AIにPHI固有の検出が必要な理由
すべてのAIプラットフォームがPII検出を主張します。しかしAIエージェントがヘルスケアデータを処理する場合、PII検出では不十分です。
HIPAAにおけるProtected Health Information(PHI)には個人を特定可能な健康情報すべてが含まれ、汎用PIIディテクターが捕捉するように設計されていないデータパターンを包含します。医療記録番号はメールアドレスではありません。NPIは電話番号ではありません。J06.9のようなICD-10コードはPIIディテクターにとって何も意味しませんが、個人に関連付けられるとPHIです。
医療固有のパターン検出
JieGouのPHIディテクターは標準PIIディテクターが見逃す5つのカテゴリのヘルスケア固有識別子を検出します:
Medical Record Numbers(MRN)
一般的なMRNフォーマットを検出し、MRN-4428193のようなパターンをPHIとしてフラグ付け。
National Provider Identifiers(NPI)
10桁の識別子。Luhnチェックディジットによるアルゴリズム検証で実際のNPIをランダムな10桁数字から区別し、偽陽性を削減。
ICD-10コード
診断と処置のコーディングシステム。J06.9(急性上気道感染)、E11.65(高血糖を伴う2型糖尿病)などのパターンを検出。
Health Plan Identifiers
保険プラン番号、メンバーID、グループ番号。
医療コンテキストフレーズ
「診断」「処方」「治療計画」「検査結果」「患者歴」のようなフレーズが他の識別子と共に出現した場合、コンテキスト分析で検出信頼度を上げます。
設定可能なリダクションモード
完全リダクションは検出されたPHIを[REDACTED]プレースホルダーに置換。部分マスキングは最後の4文字を保持して残りをマスク。リダクションモードは感度レベルごとに設定可能。
ガバナンススタックとの統合
PHIが検出されると、コンテンツに適切な感度ラベルが自動付与され、下流のすべてのコンポーネントでの処理を制御:
- AIエージェントがPHIラベル付きコンテンツでリダクションを適用してからLLMにデータを送信
- RBACがPHIラベル付きドキュメントと会話へのアクセスを制限
- 監査ログがPHIラベル付きコンテンツへのすべてのアクセスを記録
- BYOK暗号化が組織が制御するキーで保存時のPHIを暗号化
32のテストケースで検出精度を保証
JieGouはPHIディテクターをすべての検出カテゴリをカバーする32のテストケースに対して検証。テストスイートはCIで実行され、検出パイプラインへの変更がデプロイされる前にパスする必要があります。
より広いHIPAAコンプライアンスの全体像
JieGouのHIPAA準備フレームワークは複数のレイヤーを組み合わせます:PHI検出、30アクションタイプの監査証跡、5ロールRBAC、BYOK暗号化(AES-256-GCM)、段階的自律性、感度ラベル。
JieGouのSOC 2 Type II監査はVanta経由で進行中であり、セキュリティコントロールの独立した検証を提供します。