■ 1. 要件定義上の不備とテストの限界
- 情報システムは複数のコンポーネントが複雑に連携して動作するため、機能間の連携仕様を要件として明確に定義する必要がある
- 結合テストや総合テストはプログラム間のインタフェース・処理タイミングの不正を検出するが、「連携を想定して定義されていない」要件上の不備は検出できない
- 機能間の連携をどのように定義するかは業務目線で判断すべき事項であり、テストの合否では判断できない
■ 2. 事件の概要
- 事件の背景:
- ある病院では患者の生体情報を監視する「ベッドサイドモニタ」と「セントラルモニタ」がネットワーク連携するシステムを導入していた
- ベッドサイドモニタにはアラーム設定を患者ごとに個別設定できる機能があり、異常時にアラームを発信する仕組みだった
- 事故の経緯:
- くも膜下出血患者が転床した際、セントラルモニタで転床確定操作が実施された
- この操作によりベッドサイドモニタのアラーム設定が病棟の初期値(アラーム音量ゼロ等)に上書きされた
- 担当看護師はアラームをONにしたと認識していたが、システムの連携動作によって意図に反して設定が消滅した
- 患者の容態が急変した際にアラームが鳴らず、医師の対応が遅れたため患者が死亡した
- 訴訟の概要:
- 遺族が、担当医師または看護師のアラーム設定の誤りおよび見落としを過失として損害賠償請求訴訟を提起した(東京地方裁判所 令和2年6月4日判決)
■ 3. システム仕様と要件定義の問題点
- システム仕様の性質:
- セントラルモニタが転床確定操作時にベッドサイドの設定を初期化する動作はシステム仕様どおりであり、プログラミングミスや不具合ではない
- アラームのデフォルト値が音量ゼロである点にも、患者によってはアラームが身体に悪影響を与えるという医療上の理由が存在する
- 要件定義の不備:
- ベッドサイドモニタとセントラルモニタそれぞれ単体の機能要件は十分だったが、機能連携時に発生し得るリスクの検討が不足していた
- 設定が上書きされる際の警告メッセージは存在したが、「設定の完全な消滅」を予見させる具体性・強度を欠き、形式的なものにとどまっていた
- 転床時にベッドサイド設定を先に行いセントラル側を後から設定するといった操作順序の揺れが業務上発生し得ることが想定されていなかった
■ 4. 裁判所の判断
- 転床確定操作を行った看護師について、以下の注意義務違反が認定された:
- 転床確定操作によりベッドサイドモニタのアラーム設定値が初期値に更新されることを認識し得た
- 操作後に患者の病状に即した適切なアラーム設定となっているか確認すべき注意義務があった
- 裁判所は病院側が十分に注意義務を果たさなかったと判断した
■ 5. 事故防止に向けた教訓と対策
- 要件定義の在り方:
- 機能単体の要件定義だけでなく、機能連携時に発生し得るリスクシナリオを要件として定義しなければならない
- 業務の中で様々に発生し得る状況とそのときのシステム挙動をリアルに想像し、仕様の問題点を十分に洗い出す必要がある
- 要件上の不備は後続工程(テスト等)での発見が困難であるため、要件定義工程での網羅的な検討が不可欠
- 現場を巻き込んだ要件定義の実施:
- 開発担当者はシステム利用者(今回の場合は現場の医療従事者)を要件定義に参加させ、各業務フローをウォークスルーしながら要件を詳細化する必要がある
- 現場の実務経験を持つ担当者が参加することで、システム連携時の不備が現場への導入前に発覚する可能性が高まる
- AIを活用しながら要件の精度と網羅性を高めることも、悲劇を防ぐ方策の一つとなる
- 病院側の対応:
- システム導入に精通した要員の拡充や育成を含む様々な対策が求められる