医師、看護師、セラピストのための臨床写真保管庫

TL;DR

個人のiPhoneで臨床写真を撮影する医療従事者は、デフォルトのカメラロールでは対応できないHIPAAおよびGDPRの義務に直面します。AppVaultは、AES-256-GCM暗号化、独立した暗号化カタログ、および電卓ランチャーを提供し、患者画像を目に見える写真グリッドから完全に隔離します。アカウント不要、サーバー不要、テレメトリなし。

個人のiPhoneにおける臨床写真の問題

皮膚科医が処方前に病変を撮影する。歯科医がビフォーアフターのシリーズを記録する。看護師が訪問診療中に創傷を写真に収める。セラピストが遠隔医療セッション中にホワイトボードの図をスナップショットする。どの場合でも、画像は休暇の写真、スクリーンショット、家族写真と同じカメラロールに保存される。

規制の枠組みは明確だ。米国では、HIPAAのセキュリティルールが電子保護健康情報（ePHI）に対する技術的安全対策を要求している。これには、ePHIを保存または送信するデバイス上での保存時の暗号化が含まれる。欧州連合では、GDPR第9条が健康データを特別カテゴリの個人データとして分類し、最も厳格な処理要件を課し、明示的な同意または認められた法的根拠を必要とする。

iPhoneのカメラロールはどちらの枠組みも満たさない。単一の暗号化されていないギャラリーだ。電話を手に取り左にスワイプすれば、誰でもすべてを見ることができる。

ほとんどの臨床医はこのことを認識している。しかし、別のデバイスを持ち歩く以外に実用的な解決策を持っている人はほとんどいない。

HIPAAが個人デバイス上のePHIに実際に求めるもの

HIPAAのセキュリティルールは特定の製品を義務付けていない。結果を義務付けている。暗号化の標準はNIST FIPS 197 — Advanced Encryption Standardである。アクセス制御の標準は一意のユーザー識別と自動ログオフを要求する。監査制御の標準はアクセスを記録・検査するメカニズムを要求する。

AppVaultは暗号化とアクセス制御の要件に直接対応する。ファイルはAES-256-GCM — NIST FIPS 197およびNIST SP 800-38D — で封印され、ファイルごとに固有の96ビットnonceを使用する。鍵はユーザーの5×5パターンからPBKDF2-SHA256（60万イテレーション）で導出され、OWASP 2026推奨に一致する。その導出鍵はiPhone Secure Enclave内部で生成された鍵でラップされ、チップから決して出ない。

暗号化カタログは数学的に封印されている。ファイルのリスト（数、名前、日付）さえも暗号化されている。生のストレージにアクセスできる攻撃者は、いくつのファイルが存在するかさえ判断できず、ましてや読み取ることはできない。

HIPAAコンプライアンスは組織の責務である。AppVaultは技術レイヤーを提供する。臨床医の所属機関は依然として独自のリスク評価を実施し、ポリシーを文書化し、全体的なワークフローがルールの管理上および物理的安全対策要件を満たすことを確認する必要がある。

GDPR第9条と特別カテゴリの健康データ

欧州の臨床医にとって、計算は似ているが枠組みは異なる。GDPR第9条は、いくつかの条件（明示的同意、雇用法による承認、実質的な公共の利益など）のいずれかが満たされない限り、健康データの処理を禁止する。規則は特定の暗号化アルゴリズムを規定していないが、リスクに応じた「適切な技術的および組織的措置」を要求している。

AppVaultのゼロ知識アーキテクチャはここで重要になる。アプリはデフォルトでネットワーク呼び出しを一切行わない。アカウント、テレメトリ、サードパーティSDKはない。プライバシー栄養ラベルはデータ収集なしと宣言している。アプリ運営者は一切の個人データを処理しない — 暗号化はすべてデバイス上で行われ、暗号文はユーザーが暗号化iCloudバックアップを選択しない限り電話から出ることはない。

第9条に基づいて健康データを処理する臨床医にとって、このアーキテクチャは保管庫アプリ自体が追加のデータ処理を一切導入しないことを意味する。ローカルの暗号化ツールであり、データ処理者ではない。

共有クリニックiPad

多くのクリニックは、患者チェックイン、遠隔医療セッション、または臨床文書のために1台のiPadを発行する。複数の医療従事者が同じデバイスを1日中使用する。分離がなければ、すべての医療従事者の臨床写真が同じギャラリーに保存される。

AppVaultのデコイボールト機能はこれに直接対応する。第二の5×5パターンが、数学的に独立した別の保管庫カタログを開く。2つのカタログは鍵素材を共有しない。一方が他方の存在を明かすことはない。

これはマルチユーザーアカウントシステムではない。ログイン、ユーザー管理、保管庫間のクラウド同期はない。各医療従事者のカタログは自己完結型の暗号化コンテナである。1人の医療従事者がクリニックを去った場合、そのパターンは単に後任と共有されない。

電話を渡す瞬間

同僚が電話を借りて簡単な電話をかける。患者が画面上の写真を見たいと言い、電話が手渡される。友人がレストランで集合写真を撮り、意図せずにスワイプしすぎる。

どの場合でも、リスクは同じだ：カメラロールはアクセス制御のない単一のスクロールであり、臨床写真は電話を手にした誰にでも見える。

AppVaultはこのパターンを打ち破る。臨床写真は暗号化保管庫にインポートされ、カメラロールから削除される。保管庫は写真アプリ、写真グリッド、検索結果に表示されない。開く唯一の方法は、保管庫独自のインターフェースを通じて — 5×5パターンの背後にある。

電卓ランチャーはもう一つのレイヤーを追加する。アプリは完全に機能するiOS電卓として表示される。保管庫へのアクセスは、オプションでイコールキーの長押しによって行われる。これは欺瞞ではない — 電卓は動作する。Appleガイドライン4.3を満たすために作られた代替アイコンであり、標準ツールにオプションの二次機能を提供する。

患者の同意とカメラロールの問題

ほとんどの臨床医は臨床写真を撮影する前に同意を得る。同意書は通常、使用、保存、共有をカバーする。しかし、写真が臨床医の個人画像と同じギャラリーに置かれ、電話を手にした誰にでも見えるという事実にはほとんど触れない。

これは同意と技術的現実の間のギャップである。患者は画像の臨床的使用に同意した。患者は画像が臨床医の家族、友人、または電話を借りた人に見えることには同意していない。

AppVaultはそのギャップを埋める。臨床写真が保管庫にインポートされ、オリジナルがカメラロールから削除されると、画像は暗号化カタログ内にのみ存在する。同意書の意図 — 臨床使用のみ — が技術的実装によって一致する。

遠隔医療スナップショット

遠隔医療の診察では、しばしば臨床画像が生成される：ビデオ通話中にキャプチャした皮膚状態のスクリーンショット、薬のラベルの写真、患者が症状を説明するために描いたホワイトボードの図。これらの画像は臨床データである。保護された環境に属し、カメラロールには属さない。

AppVaultのインポートワークフローは、カメラからの直接キャプチャまたはインポートを可能にする。画像は直接暗号化カタログに入る。目に見える写真グリッドには決して触れない。

個人のiPhoneから遠隔医療を行う臨床医にとって、これは準拠したワークフローと、暗号化されていない臨床画像でいっぱいのカメラロールとの違いである。

AppVaultが防御しないもの

限界について正直であることは設計原則である。AppVaultは以下を防御しない：

• 脱獄されたiPhone。 デバイスがジェイルブレイクされているかマルウェアが動作している場合、暗号化は無意味になる。攻撃者は画面を読み取り、パターンを傍受し、メモリ内の復号化されたカタログにアクセスできる。
• パターンを共有する臨床医。 AppVaultは組織のポリシーを強制できない。医療従事者が自分のパターンを同僚に教えた場合、保管庫は開かれる。
• 物理的な強制。 AppVaultには緊急時機能は含まれていない。誰かが臨床医に強制的に電話をロック解除させた場合、保管庫は他のアプリと同様に開く。
• バックアップ鍵なしのiCloudバックアップ。 ユーザーが暗号化iCloudバックアップを選択したが、デバイスごとのバックアップ鍵を紛失した場合、バックアップは復元不可能になる。リセットはない。

脅威モデルのページでは、これらのシナリオを詳細にカバーしている。保護を誇張する製品は信頼できない製品である。

AppVaultと他の保管庫アプリの比較

写真保管庫のカテゴリは大きい。Keepsafeはインストール数でカテゴリリーダーである。Vaultaireは電卓保管庫のニッチで最も近い競合である。この分野のほとんどのアプリは、暗号化スタックを公開せず、一次ソースを引用せず、デフォルトでネットワーク呼び出しをゼロにしていない。

AppVaultは完全なスタックを公開する：AES-256-GCM、PBKDF2-SHA256（60万イテレーション）、Secure Enclave鍵ラッピング、ファイルごとの固有96ビットnonce。すべての主張は一次ソース（NIST、OWASP、Apple Platform Security）にリンクしている。アプリはデフォルトでネットワーク呼び出しを一切行わない。プライバシー栄養ラベルはデータ収集なしと宣言している。

HIPAAまたはGDPRの下でツールを評価する臨床医にとって、この透明性は重要である。コンプライアンスは、マーケティングページの主張ではなく、ツールが実際に何をするかを理解することに依存する。

臨床使用のためのセットアップ

医療従事者に推奨されるワークフロー：

1. AppVaultをインストールし、5×5パターンを設定する。リカバリパスフレーズを書き留め、オフラインで保管する — 机の引き出し、施錠されたキャビネット、個人の金庫。
2. 代替アイコンが役立つ場合は、電卓ランチャーを有効にする。
3. 別の医療従事者とデバイスを共有する場合は、第二のパターンでデコイボールトを設定する。各医療従事者は自分のパターンを使用する。
4. 既存の臨床写真をカメラロールからインポートする。写真アプリからオリジナルを削除する。
5. 今後は、臨床写真を直接保管庫に撮影するか、撮影後すぐにインポートする。
6. デバイスごとのバックアップ鍵を管理する意思がない限り、iCloudバックアップを有効にしない。有効にする場合、鍵を紛失するとバックアップを失うことを理解する。

このワークフローにより、臨床画像は封印されたカタログに保たれ、個人の写真から分離され、目に見えるカメラロールの外にあり、HIPAAの技術的安全対策とGDPR第9条の処理要件を満たす標準で暗号化される。

規制上の負担は現実である

どのアプリも、臨床医がリスク評価を実施し、ポリシーを文書化し、全体的なワークフローが規制要件を満たすことを確認する義務を排除するものではない。HIPAAとGDPRは組織の枠組みである。AppVaultは技術ツールである。

ツールが行うことは、最も一般的な障害点を取り除くことである：個人デバイス上の暗号化されていない公開ギャラリーに臨床写真が置かれること。その障害点は、苦情、漏洩通知、または規制調査を引き起こす可能性が最も高いものである。

すでにiPhoneを臨床現場に持ち込んでいる医師、看護師、歯科医、皮膚科医、セラピストにとって、AppVaultはカメラロールの問題と封印されたカタログの違いである。