1.はじめに
前稿ではスリーステップメソッドの概念拡張と、各ステップのリスク低減対策について解説したが、本稿ではこれを前提として、予防安全機能の詳細について説明したい。この説明を進めるにあたり、まずは「電気用品など製品自体の安全をさらに向上させる対策」の観点で考え方を整理した上で、この考え方を「遠隔操作の安全をさらに向上させる対策」に適合するように拡張していく。
またガイドラインが、遠隔操作のリスクを低減するにあたり「使用者の能動的な行動の促進」を重視したことを踏まえ、予防安全機能を活用して使用者の能動的な行動を促す対策についても述べる。
2.製品安全設計の現状 ~従来の安全機能/通常機能の範囲と安全規格など*のカバレージ
従来、「電気用品等製品自体の安全を向上させる対策」として安全規格などがカバーしてきたのは、直接被害のリスクを低減する対策のみである。直接被害に何が含まれるかについては、第2稿の解説をご参照いただきたい。
直接被害のリスクを低減する対策の中核は、スリーステップメソッドの第 2 ステップに分類される「安全機能」である。安全機能は、製品安全を確保するための最後の砦として装備されるものであり、安全規格などの要求に適合する必要がある。
一方で、安全機能以外の機能は、今までは製品の通常用いる機能(すなわち、「通常機能」)としてひとくくりで考えられてきた。その中には、安全規格などではカバーされない間接的な被害のリスクを低減する機能など、製品安全の向上に資する機能も含まれている(図1参照)。今回、ガイドラインではこの「製品安全を向上できる通常機能」に焦点を当て、詳しい掘り下げを行っている。
* 安全規格等とは、国際規格、JIS、法令基準などのことをいう。
図1 従来の安全機能/通常機能の範囲と安全規格等のカバレージ
3.製品の使用者の過信に着目
図1から分かるように、「間接的な被害のリスクを低減する機能」は、従来は製品の通常機能に含まれると考えられており、安全規格などの要求への適合も求められることはない。このため、当該機能は「ベストエフォート」で働く機能であり、使用条件や環境によっては動作しないことも想定される。
一方で製品を使用する消費者は、「間接的な被害のリスクを低減する機能」も安全規格などの要求に適合する安全機能と同じように、常に自分を安全に守ってくれると勘違いしがちである。これが製品の使用者の過信である。安全に関わる機能であるだけに、その過信は使用者の被害に直結する。
すなわち、使用者が過信することで、高いリスクが潜在してしまうことになる。今回のガイドラインでは、この過信に焦点を当てている。恐らくこの取り組みは、製品安全規格/ガイドラインとしては世界で初めての試みであろう。この観点からは、ガイドラインは世界最先端を行っていると言えるかもしれない。
「間接的な被害のリスクを低減する機能」を使用者が過信しないためには、製造メーカや流通事業者は、使用者に対して十分な注意喚起を行うことが必要である。このため、ガイドラインでは「使用上の注意(過信に注意)」という対策を導入し、製品安全の確保においてこの対策を適用するように求めている。
4.予防安全機能の概念のガイドラインへの導入
(1) 導入の経緯
ガイドラインの検討にあたり、遠隔操作においては直接被害と間接的な被害が明確に分離できない状態で混在しており、遠隔操作時に、例えば機器の近くにいる家族などが間接的な被害を受けるリスクが、実は傍観できないほど高いのではないかという問題意識が提起された。
また、間接的な被害に焦点を当てるのならば、安全機能の適用だけでは十分なリスク低減効果を見込むことができず、チャイルドロック・障害物自動回避・消し忘れ防止・沸騰検知時の蒸気発生の低減、転倒時の自動消灯・24時間運転停止時の自動復帰制御などの、従来製造メーカが任意で追加してきた「安全機能には含まれない付加的な安全向上対策」が、業界全体で広く適用されるように積極的に推奨すべきではないかとの提言が成された。
この提言を受けて、安全規格などを補完するものとして、ガイドラインに予防安全機能の概念が導入された。
(2) 「電気用品など製品自体の安全をさらに向上させる対策」としての予防安全機能の整理
ここではまず基本を整理するため、一旦遠隔操作は置き、「電気用品等製品自体の安全をさらに向上させる対策」の観点で予防安全機能の概念を整理してみる。図1に照らして考えれば、予防安全機能は基本的には「間接的な被害のリスクを低減する機能」にあたる。
この機能は安全機能には含まれておらず、安全規格などに適合することも求められていないため、ガイドラインで機能の適用を推奨する政策的な意義が生じる。「間接的な被害のリスクを低減する機能」としては、例えば以下のようなものがある。これらは狭義の予防安全機能と考えることができる。
- チャイルドロック
- 障害物自動回避
- 消し忘れ防止
- 沸騰検知時の蒸気発生の低減
- 電気スタンドの転倒時の自動消灯
- 24 時間運転停止時の自動復帰制御 など
その後ガイドラインの検討が進展し、「安全機能には含まれていないものの、直接被害対策として安全規格などでカバーされている機能」として、火傷防止などの温度コントロール(例︓サーモスタット)があることが分かったため、予防安全機能には「安全規格等への適合が求められるものの、安全機能には含まれない安全向上対策」が含まれるとの整理となった(図2参照)。
図2 予防安全機能の範囲と安全規格等のカバレージ
なお、製品の通常機能と予防安全機能の境界はあいまいであり、両者を明確に区別することは難しいというのが現在の考え方である。このため、火傷防止のための温度コントロール機能は「通常機能を兼ねる」予防安全機能として整理されている。
(3) 予防安全機能の概念拡張 ~遠隔操作のリスク低減対策としての整理
ここまでは「電気用品等製品自体の安全をさらに向上させる対策」の観点で、間接的な被害のリスク低減と、予防安全機能の概念の基本を整理してきた。以降ではこの整理をベースとして、予防安全機 能の概念を遠隔操作のリスク低減対策として適用できるように拡張する。
まずは、ガイドラインが予防安全機能をどのように定義しているかを以下に示す。この定義から考察するに、ガイドラインは例えば次のような被害・危害を、予防安全機能によって低減することを念頭に置いているものと考えてよい。
- 遠隔操作により起動された機器が周辺の環境と干渉して生じる、間接的な出火による火災
- 遠隔操作により起動された機器が、近くにいる家族に直接または間接的に生じさせる、火傷、熱中症、子供の溺れなどの危害 など
ガイドラインにおける予防安全機能の定義
遠隔操作機構の操作者の過信や誤操作によって生じる被害や遠隔操作された機器の近くにいる
使用者に及ぼす危害に対して、防止又は低減できる機能
また、ガイドラインでは、予防安全機能の主な例を提示している(表1参照)。
表1 ガイドラインによる予防安全機能の例示
ガイドラインの記述 | 筆者の解釈・例示 | |||||
|---|---|---|---|---|---|---|
1 | 付加的に、又はオプションとして選択し、使用者(機器の近くにいる人)への危害を防止または低減する機能 | 子供などが機器を動かせなくする仕組み、この仕組みを遠隔操作でOFFできなくする機能等 | ||||
2 | 遠隔操作者の過信/誤操作/誤使用によって生じる直接被害/間接被害や、遠隔操作が使用者(機器の近くにいる人)に及ぼす不意の危害を、防止または低減できる機能 | 例:遠隔操作でONされた機器を、一定時間後に停止させる機能、遠隔操作のリスクが増大する遠隔操作機能に制限を設けること(建築基準法における24時間換気として動作している際には換気機能の遠隔操作を受け付けない)、24 時間運転停止時の自動復帰制御、沸騰検知時の蒸気発生の低減、異常を検知して機器を停止(制限)させる機能と通信回線を分断など | ||||
3 | 遠隔操作中であることの表示や機器の周辺などの安全を確認するシステムが、使用者(機器の近くにいる人)に対する警報も含めて、操作者及び使用者(機器の近くにいる人)に対応を依頼して遠隔操作時のリスクを低減する機能 | 例:危険を知らせるブザー、使用者が傍らにいることを検知して遠隔操作者のスマートフォン画面に危険を表示する機能、誤操作(なりすましを含む)であることを推定し、使用者に手元操作機器をOFFする/通信回線から切り離すように促す機能 | ||||
4 | 遠隔操作する機器以外に周辺などの安全を確認するシステムが、遠隔操作時のリスクを回避/低減する制御/ロック機構などを自動的に作動させる機能 | 例:インターロック、給水ロック | ||||
5 | 内蔵される検知機能又は組み合わせて使用する外部の検知器が、機器の近くにいる操作者が機器のそばを離れたことや周辺の変化を検知したら、機器を安全に停止させる機能 | 外部の人感センサーが無人を感知し、機器を自動的に停止させる機能 | ||||
6 | 先進技術とソフトウェアを取り入れたベストエフォートの制御により、機器自らの判断で機器の近くにいる操作者・使用者への危害を防止、または低減する機能 | 今後のハイテクな安全向上機能、AI を取り入れた安全向上機能など。特に後者は、クラウドサ ービスとの連携を想起させる。 | ||||
(4) 遠隔操作の安全をさらに向上させる予防安全機能 ~詳しい分類について
予防安全機能は、図2で示したように安全規格などがカバーしているものとそれ以外に分類できる。この構造は、「遠隔操作の安全をさらに向上させる」場合であっても、「電気用品など製品自体の安全をさらに向上させる」場合であっても、本質的には変わることはない。但し、「遠隔操作の安全をさらに向上させるための予防安全機能」はより多岐多様に亘っている。
調査報告書の図表 2-12 からその対策機能を抜粋すると表2のようになる。
表2 遠隔操作の安全をさらに向上させる予防安全機能
安全規格などの基準 | 予防安全機能の分類 | 適用例 | 電気用品など製品自体の安全をさらに向上させる予防安全機能との関係 | |
|---|---|---|---|---|
あり | 通常機能を兼ねる追加の予防安全機能: | 通信遮断後の安全状態の維持 | - | |
通常の温度コントロールの上限より低い値での温度制限 | - | 通常機能を兼ねる予防安全機能(火傷防止のための温度コントロール機能)の強化 | ||
遠隔操作で ON された機器の一定時間後の停止 | - | |||
なし | 間接的な被害の注意: 遠隔操作によって生じる間接的な被害の注意喚起(機器/周辺の監視又は遠隔操作中 であることを受けて機器の近くにいる使用者に危険を知らせて、能動的な対応を促す機能や、機器/周辺の遠隔監視などに基づき遠隔操作者に危険を警告する機能を含む) | 使用者が傍らにいることを検知して遠隔操作者のスマートフォン画面に危険を表示、危険を知らせるブザー | 狭義の予防安全機能だけでは低減が難しい遠隔操作のリスクを中心として、遠隔操作者や使用者に注意喚起(および能動的な対応を促す) | |
予防安全機能の分離・分割: 予防安全機能のソフトウェアは通信回線との分離を基本とするが、それができない場合、通信回線の通信部分と予防安全機能のソフトウェアをモジュールに分割 | 異常を検知して機器を停止(制限) させる機能の分離・分割 | 狭義の予防安全機能を、遠隔からの誤使用(なりすまし操作を含む)から護る | ||
遠隔による予防安全機能の OFF の禁止: 子供などが機器を動かせなくする仕組み(チャイルドロック、インターロック、給水ロックなど)の遠隔操作 ON→OFF の禁止 | 狭義の予防安全機能を遠隔操作で切らせない | |||
遠隔操作の制限: 遠隔操作のリスクが増大する遠隔操作の機能に制限を設けること | 温度制限機能 (手元操作では制限されないが遠隔操作では制限される) 建築基準法における24時間換気として動作している際には換気機能の遠隔操作を受け付けない | 狭義の予防安全機能だけでは低減が難しい遠隔操作のリスクを中心として、手元操作よりも遠隔操作の範囲を狭めることでリスクを低減 | ||
出典︓「令和2年度産業保安等技術基準策定研究開発等事業(電気用品等製品の IoT 化等による安全確保の在り方に関する動向調査)」(以後、「調査報告書」)図表 2-12
ここで、「遠隔操作の安全をさらに向上させる」ための予防安全機能は、「電気用品等製品自体の安全をさらに向上させる」ための予防安全機能との関わりにおいて、基本的に次の3つに分類することができる。
i.「電気用品等製品自体の安全をさらに向上させる」ための予防安全機能を不適切に停止させず、動作をしっかりと継続させるための対策
ii.「電気用品等製品自体の安全をさらに向上させる」ための予防安全機能だけでは低減が難しい遠隔操作のリスクを、効果的に低減させるための補完的な対策
iii.「電気用品等製品自体の安全をさらに向上させる」ための予防安全機能とは関りのない新たな対策(通信遮断後の安全状態の維持、遠隔操作で ON された機器の一定時間後の停止)
上記の関係も踏まえながら、「遠隔操作の安全をさらに向上させる」ための予防安全機能の範囲と、安全規格などのカバレージについて図3に取りまとめた。
図3 遠隔操作の安全をさらに向上させる予防安全機能の範囲と安全規格などのカバレージ
なお、図中に「通信回線との分離・ソフトウェア分割(なりすまし使用を含む誤使用対策等)」という記述が見られるが、「通信回線との分離」は異常発生時に安全機能や予防安全機能を防護するため遠 隔操作に依存する機能をこれらの機能から切り離すことを、そして「ソフトウェアの分割」は通信回線を用いた遠隔通信を制御するソフトウェアと安全機能/予防安全機能のソフトウェアをモジュールに分割することを、それぞれ示している。
これらの詳細については、次稿(第 4 稿)で詳しく述べる。
「遠隔操作の安全をさらに向上させる」ための予防安全機能は多岐・多様に亘っているため、自分が安全設計で適用しようとしている機能が表2のどの分類に属しているのかを正確に判断することは、実は結構難しい。
例えば、だいたいの機能が「遠隔操作の制限」であるような気がしてしまうものである。1つ例示してみると、「異常時に遠隔操作者に危険な操作を警告して止めさせる機能」は、遠隔操作を制 限しているように見えるが、分類上は「間接的な被害の注意」となる。
このような困難な状況を踏まえ、調査報告書では図表 2-13 で「予防安全機能の分類のための判断基準」を示している。本稿では、これをさらに分かりやすくロジックダイアグラムの形にまとめて図4に提示したので、ご参考にしていただきたい。
図4 遠隔操作の安全をさらに向上させるための予防安全機能の分類ロジック
5.予防安全機能に対する過信と遠隔操作に対する過信
3.で「間接的な被害のリスクを低減する機能」に対する使用者の過信について述べたが、ここでは「遠隔操作に対する過信」について触れておきたい。
「遠隔操作に対する過信」とは、例えば遠隔操作をする消費者が、「遠隔操作機構があればいつでも、ど こにいても機器を安全に停止させることができる」と信じ込んでしまうことである。実際には公衆の通信回 線に不意の大規模障害が発生することはありうるし、宅内の通信機器が故障することもありうるので、遠 隔操作者の意図に反して「不都合に」遠隔操作が実行できないことはありうる。
「機器を ON にしたまま外出し、後から遠隔操作で機器を OFF にしようと考えていると、遠隔操作がどうしても効かず、自宅に誰もいないために機器を止めることもできなくて、火災になってしまった」といったような事故が発生してしまうと、後から取り返しがつかない。このように、「遠隔操作に対する過信」には顕著なリスクが存在している。
実はこの「遠隔操作に対する過信」のリスクは、ガイドライン制定の契機ともなった重要な論点の1つである。従来から、製品評価の専門家などが強く認識してきた課題であり、今回のガイドラインでもこれに対 する対策として「遠隔操作に対する過信の注意」が組み込まれている。
3.でも述べたように、消費者の過信を重要なリスクと捉えて重視し、国のガイドラインでその対策を明記したことは、恐らく世界でも初めての試みである。製品安全設計において、我が国が世界に先駆けてこの課題克服に取り組むことは、とても意義のあることだと考えている。
なお、ガイドラインは「電気用品等製品自体の安全をさらに向上させる狭義の予防安全機能に対する過信」への対策は求めているが、「遠隔操作の安全をさらに向上させる予防安全機能に対する過信」へ の対策までは言及していないことをここで附記しておく。
6.遠隔操作者・使用者の能動的な行動の促進
遠隔操作のリスクを低減する際には、遠隔操作者・使用者に能動的な行動を促すことの重要性が増す。例えば、次に示すような能動的行動を促すことが考えられる。
予防安全機能のうち「間接的な被害の注意」は、異常発生時に遠隔操作者・使用者に能動的な行動を促すための「システム化された警告・警報等の手段」として重要な意味を持っている。
【遠隔操作者・使用者に促す能動的な行動の例】
- 通常状態での製品使用時︓
機器の近くにいる人に危害を与えるような過信、誤操作、誤使用をしないよう注意して使う。 - 製品に異常が発生した時︓
警告・警報に基づき、機器の近くにいる使用者が手元操作や通信回線の切り離しを能動的に行う。
警告・警報に基づき、遠隔操作者が自ら危険な遠隔操作を中止する/取り消す。 - 出荷後のソフトウェアアップデート時︓
使用者が、ソフトウェアダウンロード/アップデートを能動的に行う。
このため、ガイドラインでは「遠隔操作のリスク低減には遠隔操作者・使用者の能動的な行動が重要」という認識を明確に示し、能動的な行動を促すための指針を提示している。具体的には、以下に示すような趣旨の要求が示されている。
【ガイドラインの記載】
機器の遠隔操作を行う場合、過信、誤操作、誤使用、機器の近くにいる使用者などへ不意に危害を与えないよう、以下の対応が必要。
- 使用条件、使用上のリスク・注意点、異常通知があった場合に取るべき対応(手元操作の優先、近くにいる使用者による通信回線切り離し)についての遠隔操作者・使用者への情報提供
- ソフトウェアアップデート時の注意などについての遠隔操作者・使用者への情報提供
- 使用者への能動的な行動を促す要求事項の明確化
(1) 通常の遠隔操作時及び異常発生時について
通常の遠隔操作時においては、機器の使用上の注意として「使用条件、使用上のリスク・注意点」を遠隔操作者・使用者に情報提供することに加えて、ガイドラインでは「機器のセキュリティ性能についての提供条件」を示し、これを提供する手段を確保することを求めている。
一方、遠隔操作によって機器に異常が発生した場合には、ガイドラインでは、遠隔操作者・使用者に異常を通知する手段を確保するとともに、手元操作の優先や近くにいる使用者による通信回線切り離しなどの取るべき対応について情報提供することを求めている。
この際のポイントは、遠隔操作者・使用者が能動的な行動を行う上での①知識、②契機となる警報、③行動手段 を情報提供することであると言える。以下に、ガイドラインが提示した情報提供の例を示す。
- 遠隔操作中に遠隔監視できなくなった場合(通信異常など)、能動的な行動を行う上でどのような点に注意すべきか(例︓機器が自動的に停止する旨など)についての情報提供
- 不正アクセスを含む通信故障が発生したことの警告や、これに対して能動的な行動を取るための手段についての情報提供 など
さらに、機器の近くにいる使用者が能動的に行動しやすいように、容易な通信回線の切り離しや手元操作を優先する仕組みを徹底することも求められている。
(2) 出荷後のソフトウェアのダウンロード/アップデートについて
使用者に能動的な行動を求めていく上でのもう1つの重要な要素として、使用者によるソフトウェアのダウンロード/アップデートがある。使用者が能動的にソフトウェアダウンロード/アップデートを実施することを促すために、ガイドラインでは以下に示すような対応を求めている。
ここで第4項目の実現にあたっては、予防安全機能(間接的な被害の注意)を適用していくことが期待される。
- 遠隔操作者に必要な情報を提供する手段を確保すること
- 機器のソフトウェアアップデートに係る提供条件を情報提供すること
- 機器のソフトウェアアップデートの提供方法(アップデート手順などを含む)を情報提供すること
- 使用者自身がソフトウェアダウンロード/アップデートを実施するにあたり安全に行動できるように、情報提供に加えて、異常発生や不適切な遠隔操作への警告を行うとともに、異常発生時に使用者などの安全を確保する対策を適用すること
なお、機器の特性などによっては、やむを得ず、ソフトウェアのアップデートができない「通信回線への接続を構成するデバイス」が機器内に組み込まれている場合がある。当該デバイスに潜在するソフトウェア脆弱性に対応できるようにするため、ガイドラインは製造事業者が製品の修理・メンテナンスを行う際に、当該デバイスを分離・交換できるようにすることを求めている。
また、遠隔操作者に対し、交換時期を情報提供することも要求している。交換時期を遠隔操作者に伝えるのは、遠隔操作者の能動的な行動を促すためと解釈することもできそうである。
7.第4稿で解説する予定のテーマについて
次回の第4稿では、安全と情報セキュリティの接点となる「安全機能や予防安全機能の通信回線との分離・分割」「誤使用(なりすまし操作を含む)」「ソフトウェアの適正なアップデート」について、ガイドラインがどのような定義・概念整理を行い、どのような対策を求めているかについて解説する予定である。