「仮想通貨」発売

virtualcurrency

岡田仁志先生、山崎重一郎先生とともに、「仮想通貨」という本を著しました。

東洋経済より発売になります。

(http://store.toyokeizai.net/books/9784492681381/)

電子マネーの時は、いろいろな法律分析もなされて、興味深かったところですが、仮想通貨は、わが国では、特に法律家には、その分析は、スルーされているように思えています。

自分としては、電子商取引(特にサイバーペイメント)は、研究領域の一つなのですが、いままでに業績を残してなかったので、今回は、きちんと、残せたように思えます。ご購入等いただけると幸いです。

医療機器・ヘルスソフトウエアの前提知識

医療機器を考える時に、ヘルスソフトウエアの概念をみておくといいです。
ヘルスソフトウエアというのは、「パソコン、タブレット端末、モバイル端末等の汎用(非医療用)コンピューティングプラットフォームで実行可能な健康・医療等の目的で使用するソフトウェアのうち医薬品・医療機器等法の規制対象とならないソフトウェア」をいいます。

で、医薬品・医療機器等法の規制対象って何となります。

「医療機器プログラム( 医療機器のうちプログラムであるもの)」(同法2条13項)という概念があります。これに関して「プログラムの医療機器への該当性に関する基本的な考え方について」(薬食監麻発 1114 第5号)があって、
(1)プログラム医療機器により得られた結果の重要性に鑑みて疾病の治療、診断等にどの程度寄与するのか。
(2)プログラム医療機器の機能の障害等が生じた場合において人の生命及び健康に影響を与えるおそれ(不具合があった場合のリスク)を含めた総合的なリスクの蓋然性がどの程度あるか
というので、医療機器という認識がされます。なので、機器といっても有体物である必要はないのです。deviceの訳なのでしょうか。

そして、医療機器は、機器の種別ごとに分けられています。これは、国際医療機器名称GMDN (Global Medical Device Nomenclature) を積極的に取り入れたもので、日本医療機器名称JMDN (Japan Medical Device Nomenclature)とされています。

一般医療機器(クラスⅠ)
「(略)人の生命及び健康に影響を与えるおそれがない」(医薬品医療機器等法第二条第7項)
管理医療機器(クラスⅡ)
「人の生命及び健康に影響を与えるおそれがあることからその適切な管理が必要なもの」(同第二条第6項)
高度管理医療機器(クラスⅢ、Ⅳ)
副作用又は機能の障害が生じた場合(適切な使用目的に従い適正に使用された場合に限る。次項及び第七項において同じ。)において、人の生命及び健康に重大な影響を与えるおそれがあることからその適切な管理が必要なもの(同第二条第5項)
ということですね。そして、その種別ごとに、生命・健康に影響を与える恐れに対する対応が区別されています。

医療機器におけるサイバーセキュリティの確保について

「医療機器におけるサイバーセキュリティの確保について」という文書がでています。

(https://www.pmda.go.jp/files/000204891.pdf)

スケートボードの脆弱性分析が好評だったようですが、この文書も実は同じ意味をもっているように思います。

ここで、この文章の「サイバーセキュリティ」への論じ方だけをみて、記述として関心のレベルが、まだ、本格的なものになっていないよねという見方も一つの見方だとは思います。

ただし、これは、発行しているのが、PMDA(医薬品医療機器総合機構)というところである、というところに重点をおいてみることができます。PMDAの役割を見ると、自動車の安全性における(独)交通安全環境研究所リコール技術検証部かなと思います。

医薬品医療機器等法は、「危害の防止」(同法68条の9)で医療機器又は再生医療等製品の使用によつて保健衛生上の危害が発生し、又は拡大するおそれがあることを知つたときは、これを防止するために廃棄、回収、販売の停止、情報の提供その他必要な措置を講じなければならない。そして、その危害防止のために回収を行った場合には回収に着手した旨及び回収の状況を厚生労働大臣に報告しなければならない(「回収の報告」(同68条の11)という立て付けになっています。
ソフトウエアとの関わりと医療機器との関係は、こんな感じになります。

ソフトウエアの活用されている 医療機器 許認可 審査機関
クラスⅢ(高度管理医療機器) 手術用ロボット 承認 PMDA((独)医薬品医療機器総合機構)
放射線治療シミュレータ
クラスⅡ(高度管理医療機器) MRI装置 承認または、認証 PMDAまたはRCB(第三者登録認証機関)
CT装置
X線診断装置
超音波画像診断装置 など
クラスⅠ(一般医療機器) 画像診断用イメージャ(CRなどのデジタル画像を取り込んでフィルム上で再生) 届出 自己認証
血球計数装置
血液検査機器
その他(非医療機器) Personal Health record システム
電子カルテ
医事会計システム

でもって、このような枠組みのなかで、「サイバーリスクについても既知又は予見し得る危害としてこれを識別」する(上の書類の「基本的な考え方」の表現で、脆弱性が、PMDAの心配する管轄にはいるよ)という宣言と読んでいます。すると、スケートボードで、人がけがしても、脆弱性は、うちらが、やりますよ、というJVNのアナウンスのカウンターパートだよね、という見方もできます。
このように考えると「保健衛生上の危害が発生し、又は拡大するおそれ」となるのは、いつ、どのように評価するべきなの、というのが、これからの問題になりますね。このような分析を、IoTのTごとにみていかないといけない、ということになるかと思います。

金融・電力などサイバー攻撃報告義務…政府素案

「金融・電力などサイバー攻撃報告義務…政府素案」という報道がでています。(http://www.yomiuri.co.jp/it/20150501-OYT1T50144.html)
サイバー攻撃についての情報共有については、乗り越えるべきたくさんの問題があります。

(1)仕組みのインセンティブ設計
仕組みのインセンティブを考慮しないと「サイバー攻撃」をなかったことにする誘因になること
(2)サイバー攻撃の定義
そもそも、「サイバー攻撃」について、物理的被害を基準としたタリンマニュアルの定義にそろえるべきではないかということ
なお、
タリンマニュアル ルール30
サイバー攻撃は、サイバー作戦であって、攻撃であれ、防御であれ、人の傷害または生命の喪失、または、対象物の損壊または破壊を引き起こすと合理的に予期されうるものをいう。
といってます。

(3)企業の守秘義務免除
企業の営業秘密・個人情報漏洩責任からの免責をさだめないといけないこと
(4)分析
情報の分析官を政府のサイバー諜報機能に統合すること
(5)インテリジェンスの共有
分析されたインテリジェンスを企業と共有する際に、クリアランスを設定すること

などでしょうか。
詳しい分析は、そのような機会を待つことにしましょう。