NHS、AIの脅威に備えGitHub公開リポジトリ数百件を非公開化へ

英国NHSがオープンソース政策を一時的に撤回

英国の国民健康保険サービス（NHS）が、自組織が管理するGitHubリポジトリの公開状態をすべて非公開に変更するよう、技術リーダー陣に指示した。期限は2026年5月11日。背景にあるのは、先進的なAIモデルによるコードベースの大規模解析リスクへの懸念だ。

The Registerが入手したNHS内部のガイダンス文書によると、同組織は「公開リポジトリは、ソースコード、アーキテクチャの設計判断、設定の詳細、および文脈的情報の意図しない漏洩リスクを実質的に高める」とし、特に「大規模なコードの取り込み、推論、論理的思考が可能なAIモデルの急速な進歩」を念頭に置いているとしている。

同ガイダンスでは、具体的にAnthropicのMythosモデルに言及。「明示的かつ例外的な必要性がない限り」GitHubリポジトリを公開状態にしてはならないと記している。

「一時的な措置」とするNHSの説明

NHS EnglandのスポークスパークはThe Registerに対し、これはあくまで一時的な措置であると説明した。

「AIモデルの急速な進展の影響を評価しつつ、サイバーセキュリティをさらに強化するため、一部のNHS Englandのソースコードへのアクセスを一時的に制限している」と述べ、「明確な必要性があるソースコードの公開は継続する」とも語った。

同措置はNHSのエンジニアリングボードによって承認されたものだ。

実態は「さほど機密性の高くない」公開リポジトリ

NHS内部の関係筋によると、管理下にある数百件のオープンソースリポジトリのうち、実際に機密性が高いものはごくわずかだという。公開されていたリポジトリの例として、ドキュメント、アーキテクチャ図、クリニックの予約管理などの内部ツール用Webアプリケーションのコードベースなどが挙げられる。

MythosのようなフロンティアAIモデルがバグを発見する可能性は否定できないものの、医療サービスに対する実質的なリスクは低いと見られている。

長年のオープンソース推進方針との矛盾

この決定は、NHSの長年にわたるオープンソース優先政策にとって大きな転換を意味する。英国政府全体の方針を反映し、NHSのサービスマニュアルでは「すべての新しいソースコードはオープンソースとして公開し、適切なライセンスの下で共有すべき」と定めている。

その理由として、同マニュアルは次のように述べている。「公共サービスは公的資金で構築されている。そのため、やむを得ない理由がない限り、その基盤となるコードは他の人々が再利用し、その上に構築できるように公開されるべきだ」

さらに、オープンソースコードは「チーム間の重複作業を削減し、より良いサービスをより速く構築する助けとなる」「オープンライセンスの下でソースコードを公開することで、単一のサプライヤーにロックインされるリスクを低減できる」と説明している。

前年から示唆されていた方針転換の兆候

NHSのオープンソース政策の変化は、2025年末にすでに兆候が見られていた。同組織がオープンソースへの取り組みを伝えるためのWebページを削除したとの報道がなされ、政策が揺らいでいる可能性が指摘されていた。ただし、NHSはこれに対し「NHSXおよびNHS Digitalに関連する通常のクリーンアップ作業の一環」と説明していた。

今回の措置が本当に「一時」なものにとどまるのか、それともAI技術のさらなる進歩に伴い恒久的な方針へと移行していくのか。医療分野におけるオープンソースとAIセキュリティの在り方が問われている。

---

FAQ:

Q: NHSがGitHubリポジトリを非公開にした具体的な理由は何か？ A: AnthropicのMythosのような先進的なAIモデルが、公開されたソースコードを大規模に解析し、セキュリティ上の脆弱性や設定の不備を推論・特定するリスクを懸念したためだ。NHSは「一時的なサイバーセキュリティ強化措置」と説明している。

Q: NHSの公開リポジトリにはどのようなコードが含まれていたか？ A: 機密性の高いコードはごくわずかで、大半はドキュメント、アーキテクチャ図、クリニック予約管理などの内部ツール向けWebアプリケーションのコードベースなど、医療サービスへの実質的リスクが低い内容だったとされる。

Q: この措置は恒久的なものになるのか？ A: NHS Englandは「一時」であると明言しており、明確な必要性があるソースコードの公開は継続するとしている。ただし、AI技術の進歩次第では方針がさらに変更される可能性もあり、今後の動向が注目される。