Skip Navigation?
 

Case3:ヘルスケアデバイスの製造・販売におけるリスク対策

IoTが本格的に普及し始める中、リスク管理の重要性は飛躍的に増しています。しかし、その環境整備は始まったばかりで、法整備がテクノロジーの進歩に追いついておらず、対策が確立されていないリスクが存在しています。AIGはそれらのリスクについて、具体的な事例をもとにして、リスク管理上のポイントをまとめました。

ここではヘルスケアデバイスを製造・販売する会社を想定したケーススタディーをもとに、リスク対策を考えるためのヒントをご紹介します。

 

想定リスクケース

IoTペースメーカーを製造・販売する会社の事例です。同社が製造・販売したペースメーカーを使用して、あるフォーチュン100企業のCEOが極秘で手術を受けることになりました。そうしたところ、悪意のある第三者が手術で使用するペースメーカーに侵入し、体調の悪いCEOの健康状態に関するデータを盗み取り、それを外部に流出させました。すると、その企業の株価は下落し、投資家らは数百万ドルの損失を被ってしまいました。

 

リスク対策を考えるための視点

IoTデバイスの普及でさまざまな機器がネットワークと接続されるようになり、これまで想像もできなかったことが現実に起こるようになってきました。そこで、医薬品やヘルスケアデバイスを製造・販売する会社のリスク対策では、以下のような視点が考えられます。

  • 事故の際の調査の具体的な手順が明確になっていますか?また、調査に必要な専門家とのコンタクトはとれていますか?
  • IoTペースメーカーを適切に使用していたにもかかわらず発生した事故について、どの種類の責任を、どの程度負うのか明確になっていますか?
  • ペースメーカーがIoTデバイスであることをユーザーが知っていた場合、データ流出と株価下落の両方について、どのような責任があると考えていますか?
  • IoTペースメーカーを市場へ投入する前に、データのセキュリティーについてテストを実施していますか?
  • IoTペースメーカーはインターネットにはどのようなタイミングでつながりますか?また、IoT化しないという選択肢はありませんか?

 

商品を市場へ投入する前に、データセキュリティーについて十分なテストを実施しておくことはとても大切です。時にはコンピューターセキュリティー関連の専門家に依頼して、ネットワークから製品への侵入が可能かを確認してもらってもいいでしょう。また、状況によっては製品をIoT化しないという選択肢も用意しておく必要があるかもしれません。

事故が発生した場合の対応では、不法行為責任を追及するための調査の手順を事前に明確にしておくことが大切です。その際には、調査に必要なコンピューターセキュリティーの専門家や、訴訟に発展した場合に相談する弁護士との連携についても決めておく必要があると考えられます。また、訴訟に発展した場合に備え、IoTデバイスが収集したデータの中から必要なデータについて、あらかじめ消費者から使用許可を得ておくと安心です。

以下に要点をチェックリストにまとめましたので、ぜひご活用ください。

  • 製品に悪意の第三者が侵入するリスクを予見していますか?
  • 製品に対する不正アクセスなどに備え、サイバーセキュリティーを考慮していますか?
  • 市場投入前にテストを実施するなどして製品の脆弱性を把握し、それを排除していますか?
  • 他社で発生したハッキング被害を把握していますか?
  • 事故の際の調査では具体的な手順が明確になっていますか?
  • 調査に必要なコンピューターセキュリティー関連の専門家とのコンタクトはとれていますか?
  • 不法行為責任を追及するために必要な、法律の専門家とのコンタクトはとれていますか?
  • 訴訟で使う可能性があるデータについては、あらかじめ消費者から訴訟時の使用許可を得ていますか?
  • 製品の使用で発生したトラブルについて、賠償責任がおよぶ範囲が明確になっていますか?
  • 潜在的なリスクに対し、保険の活用などで賠償責任を回避・緩和させていますか?

出典:AIG Inc作成「The Internet of Things: Evolution or Revolution? Part 1 in a Series」、「IoT Case Studies: Companies Leading the Connected Economy Part 2 in a Series」、「IoT Risk Manager Checklist: What Are You Trying to Connect?」より
https://www.aig.com/innovative-tech