided, in part, by the Province of Ontario, the Government of Canada through CIFAR, and companies sponsoring the Vector Institute.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み