1.はじめに
電気用品・ガス用品等製品の安全設計において、法規制や安全規格(以後、「安全規格等」)が従来カバーしてきたのは、消費者が製品から直接受ける危害と、これを生じる危険源であった。具体的には、IEC Guide 104の附属書Aに示された電気的危険源(A.4)、機械的危険源(A.5)、その他の危険源(A.6)がこれにあたる。経済産業省の「電気用品、ガス用品等製品のIoT 化等による安全確保の在り方に関するガイドライン」(以後、「ガイドライン」)では、これを
「電気的ハザード(感電)、火災ハザード(発煙・発火)、火傷ハザード、機械的ハザード(可動部、回転部、振動、爆発、爆縮など)、化学的および生物学的ハザード、電気用品から発せられる電磁波などによる危害の防止、人間工学原則無視によるハザード、危険源の組み合わせ、電気用品が使用される環境に関連する危険源」
と記述している。
図表1 IEC Guide 104附属書Aが示す、直接被害を生じる危険源の概要
- A.4 電気的危険源からの保護より抜粋
漏えい電流、エネルギー供給、蓄積電荷、アーク、感電、発火によって生じる電気的危険源 - A.5 機械的危険源からの保護より抜粋
装置によって、装置に作用する予想される外力の影響によって、または特に不安定、運転中の故障、落下または射出された物、不適切な表面・端部・角、可動部、特に部品の回転速度にばらつきがある箇所、振動、不適切な部品装着等によって引き起こされる機械的危険源 - A.6 他の危険源からの保護より抜粋
- A.6.2 爆発
- A.6.3 電気、磁気、電磁場、その他の電離放射線/非電離放射線によって生じる危険源
- A.6.4 電気的、磁気的、電磁気的な擾乱、 A.6.5 光学的放射、 A.6.6 火災
- A.6.7 温度、 A.6.8 騒音、 A.6.9 生物学的/化学的効果
- A.6.10 有害物質の排出・生産・使用(e.g. ガス, 液体, 塵芥, ミスト, 蒸気)
- A.6.11 人の注意が行き届かない動作、 A.6.12 電源への接続、遮断
- A.6.13 装置の組合せ、A.6.14 崩壊、 A6.15. 衛生条件、 A.16. 人間工学原則の無視
また、電気用品・ガス用品などの製品から、消費者が直接危害を受けるリスクを低減するための安全設計の国際的な共通概念として、IEC Guide 51が提示したスリーステップメソッドが広く適用されてきた。スリーステップメソッドとは、①本質的な安全設計、②安全防護、③使用上の注意 の3つのステップでリスクを低減し、安全性確保の対策を行うものである。
- 本質的な安全設計:
危険源を除去し(使用者が接しない、接しても危害を生じない)、製品として成立するかを検討。または、故障やエネルギー供給停止時のフェールセーフ機能を設計。 - 安全防護:
本質的な安全設計で除去できない危険源に対し、リスクアセスメントに基づいて防護策を選定して適用。 - 使用上の注意:
製品を使用するにあたって知っておくことが必要とされる注意を作成し、使用者が理解できるように提示。また、残留リスクを明確に表示。
図表2 現在のスリーステップメソッドの概念
出典:「令和2年度産業保安等技術基準策定研究開発等事業
(電気用品等製品のIoT化等による安全確保の在り方に関する動向調査)」(以後、「調査報告書」)図表2-31
しかし、当連載第1回目の2.(2)でも述べたように、IoT化された製品の遠隔操作においては、安全規格などが今までカバーしてこなかった間接的な被害や、機器の近くにいる家族らに及ぼす直接/間接的な危害までを視野に入れる必要があるため、現在のスリーステップメソッドではこれらのリスク低減に十分に対応しきれないという問題が生じている。
第2回目である本稿では、ガイドラインがこの問題を解決するためにどのような新指針を提示したかについて詳しく解説したい。
2.ガイドラインが遠隔操作において新たに考慮したリスクおよび被害2.
ガイドラインでは、製品安全から見た遠隔操作のリスクとして、主に見えない位置からの誤操作・誤使用(なりすましによる不正な使用を含む)並びに遠隔操作に対する消費者の過信などによって増えるリスクを考慮している。
さらに、遠隔操作との兼ね合いでリスクを増大させる要因として、チャイルドロックのような「安全規格等でカバーされていない任意の安全向上機能(ガイドラインでは「予防安全機能」として定義。詳細は第3稿で解説。以後、「予防安全機能」)」の過信によって生じるリスクについても対象として考慮している。
さらに、上記のリスクがどのような被害を生じるかについては、ガイドラインでは安全規格などがカバーしていない間接的な被害として、次の2種類を考慮している。この中には、「1.で示した直接被害が間接的に発生するもの」と「1.で示した直接被害に含まれていない被害(例:熱中症、子供の溺れなど)が発生するもの」が含まれている。
- 遠隔操作された製品が、誰もいない自宅等で、周辺との干渉等により、間接的に火災や有毒ガス/化学成分の充満等を生じること
- 遠隔操作された製品が、宅内で近くにいる家族等に、熱中症、子供の溺れ、間接的な健康被害(めまい、吐き気、中毒等)、火傷等を生じること
3.スリーステップメソッドの概念拡張による「間接的な被害や遠隔操作によるリスク」への
ガイドラインが考慮している製品安全から見た遠隔操作のリスクを低減するためには、製品安全設計としては、次の3つの対応を組み合わせることが必要になる。
- (a) (遠隔操作に関わらず)直接被害のリスクをもともと低く抑える設計を行うこと
- (b) (遠隔操作に関わらず)間接的な被害のリスクをもともと低く抑える設計を行うこと
- (c) 遠隔操作によるリスク(直接被害、間接的な被害が混在)を低減する設計を行うこと
このうち(a)については、従来から安全規格などが遵守を求めてきた要求事項であり、既存の製品安全設計において十分な措置が講じられていることが前提となる。具体的には、人への危害を防止する最後の砦として機能する「安全機能」や、火傷を防止するための「温度制御機能」などの組み込みがこれに該当する。
(b)(c)については、以下でさらに説明を加える。
(1) 間接的な被害のリスクを低く抑える製品安全設計(上記(b)に該当)
2.で示した間接的な被害を生じるリスクを低減するためには、上記(a)に対する安全機能などとは異なる、安全規格などでカバーされていない新たな対策が必要になる。但し、「新たな」とは言っても、既存の電気用品/ガス用品などの製品に今までに全く組み込まれていなかったのかと言うとそういう訳ではない。チャイルドロックのように、一部の製品に組み込まれた実績を既に有する対策も存在している。
ガイドラインが指し示しているのは、遠隔操作を行う製品において、「予防安全機能」として定義した「間接的な被害のリスクを低減できる機能」を、より広範囲かつ積極的に製品安全設計に適用していこうという新しい方向性/変革であると理解しても良い。
他方で、安全規格などでカバーされていない予防安全機能は、これを遵守する安全機能ほどの高い信頼性を求められていないことを念頭に置く必要がある。いいかえると、消費者側が製造メーカーの想定を超えて、「予防安全機能があるから大丈夫」と過信して危険な操作を行う恐れがある。このリスクを防止するために、製造メーカーなどは「使用上の注意」で、この過信に対する注意喚起をすることを新たに求められるようになる。
ここまで説明してきた間接的な被害のリスクを低く抑える対策を「ステップ3」として追加することで、元来のスリーステップメソッドの概念を、間接的な被害への対応にまで拡張することができる。この概念拡張については図表3に取りまとめる。
図表3 間接的な被害等を含めたスリーステップメソッドの概念拡張
出典:「令和2年度産業保安等技術基準策定研究開発等事業
(電気用品等製品のIoT化等による安全確保の在り方に関する動向調査)」(以下、「調査報告書」)図表2-32
(2) 遠隔操作によるリスクを低減する製品安全設計(上記(c)に該当)
既に述べた通り、ガイドラインは製品安全から見た遠隔操作のリスクとして、主に見えない位置からの誤操作・誤使用(なりすましによる不正な使用を含む)ならびに遠隔操作に対する消費者の過信などによって増えるリスクを考慮している。
これらのリスクを生じる要因(以下に列挙)は多岐に亘るため、対策の範囲も幅広くなる。
【遠隔操作によるリスクを生じる要因の例示】 ※ 矢印の後のアルファベットは主に有効な対策を示す
- 遠隔操作すると危険な製品本来の機能(危険な部位が露出している) →(a)
- 人が近くにいない遠隔操作時の製品の過熱等(消費者が製品を直接操作できる近くにいることを前提に設計されている製品) →(a)
- 通信遮断・誤使用(なりすまし使用を含む)などにより、安全機能が動作不能 →(b)
- 通信遮断に伴う危険な動作 →(c)(d)
- 長時間の遠隔操作による危険な状態 →(d)
- 遠隔操作を行う人が意図しない、機器の近くにいる人にとって危険な動作 →(d)(f)(i)(j)
- 遠隔からの誤操作 →(c)(d)(e)(f)(i)
- 遠隔からの誤使用(なりすまし使用を含む) →(c)(d)(e)(f)(i)(j)
- 通信遮断・誤使用(なりすまし使用を含む)などにより、予防安全機能が動作不能 →(g)
- 遠隔操作による予防安全機能のOFF →(h)
- 遠隔操作による安全を維持している常時運転機能のOFF →(i)
- 遠隔操作できることへの消費者の過信(いつ何時でも遠隔操作できるという誤解) →(j)
- 予防安全機能が常に動作するという消費者の過信(製品のそばを離れるリスクがいつでも低減されているとの誤解) →(j)
ガイドラインは、これらの要因によって生じる遠隔操作のリスクを低減する対策として、次の10項目を提示している。このうち(a)~(e)は安全規格などでカバーされるスリーステップメソッドのステップ1/ステップ2/ステップ3に相当する対策、(f)~(j)は安全規格などでカバーされないステップ3に相当する対策として整理される。
(a) 遠隔操作の禁止:ステップ1
(b) 安全機能の分離・分割:ステップ2
遠隔操作を行う機器は、火災などの防止対策として、ヒューズなどのソフトウェアによらない安全機能を原則使用する。保護電子回路を使う場合でも、通信回線との分離を基本とするが、それができない場合、通信回線の通信部分と保護電子回路のソフトウェアをモジュールに分割する。
(c) 通常機能を兼ねる追加の予防安全機能:ステップ2
通常機能を兼ねる予防安全機能(通常機能(サーモスタットによる温度コントロール)による火傷防止など)に加えて、遠隔操作の安全対策として追加する、通信遮断後の安全状態の維持、通常の温度コントロールの上限より低い値での温度制限、遠隔操作でONされた機器の一定時間後の停止などの機能。これらの機能は、主として安全規格などでカバーされる対策または手元操作でも同様に制限されるものをいう。
(d) 手元優先・通信回線の切り離し:ステップ2
遠隔操作される機器の近くにいる使用者に間接的な被害のリスクがある場合、手元操作を優先。また、手元操作優先でもリスクを回避できない場合に備えて、通信回線の切り離しスイッチなどを設置。
(e) 誤操作・誤使用対策:ステップ3
操作結果のフィードバック、ダブルアクション、画面ロックなどの誤操作防止対策。操作者による遠隔操作の認証/認可、暗号化等による完全性/真正性対策。
(f) 間接的な被害の注意:ステップ3
遠隔操作によって生じる間接的な被害の注意喚起。機器/周辺の監視または遠隔操作中であることを受けて機器の近くにいる使用者に危険を知らせ、能動的な対応を促す機能や、機器/周辺の遠隔監視等に基づき遠隔操作者に危険を警告する機能を含む。
(g) 予防安全機能の分離・分割:ステップ3
予防安全機能のソフトウェアは通信回線との分離を基本とするが、それができない場合、通信回線の通信部分と予防安全機能のソフトウェアをモジュールに分割。
(h) 遠隔による予防安全機能のOFFの禁止:ステップ3
子供などが機器を動かせなくする仕組み(チャイルドロック、インターロック、給水ロックなど)の遠隔操作ON→OFFの禁止。
(i) 遠隔操作の制限:ステップ3
遠隔操作のリスクが増大する遠隔操作の機能に制限を設けること(例:建築基準法における24時間換気として動作している際には換気機能の遠隔操作を受け付けない)。なお、これらの対策は、安全規格等でカバーされない対策。
(j) 遠隔操作に対する過信の注意:ステップ3
- 予防安全機能が必ず働くという過信(消し忘れ防止機能があるために、機器をONにしたまま出かけるリスクなど)の注意喚起。
- 通常操作ができることの過信(出かけた後で機器を適切に遠隔操作するつもりだったが、通信遮断によって通常操作が不確実となり、機器の近くの使用者に熱中症等の危害を発生させるリスクなど)の注意喚起。
安全規格等でカバーされる(a)~(e)の対策のうち、(b)の「通信回線との分離・分割」と(e) の「完全性/真正性対策」は、2020年9月に公表されたIEC 60335-1第6版“Household and similar electrical appliances - Safety - Part 1: General requirements”で新たに追記された附属書Uに基づく要求事項であり、最新の国際基準から反映したものであることを指摘しておく。
上記の(a)~(j)の対策をステップ1~ステップ3に振り分け、安全規格などでカバーされている対策とそうではない対策に分類することで、スリーステップメソッドの概念をさらに「遠隔操作のリスク低減」に適合するように拡張することができる。この概念拡張について整理した結果を図表4に示す。
図表4 製品安全から見た遠隔操作のリスクに対応するためのスリーステップメソッドの概念拡張
出典:「令和2年度産業保安等技術基準策定研究開発等事業
(電気用品等製品のIoT化等による安全確保の在り方に関する動向調査)」(以後、「調査報告書」)図表2-33
4.ユースケース/リスクシナリオを通じた例示
3.でスリーステップメソッドを遠隔操作のリスクや間接的な被害を受けるリスクの低減に適用できるように拡張したことで、この考え方に基づき、電気用品/ガス用品などの製品の遠隔操作に対する定型的なリスク評価ができるようになった。具体的には、次の手順に従ってリスク評価を実施することになる。
i. 評価対象とする製品(または製品種別)に固有の遠隔操作リスクを想定
ii. ユースケース(製品の使い方)を想定し、リスクが発現するシナリオ(リスクシナリオ)を想定
iii. リスクを低減するための対策の組合せを、拡張されたスリーステップメソッドに基づいて提示
iv. i~ⅲに基づき、遠隔操作のリスク/間接的な被害を受けるリスクを十分に低減できるかについて定性的に評価
今回、ガイドライン検討と並行して実施した「遠隔操作に不向きな機器」と「遠隔操作を許容する機器」の分類の検討においては、例えば、電気ポットをどちらに分類するかが議論の対象となった。
この際に、実際に上記のリスク評価手順を適用して具体的に議論を行い、最終的には「遠隔操作を許容する機器」に分類するという結論を導出した。電気ポットにおいては、次の4つのリスクが論点になった。
- 遠隔操作による空焚きのために、火災が発生するリスク
- 遠隔操作で電気ポットをONにしたことで、蒸気口から上がった蒸気に幼児が触れて火傷するリスク
- 子供が内部に異物を入れたことを知らずに遠隔操作したことで、有毒ガスが発生するリスク
- 遠隔操作で電気ポットをONにしたことで、沸騰したお湯があふれて子供が火傷するリスク
この4つの論点について、実際に議論に用いたユースケース/リスクシナリオを図表5に示す。リスクを低減するための対策の組み合せを提示するにあたり、スリーステップのどのステップに属するか、どの対策種別に該当する対策なのか、また対策の組み合せにあたり同時に措置するのか/どちらかを措置すれば良いのかなどが明確になるような記載方法を工夫し、取りまとめを行った。
図表5 電気ポットの遠隔操作において論点となったユースケース/リスクシナリオの例
出典:「令和2年度産業保安等技術基準策定研究開発等事業
(電気用品等製品のIoT化等による安全確保の在り方に関する動向調査)」(以後、「調査報告書」)図表2-38
5.第3稿で解説する予定のテーマについて
次回の第3回では、消費者が電気用品/ガス用品などの製品から間接的な被害を受けるリスクを低減することを目的とし、ガイドラインが新たに定義した「予防安全機能」の詳細について解説する。
またガイドラインが、遠隔操作のリスクを低減するにあたり「使用者の能動的な行動の促進」を重視したことを踏まえ、予防安全機能を活用して使用者の能動的な行動を促す対策についても言及する予定である。
