医機連から公開されたIEC 62304適用に関する質疑応答集（Q&A）

医機連（一般社団法人日本医療機器産業連合会）が2017年5月17日に厚労省から発出された『医療機器審査管理課長通知：医療機器の基本要件基準第12条第2項の適用について』の運用に関する留意点について，質疑応答集（Q&A）を公開した。

ようするに，IEC 62304(JIS T 2304)への適用に関する通知が5月17日に厚労省から出たが，その通知だけではよく分からない点があるので，業界の総意として質疑応答集（Q&A）を公開したということである。

『医療機器審査管理課長通知：医療機器の基本要件基準第12条第2項の適用について』では，2017年11月25日から適用される医療機器の基本要件基準(平成17 年厚生労働省告示第122 号)の第12 条第２項の規定（プログラムを用いた医療機器に対する配慮）に適合するためには，基本的に JIS T 2304（IEC 62304）に適合することや，薬事申請時に JIS T 2304 への適合性を説明する資料の記載事例などが説明されている。

医機連から公開された 質疑応答集（Q&A）は，この厚労省通知だけでは，実運用上不明な点をクリアにするために作成された。

医機連（一般社団法人日本医療機器産業連合会）は保健・医療用の用具、機器、器材、用品等の開発、生産、流通に携わる事業者団体の参加のもと、1984（昭和59）年2月に設立された，医療機器系の業界団体の元締めである。

今回発行された質疑応答集（Q&A）は，医機連の法制委員会配下の医療機器プログラム対応WGで策定したものだ。

機能安全規格である IEC 61508 や IEC 26262 と IEC 62304（医療機器ソフトウェアーソフトウェアライフサイクルプロセス） の違いは，IEC 62304 は各国の医療機器規制に付随する基準の適合確認のために使用される点である。

そのため，企業から見れば，その規格に適合（当該規格への適合が絶対条件ではないが・・・）していないと商品を売れなくなるかもしれないため，規格の運用についても詳細なルールが必要だ。

2017年5月17日に発出された厚労省通知だけでは，その詳細な運用ルールが分からないところがあるので，通知の行間を埋める質疑応答集（Q&A）が必要となる。

例えば，IEC 62304(JIS T 2304)は IEC版では2006年版と2012年版があり，JIS では 2014年版と2017年版がある。初版と追補版の二種類が存在する。医療機器の基本要件基準第12条第2項では，「最新の技術に基づいたライフサイクルプロセス」への適用を求めているため，新しい方の規格の方に適合する必要がありそうだが，旧規格からの移行期間はあるはずだ。前述の厚労省通知には規格の版については何も書いていない。しかし，初版の移行期限はいつかがはっきりしないと運用ができない。

そこで，今回，質疑応答集（Q&A）で，移行期限は 2022 年 2 月 28 日までの移行を推奨とするという見解が示された。

また，本ブログでも取り上げた『汎用ソフトウェア製品（製品開発プロセス）は IEC 62304(JIS T 2304) に適合できない』についても，医機連の見解が下記のように示された。

Ｑ０２：医療機器に搭載する OTS（off-the-shelf、市販されている既製の)ソフトウェアについても、第 12 条第 2 項への適合を示す必要がありますか。

Ａ０２：基本要件基準第 12 条第 2 項は、プログラムを用いた医療機器に対する要求事項を規定したものであり OTS 等を含むプログラム全体として JIS T 2304 への適合を示すことが求められます。なお、医療機器を構成する個々のプログラムの構成要素（製造販売業者の開発品や OTS など）を個別に適合を確認することは求めていません。

これにより，医療機器が搭載するOTS（off-the-shelf、市販されている既製の)ソフトウェアに対して IEC 62304 の個別の適合は求めていないことがはっきりした。

なぜ，OTS（off-the-shelf、市販されている既製の)ソフトウェアが単独で IEC 62304 に適合することが規格の趣旨を逸脱している（規格が本質的に何を目指しているのかを理解していない）のかについては，『汎用ソフトウェア製品（製品開発プロセス）は IEC 62304(JIS T 2304) に適合できない』を読んでいただきたい。

IEC 61508 や IEC 26262 は各国の法規制の要件にはなっていないと思う。そのせいかもしれないが，これらの機能安全規格は OTSの開発プロセスに対する規格の適合を推奨している。

規格が規制に使われる場合，できているかいないかが，法に適合しているかどうかの判断材料になることがある。よって，規格の適合が努力目標では済まない場合もあるし，製造業者の法的な責務となるケースがある。

IEC 62304 の場合，医療機器製造販売業者に対する責務という側面があり，OTSソフトウェア供給者はその責務を直接負うことができないため，OTSソフトウェアの単独認証が意味がないという面もある。業界の構造やサプライチェーンのしくみが根本的に違うから，そういった相違が生まれるのかもしれない。

ちなみに，医薬品，食品，医療機器，化粧品などの分野でレギュレトリーサイエンスという分野の科学が検討されつつある。（レギュレトリーサイエンス学会のサイト）

【レギュレトリーサイエンスとは】

レギュラトリーサイエンスとは我々の身の回りの物質や現象について、その成因や機構、量的と質的な実態、および有効性や有害性の影響をより的確に知るための方法を編み出し、その成果を用いてそれぞれの有効性と安全性を予測・評価し、行政を通じて国民の健康に資する科学です。

言わば規制の有効性や規制がもたらす安全性を科学しようという取り組みだ。医療や食品だけに有効な科学ではないだろうから，他の業界にも広がっていくのかもしれない。

いずれにせよ，医療機器ドメインでは医機連から質疑応答集（Q&A）が発行されたことで，今後は IEC 62304 への適合を単独で示すOTSソフトウェアは出てこないだろうと思う。

組込み機器のサイバーセキュリティどこまでやればいいか考える際の3つの視点

組込み機器のサイバーセキュリティ，どこまでやればいいのか判断するのが難しい。

商品の価値という目で見れば，多くの組込み機器に取ってサイバーセキュリティは潜在的価値（=ユーザーにとって当たり前に出来ていて欲しいこと）なので，できればコストをかけずに達成したい。

一方で，悪意を持ったハッカーは何をやってくるのか分からないと考えると，最悪のケースが次々を浮かんできて，どこまでサイバーセキュリティの対策をやればいいのか見当が付かない。

組込み機器のサイバーセキュリティはどこまでやればいいのかは，１つの視点だけで考えていたら答えがでないような気がする。

そこで，「1. 危害の大きさ」「2. 悪用の可能性」「3. 製品のライフサイクル」の3つの視点で，どこまでやればいいのか，最低限のハードルはどこかを考えてみる

1. 悪用による危害の視点

マルウェアや悪意を持ったハッカーの攻撃で，機器が受ける危害の大きさを考えてみる。サイバー攻撃による危害は情報セキュリティの3要素であるCIA（Confidentiality:機密性，Integrity：完全性，Availability：可用性）の侵害で考えるとよいのではないかと思う。

例えば，可用性の侵害とは，機器が使えなくなるとどんな困ったことになるかを考える。重要な機器ほど動かなくなると大変だ。例えば，ペースメーカーや人工呼吸器などの生命維持装置の可用性が侵害されたら，患者の死につながる。でも，個人のPCが感染して使えなくなっても人は死なない。その人の仕事ができなくなるだけだ。ただ，事務所中のPCが感染すると事務所の仕事が止まるので，危害は大きくなる。できるのかどうかは別にして使えなくされたらどんな影響があるのかを考えるのが可用性の侵害だ。

完全性の侵害とは，機器内部の情報が改ざんされるとどんな困ったことになるかを考える。重要な情報，例えば，検査装置の診断結果が「治療が必要」だったのが「正常」に改ざんされると，必要な治療が行われなくなる。事務に使っているPCで送ったメールの内容が変えられてしまったら，業務に支障がでるかもしれない。以前，PCを遠隔操作されて，本人の意思とは無関係に脅迫メールを送ったとして誤認逮捕された事件があった。改ざんや成りすましによる影響を考えるのが，完全性の侵害だ。

機密性の侵害とは，機器が扱う情報が外部に流失してしまうと，どんな困ったことになるのか考える。企業にとっては，情報の流失は信用の低下を招くので，機密性の侵害を重要視する製品もあるだろう。例えば，企業内で使用するネットワークプリンタなどだ。個人情報を扱わないなど機器が保持する情報がそれほど重要でなく，流失してもさほど大きな危害には至らない機器もあるかもしらない。機密性の侵害を，可能性や完全性の侵害よりも低いと考える考え方もあるが，情報が漏洩してしまったときの企業の社会的評価の低下を重要視する場合もある。

このように，悪用の可能性をひとまず考えずに，悪用されてしまったとして，機器のCIAの侵害を評価すると，起きてしまったときの影響の大きさを推察することができる。影響が大きければ大きいほど，確実な対策が求められる。もしも，CIAの侵害が起こらないことを証明できれば，サイバーセキュリティの対策は終わりにできる。

CIAの侵害が起こらないと言い切れないのであれば，「悪用の可能性」を考慮しなければいけない。

2. 悪用の可能性の視点

悪用の可能性では，まず，侵入の経路を分析する。IoTというとネットワークに接続されることが前提なので，侵入経路はあるのだが，ネットワーク接続やポータブルメディアのインタフェースを持たない組込み機器もあるので，そういった機器は悪用の可能性が極めて低い。（ROMを引っ剥がすといった可能性もあるのでゼロとは言えないが）

よって，侵入経路がない，または侵入経路を施設のゲートウェイが抑えているといった場合は，悪用の可能性が低くなるので，ハードルを下げられるかもしれない。しかし，サイバーセキュリティの場合，悪意を持ったハッカーが攻撃の意思を持っていると，可能性が低くてもチャレンジしてくる可能性があるため，悪用可能性が低いから対策しなくていいとはなかなか言い切れない。

例えば，汎用OSで既知の脆弱性がある場合，その脆弱性のパッチを当てていなければ，悪用される可能性は高いし，使っていない TCP/IP のポートが開いていればこれまた悪用の可能性は高まる。悪用の可能性を低くできるならば，コストが許す限り低くした方がよい。

なお，機器の外部環境に条件を付けることで，悪用の可能性を低くすることができる。例えば，施設内のネットワークとインターネットとの間にゲートウェイを設置してもらい，ゲートウェイで不審な通信をカットしてもらうようなケースだ。このような場合，機器のセイバーセキュリティのための環境条件が守られていないと，悪用の可能性が上がってしまうことをユーザーにアピールする必要がある。

また，ネットワーク接続があっても，RTOSを使い，プログラムがリードオンリーの領域でしか動かないならば，これまた悪用の可能性は下がる。ネットワーク経由でプログラムを書き換える機能を持たない，動的メモリ上でタスクが動かないなら，その機器が踏み台になる可能性はあっても，機器自体が発症する可能性はない。

ちなみに，ホワイトリスト式のアンチウイルスソフトウェアを搭載する行為もそれに似ていて，ホワイトリストに載っているアプリやサービス以外は動かないという設定にしておけば，マルウェアが機器上で発症することができなくなる。

脆弱性が多い機器は，悪用の可能性が高く，悪用の可能性が高い機器は，それだけ対策もたくさん取らなければならない。汎用性の高いOSを使っている機器は，結果として悪用可能性も高くなってしまう。

3. 製品のライフサイクルの視点

製品を市場に出す前と出した後の視点で考える。市販後に用意にソフトウェアをアップデートできるならば，市販前の対策はそれほどやらなくてもいいかもしれない。OTS（商用で即利用可能なソフトウェア製品）を使っている場合は，既知の脆弱性，未知の脆弱性があるので市販前も市販後もどっちも対応が必要になるかもしれない。

Windows や Linux には多くの脆弱性が見つかるので，市販前に分かっているぶんはパッチの適用が必要だし，市販後に発覚した場合は，パッチを当てる必要があるかどうか判断して実行する。

パッチが当てやすくなっていたとしても，全部やる必要があるかないかは，1の危害の重大度と2の悪用の可能性で評価するしかない。

脆弱性が見つかりにくいマイナーなOSを使っていれば，市販後の対応もほとんどなくなる可能性はある。

セキュリティインシデントが起こってしまった後に対応すれば済む場合は，市販前にはコストのかかる対策は行わずに，市販後に対応について準備をしておけばいいかもしれない。セキュリティインシデントが起こってしまうと取り返しが付かないような製品には，市販前の対策を十分にとって，悪用の可能性を低くしておかなければいけない。

「1. 危害の重大度の視点」「2. 悪用の可能性の視点」「3. 製品のライフサイクルの視点」の3つは，それぞれ関係性があってややこしいが，まずは，他の視点こ考慮せずに，それぞれの視点で組込み製品のサイバーセキュリティを評価してみて，その上で，どの対策をするとどこの影響を抑えることができるのかを考えてみたらどうだろうか。

組込み機器の情報セキュリティは何のため？

組込み機器の情報セキュリティの対応に対するモチベーションがなかなか上がらない。誰のために何のためにやっているんだろうと自問自答し，さらに，どこまでやればいいのか見当が付かないためやる気が起こらない。

そもそも，悪意を持ったハッカーなんかが居なければ，セキュリティ対策なんてしなくてよかったのではないか。5月に世界中で蔓延したランサムウェアのWannaCry は米国家安全保障局（NSA）から流出した Windows の脆弱性 EternalBlue を使ったものと言われている。 EternalBlue は流出するまで，諜報機関により米国の監視活動に利用されていたらしい。アメリカは脆弱性の元を作っておきながら，米国に機器を売る者に対しては情報セキュリティのハードルを世界最高の水準に上げている。本当に迷惑な話だ。

こんなことだから情報セキュリティの取り組みにはやる気が起きない。しようがないので，次のように考えようと思う。

昔々，善良な村人しかいない平和な村がありました。泥棒もいないので，村人は玄関に鍵などかける必要がありませんでした。あるとき，村外れの山から金の鉱脈が見つかり，一攫千金を狙った者が隣村からたくさん移住してきました。村はだんだん物騒になり，物取りや傷害事件が起きるようになりました。村人は玄関に鍵を書けざるを得なくなりましたとさ。

ネットワークを使うこともなかった，善良な村人（組込み機器開発者）は，機器同士がネットワークでつながる時代になり，開けっぱなしだった玄関に鍵を付けなければいけなくなったという訳だ。誰のせいかと言えば，悪いのは泥棒だが，そういう時代なのだからしようがないとしかいいようがない。

問題は鍵を付けるコストは誰が負担するのかという点だが，それは結局エンドユーザーが負担することになる。だから，エンドユーザーの期待に応えながら，コストが上がりすぎないようにしなければいけない。

情報セキュリティの問題は，どこまでやればいいのかという判断基準が難しい。

商品の価値について考えるとき，左図のように顕在的価値と潜在的価値に分けて考えるようにしている。

顕在的価値は商品カタログの目立つところに書かれる機能や性能で，潜在的価値は「当たり前に出来ている」と期待されていることで安全や安心を担っている部分となる。

情報セキュリティの価値は，潜在的価値の方だろう。潜在的価値について，多くのユーザーは商品購入の時にあまり意識していないが，一度でも痛い目にあったりすると，潜在的価値を重視するようになる。

ブランドの価値は，この潜在的価値の積み重ねがものを言ったりする。また，社会問題になるようなインシデントが起きると，この潜在的価値はたちまちクローズアップされて，商品価値の中で重要視されるようになる。

だから，この潜在的価値を高めるためのソリューションを提供できる会社は，WannaCry のような社会的インシデントが発生するとここぞとばかりに活気づく。

情報セキュリティ対策にモチベーションが上がらないもう一つの理由は，これだ。インシデントが発生すると儲かる商売って，弱みにつけ込んでいるような気がして何か釈然としない。（ちなみに，機能安全をきっかけに儲けようとする会社も同じ穴のむじなだと思うけど。）

でも，最近はしようがないのかなあ，と諦めている。なぜなら，お客さんが製品に対して情報セキュリティの確保を求めるようになってきたからだ。

エンドユーザーが情報セキュリティの価値を認めて，対応がされていない製品は買わないと言ってきたら，それはやらないわけにはいかないし，そういうお客さんが増えてきたら，逆にその部分の潜在的価値をアピールすることもできるようになる。

ただし，無限にコストを上げることはできないので，費用や工数と効果の折り合いをどこかで付けなければならない。

その折り合いのさじ加減は，業務ドメインや，その製品の意図する使用によっても変わってくるので，一般化はなかなかできないと思っている。例えば，機器の可用性の侵害を重視するFA，可用性と完全性の侵害が患者危害につながる可能性のある医療機器，機密性の侵害による信用の低下につながるデータセンターなどさまざまな機器，業務ドメインがある。

情報セキュリティのCIA（Confidentiality:機密性，Integrity：完全性，Availability：可用性）の優先順位は機器の特性や使用目的，扱うデータの種別によって変わるので，情報セキュリティ対策の優先度も変わるし，どの機器にも効く魔法の杖はないと思う。
 IoT という大きなくくりでは，費用と効果の折り合いは付けられないということだ。また，その折り合いは，その会社の製品のセキュリティに対するポリシーにも影響を受ける。というか，折り合いを付けるためには，ポリシーを定めないとなかなかうまくいかないということだ。

だから，製品の情報セキュリティは今後は，企業のブランド価値にようなものになっていくのだろう。製品のセキュリティに対するポリシーを持ち，ホワイトペーパーを出せるような企業は，企業の潜在的価値として情報セキュリティを捉えていて，そこに価値があり，ブランド力を高めることに貢献すると考えているのだと思う。

顧客が価値があると考えるのなら，情報セキュリティにもモチベーションを持って取り組まないといけないということか。

なぜ，バリデーションが必要なのか？

2017年6月19日に GHS（一般社団法人ヘルスソフトウェア推進協議会)が IEC 82304-1（ヘルスソフトウェア—第1部：製品安全に関する一般要求事項）の解説セミナーを開催した。

『GHSがヘルスソフトウェア国際規格の解説セミナーを開催（innavi net 記事）』

このIEC 82304-1 解説セミナーの中で，「ヘルスソフトウェア製品のバリデーション」の講演があり，改めて，バリデーションって何？，バリデーションは何のためにやるのか？を考えてみた。

Validation（バリデーション）は日本語では「妥当性確認」と訳され，ISO 9000 (JIS Q 9000:2015)では次のように定義されている。

3.8.13 妥当性確認（validation）

　客観的証拠（3.8.3）を提示することによって，特定の意図された用途又は適用に関する要求事項（3.6.4）が満たされていることを確認すること。

• 注記 1  妥当性確認のために必要な客観的証拠は，試験（3.11.8）の結果，又は別法による計算の実施若しくは文書（3.8.5）のレビューのような他の形の確定（3.11.1）の結果である。
• 注記 2  “妥当性確認済み”という言葉は，妥当性確認が済んでいる状態を示すために用いられる。
• 注記 3  妥当性確認のための使用条件は，実環境の場合も，模擬の場合もある。

一方，バリデーションと混同しがちな概念でベリフィケーション（検証）の定義はこうだ。

3.8.12 検証（verification）

　客観的証拠（3.8.3）を提示することによって，規定要求事項（3.6.4）が満たされていることを確認すること。

• 注記 1  検証のために必要な客観的証拠は，検査（3.11.7）の結果，又は別法による計算の実施若しくは文書（3.8.5）のレビューのような他の形の確定（3.11.1）の結果であることがある。
• 注記 2  検証のために行われる活動は，適格性プロセス（3.4.1）と呼ばれることがある。
• 注記 3  “検証済み”という言葉は，検証が済んでいる状態を示すために用いられる。

バリデーション（妥当性確認）とベリフィケーション（検証）の２つの定義を比較してみる。

英語	日本語	先頭	中間	末尾
Validation	妥当性確認	客観的証拠（3.8.3）を提示することによって	特定の意図された用途又は適用に関する要求事項（3.6.4）が	満たされていることを確認すること。
Verification	検証	客観的証拠（3.8.3）を提示することによって	規定要求事項（3.6.4）が	満たされていることを確認すること。

3.8.3 客観的証拠（objective evidence）

　あるものの存在又は真実を裏付けるデータ（3.8.1）。

3.6.4 要求事項（requirement）

　明示されている，通常暗黙のうちに了解されている又は義務として要求されている，ニーズ又は期待。

結果，バリデーション（妥当性確認）とベリフィケーション（検証）を比較すると，その違いは，中間の「特定の意図された用途又は適用に関する」と「規程」の部分だけだということが分かる。

これでは，Validation（妥当性確認）とVerification（検証）の違いが分からないという技術者がいても不思議ではない。

Validation（妥当性確認）とVerification（検証）の違いを 1981年に Barry W . Boehm が "Software Engineering Economics, Prentice-Hall" で次のように説明し，多くの人が引用しているのでそれを見てみよう。

英語	日本語	英文の説明	日本語の解釈
Validation	妥当性確認	Are we building  the right product?	正しい製品（成果物）を開発しているか？ （顧客要求を満たす製品を作っているか？）
Verification	検証	Are we building  the product right?	正しく製品（成果物）を開発しているか？ （仕様通りに作っているか？）

英語では，同じ単語で語順を変えることで上手いこと説明しているのだが，日本人にはなかなか解釈が難しいかもしれない。

バリデーションは正しい製品（成果物）を開発しているのか？（顧客要求を満たす製品を作っているのか？）と問うていて，ベリフィケーションは，正しく製品（成果物）を開発しているか？（仕様通りに作っているのか？）を問うているという解釈だ。

それでもValidation（妥当性確認）とVerification（検証）の違いがよく分からないという人は，なぜ，Validation（妥当性確認）とVerification（検証）を分けないといけないのかという視点で考えてみるとよい。

ソフトウェア製品の場合，Validation（妥当性確認）とVerification（検証）は分けて考えた方がよいのだ。なぜなら，仕様通りに開発したのに，顧客要求を満たす製品になっていないというケースがよくあるからだ。

<仕様通りに開発したのに，顧客要求を満たす製品にならない要因の例>

• 仕様書が完璧でないため，システムの使用環境やユーザーニーズをよく知らない設計者（ソフトウェアの場合プログラマー）が，不足仕様の行間を自分の判断で埋めてしまった。
• 2次，3次下請けと設計作業が分配されたため，要求仕様が伝言ゲームで誤って伝わった。
• 顧客の要求が正しく要求仕様に反映されておらず，誤りや曖昧さのある要求仕様から設計仕様が作られた。
• 顧客要求事項の範囲（上限，下限）が分析されておらず，要求事項として示されていなかったため，設計者が自分の感覚で範囲を決めてしまったが，実際は要求とずれていた。
• 設計者（プログラマー）が検証仕様を作成したため，パスするテストケースしか想定しなかった。よって検証は全部合格だが，漏れがあり妥当性確認は合格しない。
• 顧客Aの要求を満たすように作ったが，顧客Bや顧客Cはその仕様を望んでなかった。
• 設計仕様に漏れや反映されていない要求仕様があったり，要求仕様を勘違いして設計仕様を作ったりしていた。
• 汎用的に作られた市販ソフトウェア（OTS)が，当該製品の要求実現にマッチしていなかったのにその問題に気付かず置き去りにされた。

これらの例から分かるように，大規模ソフトウェア開発のように，開発作業を分業し，階層化すると，下位層に行けば行くほど，顧客要求がよく分からない状態で作業（プログラミング）を行うことになる。顧客要求が分からなくても，問題なく作業ができているなら，それはアーキテクチャ設計がよいからかもしれない。IN と OUT が明確な，汎用性の高いソフトウェアアイテムを多くして，ドメインに依存したソフトウェアアイテムを少なく，凝集されることができれば，多くの汎用性の高いソフトウェアアイテムの単体テストは容易になる。

しかし，そんなよいアーキテクチャ設計のソフトウェアシステムや，要求仕様を正確に反映している完璧な仕様書なんて滅多にないから，プログラマーが曖昧な仕様書の行間を読んでプログラムを書くことなど日常茶飯事だろう。クライアントからすると過去の製品の仕様や，製品の使用環境を知っていて，より正確に行間を読んでくれるプログラマーが「よく出来る人」という評価になる。

人に依存した開発をやっている組織ほど，仕様書の精度が低い。仕様書の精度が低いのにいい仕事ができているのは，Validation（妥当性確認）とVerification（検証）を同時に意識しながら，作業ができる技術者がいるからだと思う。

小さいプロジェクトで，職人的開発をしているチームほど，Validation（妥当性確認）とVerification（検証）の区別が付かない，必要性を感じない場合が多い。なぜなら，Validation（妥当性確認）とVerification（検証）を区別しなくても，上記のような問題が発生しないからだ。

別な言い方をすれば，その人は，Validation（妥当性確認）で必要なことが頭に入っている状態でプログラムを作っていて，Verification（検証）しているときに，一緒にValidation（妥当性確認）もしてしまっているのだ。老練な技術者は「ここだけは抑えておこう」「ここに何かあったら大変だ」という製品の要所を把握していて，常に要所に影響がないかアンテナを張っている。その要所である「ここ」が，基本機能や基本性能を実現している部分であり，クリティカルシステムならリスクコントロール手段となり，バリデーション項目になる。

アーキテクチャの良さが要所を守っているというケースもある。基本機能や基本性能を実現しているソフトウェアアイテムと付帯機能を実現しているソフトウェアアイテムの凝集度が良く，結合度が弱いアーキテクチャが実現できている場合，付帯機能部分の追加や修正に失敗しても，基本機能や基本性能に影響を与えない，もしくは要所を触ることができないようになっていれば，要所を守ることができる。

さて，「技術者は現場を知らなければダメだ！」と上司や先輩から言われたと思う。これは別な見方をすれば，「Validation（妥当性確認）できるエンジニアになれ！」ということで，Validation（妥当性確認）とVerification（検証）が同時にできる人材は，開発効率が高く，効率的にクレームが出ない製品を作れる技術者なので，「技術者は現場を知らなければダメだ！」はそういったエンジニアになれという意味なのだ。

また，顧客に対して頻繁に使い勝手を確認するような開発スタイル（アジャイルプロセス等）を取るという行為は，Validation（妥当性確認）とVerification（検証）を同時に実施して，開発効率を高めていると言える。ちなみに，クリティカルシステムで，このスタイルを推奨しない。なぜなら，ユーザーにValidation（妥当性確認）を求める方法では，通常の使用環境ではおきにくい危険状態に対するリスクコントロール手段に，ソフトウェアの修正が悪影響を与えているかどうかの確認が漏れる危険性があるからだ。クリティカルシステムでは，バリデーション項目を抽出して，テストがしにくくても１つ１つ確認する必要がある。

Validation（妥当性確認）を行うには，当該製品分野に対する深い知識が必要でその製品の「ユーザニーズの理解」「意図する使用（Intended Use)の理解」「市場要求との整合性の判断ができるスキル」が出来る人材が必要となる。

ちなみに，製品に搭載するソフトウェアの規模はどんどん大きくなっているので，プロジェクトメンバー全員が「Validation（妥当性確認）できるエンジニア」になるのは不可能だ。

だから，Validation（妥当性確認）とVerification（検証）は分けないといけないのだ。

IEC 82304-1 では，箇条 6 ヘルスソフトウェア製品のバリデーション で，6.1 バリデーション計画， 6.2 バリデーションの実施, 6.3 バリデーション報告 が要求となっていて，計画の要求の中には，「e)バリデーションを行う要員に必要な資格要件を特定する。教育訓練が必要な場合は，バリデーションを始める前に完了しておく。」や「f)バリデーションチームの，設計チームに対する適切な独立性レベルを定める。」などの要求も含まれている。

バリデーションを行う要員の必要な資格要件というのは，特定が難しそうだが，対象となるシステムの使用者が特定の資格を持っていたり，特定のワークフローで仕事をしているような場合，バリデーション要因としてそれらの知識の必要性を判断する。

ある意味，これまで経験則やキャリアの長さで判断していた「バリデーション要員のスキル」を見える化して，漏れのないバリデーションをするルールを策定したと言えるだろう。

また，バリデーション計画を立てるためには，製品要求事項を抽出しないといけないのだが，これが出来ない人が多い。

Use requirement（製品要求事項）と Specification （仕様）の区別が付かないのだ。Use requirement（製品要求事項）は「使用の必要条件」という意味なので，それがないと製品が成り立たない，製品の基本機能，基本性能の元となる要件だ。

それが何なのか答えられない技術者が多い。その理由を考えると，日本の製品は既存製品に対する改良，改善，追加を繰り返す製品開発が多く，遙か昔に作成したUse requirements（製品要求事項）を忘れてしまった，または，最初に作ったUse requirements（製品要求事項）も実は，他社の同等製品からコピーしたものだったということなのではないだろうか。

だから，技術者は，最近追加した機能や性能，あるいは，不具合で修正した仕様には詳しいものの，製品に搭載されている基本機能や基本性能が何かをズバリ答えられない。

逆に言えば，多くの製品開発は，基本機能や基本性能はすでに枯れてしまっていて，おまけの機能を追加することで成り立っているので，Use requirements（製品要求事項）が何かを知らなくても後継製品ができてしまうということだ。

これは２つの面で問題がある。１つは，付加機能を付け足した製品しか作れないのでイノベーションが起こらない（市場を拡大できる製品が生まれない）ということと，２つ目は，付け足した機能が，基本機能や基本性能に悪影響を及ぼす危険性があるということだ。

ソフトウェアの場合，ソフトウェアの構造（アーキテクチャ）が悪いと，付け足した機能が基本機能や基本性能に悪影響を及ぼす危険性が高くなる。要するにスパゲッティのようなプログラムに機能を追加すると，さらに絡まりが強くなって，また，システムのどこが要所かを理解しないエンジニアが意図せず大事な機能や性能を実現している部分を傷を付けてしまう可能性がある。

だから，ソフトウェアの構造が悪いシステムほど，バリデーションが重要になる。Use requirements（製品要求事項）の項目を１つ１つ確認することで，その製品の必要条件が満たされているかどうか，製品の基本となる可用性や完全性が侵害されていないかを確認するからだ。

別な見方をすれば，細かい付帯機能すべてを確認できなくても，バリデーションによって製品の基本機能や基本性能には問題がないことを確認できるということだ。（将来，小さい設計変更はあっても，リコールに至るような大きな問題を押さえ込める確率が高まる）

製品やソフトウェアの規模が大きくなればなるほど，Validation（妥当性確認）とVerification（検証）は明確に区別することが重要で，かつ，これからのソフトウェア開発においては，Use requirements（製品要求事項）の抽出を含むバリデーション計画・実施・報告 が重要な要素となるということがお分かりいただけたかと思う。

P.S.

ISO 26262 では，Validation Plan の立案は明示的に要求していないように思う。(もし，間違っていたら教えて欲しい） その理由は，これまで自動車はUse requirements（製品要求事項）が「走る」「曲がる」「止まる」とように変わらない=普遍だったからではないだろうか。でも，電気自動車や自動運転ができるようになると，Use requirements（製品要求事項）が変わったり，多様化して，付け足した付加機能が基本機能を脅かしたりする危険が出てくるのではないか。自動車のソフトウェアもValidationを重視した方が良くないか。（サプライヤは Validation Plan 書けなかったりして）