介護事業所がAIを導入する際のリスクアセスメントと同意書設計

「AIを介護の現場に取り入れたいが、利用者の個人情報や医療情報をどう扱えばよいか分からない」「利用者や家族への説明と同意書はどう準備すればよいか」という声を多くの介護事業所の管理者からいただきます。

この記事では、介護事業所がAIを導入する際のリスクアセスメントの進め方と、利用者・家族が安心できる同意書の設計方法を、法的根拠を踏まえて具体的に解説します。リスク分類表・同意書の必須記載項目・導入前チェックリストも合わせて整理していますので、そのまま実務でご活用ください。

目次

介護事業所のAI導入で直面するリスクとは

介護事業所でAIを活用できる場面は大きく3つに分かれます。①介護記録・ケアプランの作成補助、②夜間の見守りセンサーや転倒検知、③シフト管理・請求業務の効率化です。これらはいずれも職員の業務負担を大きく減らす可能性を持ちますが、介護特有のリスクも伴います。

最大のリスクは「要配慮個人情報の外部送信」です。介護記録には身体状況・医療情報・精神的な状態が含まれます。個人情報保護法では、これらは「要配慮個人情報」に分類され、通常の個人情報よりも厳格な取り扱いが求められます。第三者への提供に際しては原則として本人の同意が必要です。

クラウドサービス上のAI(生成AIを含む)に介護記録を入力すると、AIサービスを提供する会社のサーバーに情報が送信されます。これが「第三者提供」に該当するかどうかは、契約形態と使用目的によって判断が変わります。個人情報保護委員会のガイドライン(2026年4月時点)では、AIサービスの利用は「業務委託」として整理でき、適切な委託契約があれば本人同意なしに情報を提供できるとされています。ただし、入力データがAIのトレーニングに使用される場合は委託の範囲を超える可能性があり、この場合は本人同意が別途必要になります。

2つ目のリスクは「AIの判断への依存と責任の所在のあいまいさ」です。AIがケアプランの内容を提案したり、センサーが異常を検知して職員に通報するシステムを使う場合、最終的な判断を誰が下すかを明確にしていないと、事故が起きたときに責任の所在があいまいになります。「AIが提案したから」という理由でケアの内容を変えることは認められません。最終判断は必ず人間(担当職員・管理者)が下すという体制を運営規程に明記することが不可欠です。

3つ目は「職員の不適切な使用」です。AIツールを現場に導入しても、職員が個人のスマートフォンで介護記録を撮影し、外部の生成AIに貼り付けるという使い方をすると、事業所として管理できない情報漏洩が発生します。導入ルールを事前に書面で整備し、職員全員への研修を実施することが不可欠です。こうした使い方をした場合の就業規則上の処分についても明確にしておく必要があります。

4つ目のリスクとして「利用者・家族とのトラブル」も挙げられます。AIを使ってケアを行うことを事前に説明せず、後から発覚した場合は信頼関係の損傷につながります。特に、顔認識や行動解析など利用者の映像・センサーデータを扱う場合は、事前の説明と同意取得がなければ、プライバシー侵害として苦情・クレームに発展するリスクがあります。

AIリスクアセスメントの4ステップ

1. 導入するAIが扱うデータの棚卸し

まず、導入しようとするAIツールがどのデータを扱い、どこに送信するかを一覧化します。以下の項目を書き出してください。

扱うデータの種類: 氏名・住所・生年月日・介護記録(身体状況・医療情報・精神状態)・センサーデータ(体温・心拍数・移動履歴・映像)
データの送信先: AIサービス会社のサーバーの所在地(国内か国外か)
データの保持期間: AIサービス上でデータが保持される期間と削除ポリシー
学習への利用: 入力データがAIのトレーニングに使用されるかどうか
再委託の有無: AIサービス会社がデータを別の会社に再委託していないか

「学習への利用」は特に重要な確認ポイントです。多くの生成AIサービスは規約で学習オプトアウトを選択できますが、デフォルトでオンになっているケースがあります。AIツールを契約する前に、利用規約の「データ利用」条項を必ず確認し、オプトアウト設定を完了させてください。オプトアウトできない場合は、仮名化入力(後述)または社内専用AIへの切り替えを検討します。

2. リスクの分類と影響度評価

特定したリスクを「発生確率」と「影響の深刻さ」の2軸で評価します。介護事業所でよく見られるリスクと評価例は以下のとおりです。

要配慮個人情報の外部送信(高リスク): クラウドサービスへの無断入力、職員端末の紛失。影響→利用者の信頼喪失、行政指導、最悪の場合は事業停止命令
同意取得漏れ(高リスク): 利用者・家族への説明不足、同意書未取得での運用開始。影響→クレーム、契約解除、行政指導
AIの誤判断による事故(中リスク): 転倒検知の誤作動、ケアプラン提案の不適切な適用。影響→利用者の安全への影響、賠償責任
職員の私的端末による情報持ち出し(中リスク): 個人スマートフォンへのデータコピー、SNSへの投稿。影響→情報漏洩、法的責任、社会的信用の喪失
AIツールのシステム障害(低リスク): ツールのダウンによる業務停止。影響→業務効率の低下、記録の遅延

このリスク分類を表にして事業所内で共有することで、優先して対策すべき項目が明確になります。「高リスク」の項目は必ず運用開始前に対策を完了させてください。

3. リスク対策の設計

リスク評価に基づいて対策を具体的に設計します。情報漏洩リスクへの対策は3段階で考えます。

第1段階は「仮名化入力ルールの設定」です。AIへの入力時に氏名・生年月日を仮名(例:A様、1930年代生まれ男性)に置き換えるルールを書面で定めます。これだけで外部送信リスクを大幅に低減できます。ただし完全な匿名化ではないため、居室番号や病名との組み合わせで特定可能なケースがある点には注意が必要です。

第2段階は「接続端末の限定」です。AIへの接続端末を事業所が管理するPCまたはタブレットのみに限定し、私的端末からのアクセスを就業規則で禁止します。MDM(モバイルデバイス管理)ツールを導入できれば、接続端末の管理が自動化されます。

第3段階は「情報を外に出さない社内専用AI(ローカルLLM)の導入」です。社内専用AIは自社のサーバー内でAIが処理を完結するため、介護記録を入力しても外部に情報が一切送信されません。クラウドサービスと比べて初期費用がかかりますが、毎日大量の要配慮個人情報を扱う介護事業所では、中長期的にみてリスク管理コストと法的責任リスクを大幅に下げる選択肢として有効です。以降、このAIを「社内専用AI」と呼びます。

AIの誤判断リスクには「AIは補助、人が決定」というルールを運営規程に明文化します。AIが提案したケアプランの変更は必ず担当職員と管理者が確認し、最終判断は人間が下すというフローを書面で定め、新人研修にも組み込んでください。

4. モニタリング体制の設計

対策が継続的に機能しているかを確認するために、定期的なレビュー体制を整えます。推奨は四半期に1回で、AIツールの使用状況・規約の変更・インシデントの有無・同意書の更新要否を確認します。

AIサービス会社が規約を変更した場合、委託契約の内容見直しや利用者・家族への再説明が必要になることがあります。変更通知メールを受信できるよう設定し、確認担当者を指定しておくことが重要です。また、職員のAI使用状況(私的端末使用の有無、仮名化ルールの遵守状況)を管理者が定期的に確認する仕組みも整えます。

介護事業所がAIを導入する際のリスクアセスメントと同意書設計 — 関連イメージ1

利用者・家族向け同意書の設計ポイント

同意書は利用者本人または法定代理人(家族等)が内容を理解したうえで署名するものです。難解な法律用語や技術用語を並べるのではなく、「何のためにAIを使うか」「データはどこに送られるか」「断ることができるか」という3点が伝わることを最優先にして設計します。

同意書に必ず盛り込む7つの項目は以下のとおりです。

AIを使う目的: 「介護記録の作成補助」「夜間の見守り」など具体的な業務を記載します。「業務効率化のため」という抽象的な表現は避けてください
AIが扱うデータの種類: 「お名前、ご住所、介護記録(日常生活の状況・身体情報)、センサーによる行動データ」のように具体的に列挙します
データの送信先: クラウドサービスを使う場合はサービス名と会社名を記載します。国外サーバーを使う場合はその旨を明記します
データの保管期間: 「サービス利用終了後30日以内に削除します」のように具体的な日数を記載します
同意しない権利: 「AIの利用にご同意いただかなくても、通常の介護サービスをお受けいただくことができます」という一文を必ず入れてください
同意の撤回方法: いつでも書面または口頭で撤回できること、撤回後のデータ削除対応について明記します
問い合わせ先: 担当者名・電話番号・受付時間を記載します

文章は敬体(です・ます調)で書き、難しい用語には読み仮名を振るか平易な言葉に言い換えます。A4用紙1枚に収まるように整理し、文字サイズは11ポイント以上を推奨します。高齢の利用者や家族が多い事業所では、14ポイント前後の大きな文字でルビ付きの版を用意することも検討してください。

認知症の利用者については、法定代理人(成年後見人等)または施設契約時に「緊急連絡先兼同意権者」として登録された家族から説明と同意を取得します。「家族であれば誰でもよい」というわけではなく、責任の所在を明確にするために誰から同意を取得するかを施設の運営規程に明記しておくことを推奨します。遠方の家族のために、電話やビデオ通話での確認という代替手段も規定しておくと実務上の対応がスムーズです。

同意書は紙の署名と電子書類(PDF保管)の両方を整備し、同意日・説明者名・署名者氏名・続柄を記録として保管してください。同意書の更新が必要なタイミング(AIサービスの変更、規約の改定、利用目的の追加)も運営規程に明記しておくことで、現場判断のぶれを防げます。

比較表:AI活用場面別リスクと推奨対策

AI活用場面 主なリスク 推奨対策 同意書
介護記録の自動作成(音声入力) 音声データ・個人情報の外部送信 仮名化入力ルールの策定、委託契約の確認、社内専用AIの検討 必要
夜間見守りセンサー(行動解析) プライバシー侵害、センサーデータ漏洩 データ匿名化処理、端末の施設内限定、保管期間の設定 必要
ケアプラン提案AI AI誤判断による不適切なケア提供 「AIは補助・人が決定」ルールの明文化、最終承認フローの整備 必要(説明義務あり)
シフト管理・請求業務AI 職員情報・利用者請求情報の漏洩 アクセス権限の限定、委託契約の確認 原則不要(職員情報は就業規則で対応)
転倒・徘徊検知システム 誤検知による混乱、映像データの漏洩 誤検知時の確認フロー確立、映像の保管期間と削除ルール設定 必要
介護事業所がAIを導入する際のリスクアセスメントと同意書設計 — 関連イメージ2

よくある質問

Q1. クラウドサービスのAIに介護記録を入力してよいですか?

AIサービス提供会社との間に適切な委託契約(個人情報の取り扱いを規定した契約)があれば、本人同意なしに情報を委託先として提供できます。ただし、入力データがAIのトレーニングに使われる契約内容の場合は委託の範囲を超える可能性があります。利用規約の「データ利用」条項を確認し、学習オプトアウトを設定してください。不安が残る場合は、氏名・生年月日を仮名に置き換えてから入力する仮名化入力が安全策です。また社内専用AIを導入すれば、外部送信のリスク自体がゼロになります。

Q2. 利用者本人が認知症で署名できない場合はどうすればよいですか?

認知症等で本人が同意の判断能力を欠く場合は、法定代理人(成年後見人等)または施設契約時に「緊急連絡先兼同意権者」として登録された家族から説明と同意を取得します。責任の所在を明確にするために、誰から同意を取得するかを施設の運営規程に明記しておくことを推奨します。また、判断能力が低下しつつある利用者については、早期に成年後見制度の活用を家族に説明しておくことで、後の手続きがスムーズになります。

Q3. 同意を断られた利用者へのサービスはどうなりますか?

同意しないことを理由にサービスを拒否したり質を下げることは禁止です。「同意しなくても通常のサービスを受けられる」という内容を同意書に明記し、現場スタッフ全員に周知します。AI非使用の場合の業務フロー(紙での記録など従来の手順)も事前に整備しておくことが重要です。同意を断る利用者が一定数いることを前提に、AIと従来手順が混在した運用体制を設計してください。

Q4. 同意書の見直しはどのくらいの頻度で必要ですか?

AIツールの規約変更があった場合はその都度見直しが必要です。規約変更の通知メールを受信できるよう設定し、内容によっては利用者・家族への再説明と再同意取得を判断します。また個人情報保護法は概ね3年ごとに改正サイクルがあるため、法改正のタイミングでも内容を点検することを推奨します。担当者が変わっても対応できるよう、レビュー手順を書面で残しておくことが大切です。

Q5. 社内専用AIを使うと何が変わりますか?

社内専用AIは自社のサーバー内でAIが処理を完結するため、介護記録を入力しても外部に情報が送信されません。クラウドサービス利用時に生じる第三者提供リスクがゼロになり、AIのトレーニングへのデータ利用という問題も発生しません。介護記録をそのまま(仮名化なしで)入力でき、職員の作業手順がシンプルになるという運用上のメリットもあります。クラウドサービスと比べて初期費用は高くなりますが、要配慮個人情報を毎日扱う介護事業所では中長期的にリスク管理コストを大きく下げる選択肢として有効です。

介護事業所AI導入前チェックリスト

AIを導入する前に以下の8項目を確認してください。全て「済」にしてから運用を開始することを推奨します。

AIサービスの規約確認: データの学習利用条項・オプトアウト設定・再委託先の開示状況を確認した
委託契約の締結: AIサービス提供会社との間に個人情報の取り扱いを規定した委託契約書を締結した
仮名化ルールの策定: AI入力時に氏名・生年月日を仮名に置き換えるルールを書面で定めた
同意書の作成と取得: 利用者本人または法定代理人・家族から署名済みの同意書を受け取った
「AIは補助・人が決定」ルールの明文化: AIの提案を最終確認する担当者と承認フローを運営規程に記載した
職員向け研修の実施: AI使用方法・個人情報取り扱いルール・私的端末使用禁止を全職員に説明した
インシデント対応手順の整備: 情報漏洩や誤記録が発生した際の報告ルートと初動対応手順を文書化した
四半期レビューの日程設定: AIの使用状況と規約変更を確認する定期レビューの担当者と実施日程を決めた

介護事業所がAIを導入する際のリスクアセスメントと同意書設計 — 関連イメージ3

まとめ

介護事業所のAI導入で最初に整えるべきは「リスクアセスメント」と「同意書設計」の2つです。クラウドサービスへのデータ送信ルールを書面で定め、利用者・家族が「何のためにAIを使うか」「データはどこへ行くか」「いつでも断れる」という3点を理解したうえで同意できる仕組みを整備することが、安全なAI活用の土台になります。

AIの種類にかかわらず「AIは補助、人が決定」というルールを現場に浸透させることで、事故発生時の責任の所在を明確にできます。情報漏洩リスクをより根本から解決したい場合は、社内専用AIの導入を検討してください。仮名化入力による対応と社内専用AIによる対応を比較した場合、前者はコストが低い一方で人的ミスのリスクが残り、後者は初期投資が必要ですが運用の安全性と職員の作業負担軽減を同時に実現できます。

介護事業所のAI導入を安心して進めるには、リスク評価・契約・同意取得・研修・モニタリングという5段階のサイクルを継続的に回すことが重要です。

当社では介護事業所向けのAI導入支援を行っています。リスクアセスメントの実施から同意書の設計、社内専用AIの構築まで、経営者の方が安心して判断できるよう段階的にサポートします。まずはお気軽にご相談ください。
お問い合わせはこちら

<PR>この記事に関連するおすすめ書籍

生成AIの法的リスクと対策

介護事業所のAI導入で焦点になる個人情報保護法違反や情報漏洩といった法的リスクを、開発側・利用側の双方から体系的に整理した一冊です。同意書設計やリスクアセスメントの判断材料として手元に置いておくと役立ちます。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

目次