TL;DR ISO 14971:2019 §7 のリスクコントロールは「人間が気をつける」では破綻する。製造業由来の フールプルーフ(ポカヨケ)3法則 ── ①入力自動化 ②選択制限 ③アラート自動化 ── を医療機器のリスクコントロール文書に翻訳すれば、「人の注意力」に依存しない設計に切り替えられる。Claude Code で「リスクコントロール案 → フールプルーフ判定 → 改善案」を一連で出力するプロンプトを設計し、実装パターン・出力例・工数比較・限界まで全公開。
目次
- はじめに:なぜリスクコントロールは「人の注意」では破綻するのか
- フールプルーフ(ポカヨケ)の3法則 — 製造現場 → 医療機器設計 → リスクコントロール文書
- ISO 14971 §7 リスクコントロール手段の階層構造との関係
- 3法則の実装パターン
- Claude Code でフールプルーフ・チェックリストを自動生成する
- 実際のプロンプト例:リスクコントロール案 → 判定 → 改善案
- 出力例:フールプルーフ判定マトリクス
- 工数比較(手動レビュー vs AI併用)
- AI が苦手な点・限界
- 次の一手
- FAQ
- 関連リソース
はじめに:なぜリスクコントロールは「人の注意」では破綻するのか
医療機器の品質保証担当者なら、こういう FMEA を一度は見たことがあるはずです。
リスクコントロール案: 取扱説明書に「使用前にバッテリー残量を確認すること」と記載する。 残留リスク評価: 受容可能(ALARP)。
率直に言って、これは 「対策をしたつもり」の典型例 です。
ISO 14971:2019 のリスクマネジメントが要求しているのは、「リスクが受容できる水準まで下がっている」という客観的な状態であって、「使用者が説明書を読んでくれる前提でリスクが下がっているように見える」では足りません。
製造現場の品質管理(QC)には、半世紀以上かけて磨かれた鉄則があります。
「人間を信用するな、仕組みを信用せよ」
これは Toyota 生産方式が体系化した ポカヨケ(フールプルーフ) の根本思想です。人間は必ずミスをする。だから、ミスをした瞬間に物理的に止まる仕組みを設計に埋め込む ── そういう考え方です。
ISO 14971:2019 §7.1 が求めるリスクコントロール手段の 階層(hierarchy) ── ①設計による本質的安全 ②保護方策 ③使用上の情報 ── を読み直すと、これは製造現場のポカヨケ思想とほぼ同じことを言っています。「使用上の情報(注意書き)」が最後の手段であって、最初に検討すべきは「そもそも誤れない設計」だということです。
本記事では、製造現場のフールプルーフ3法則をリスクコントロール文書に翻訳し、Claude Code で「人間の注意力に依存しないリスクコントロール案」を半自動で生成する手順を、現役医療機器QAの実装ログとして公開します。
フールプルーフ(ポカヨケ)の3法則 — 製造現場 → 医療機器設計 → リスクコントロール文書
製造現場のポカヨケは、無数のテクニックがありますが、本質を抽出すると次の3法則に整理できます。
| 法則 | 思想 | 製造現場の例 |
|---|---|---|
| ① 入力自動化 | 人間に手入力させない | 部品の寸法をバーコードで読み取り、手書き転記をなくす |
| ② 選択制限 | 誤った選択肢が物理的に選べない | 形状の違うコネクタで逆挿し不可、左右非対称形で誤組立不可 |
| ③ アラート自動化 | 異常を人間が見落とす前に機械が叫ぶ | トルク不足を検知してラインが自動停止、異常温度で警告灯 |
この3法則は、医療機器の設計と、その設計を文書化したリスクコントロール記述に、ほぼそのまま移植できます。
製造現場 → 医療機器設計への翻訳
| 法則 | 製造現場 | 医療機器設計 |
|---|---|---|
| ① 入力自動化 | バーコードで部品照合 | 患者IDをHIS連携で自動取得、輸液ポンプの薬剤情報をRFIDで読込 |
| ② 選択制限 | コネクタ形状で逆挿し不可 | カテーテルの誤接続防止コネクタ(ISO 80369シリーズ)、片側だけ装着できる電池ボックス |
| ③ アラート自動化 | トルク不足でライン停止 | 心拍異常で自動アラーム、SpO2低下で警告音、フィルター詰まりで送液自動停止 |
医療機器設計 → リスクコントロール文書への翻訳
ここが本記事の核心です。リスクコントロール記述は、3法則のどれに該当するかが 言語化 されている必要があります。
Before(注意力依存)
リスクコントロール:使用者は使用前にチューブの接続状態を目視確認すること(取扱説明書 §3.2 に記載)。
After(フールプルーフ)
リスクコントロール:チューブ接続部に ISO 80369-7 準拠の誤接続防止コネクタを採用し、誤接続が物理的に不可能な設計とする(法則②選択制限)。誤接続防止性は IEC 62366-1 ベースのユーザビリティ評価で検証する。
「誰が読んでも、3法則のどれを使ったか分かる」── これがフールプルーフ・リスクコントロール文書の品質基準です。
ISO 14971 §7 リスクコントロール手段の階層構造との関係
ISO 14971:2019 §7.1 は、リスクコントロール手段(risk control option)について、次の 3階層 を優先順位付きで採用するよう要求しています(順序は規格本文に従う、要原典確認)。
| 優先順位 | 手段 | 規格用語の概要 | フールプルーフ3法則との対応 |
|---|---|---|---|
| 第1優先 | 設計による本質的安全(inherently safe design) | 危険源そのものを除去、または設計で危険状態を成立させない | 法則② 選択制限(誤った状態が物理的に成立しない) |
| 第2優先 | 保護方策(protective measures) | 製品または製造工程に組み込む保護機構 | 法則① 入力自動化 /法則③ アラート自動化 |
| 第3優先 | 使用上の情報(information for safety) | 警告・取扱説明書・ラベル | (フールプルーフの対象外=最後の砦) |
つまり、ISO 14971:2019 §7.1 の階層は 「フールプルーフできるところはすべてフールプルーフにせよ。情報提供は最終手段である」 と読み替えられます。
実務上の最大の落とし穴は、第3優先の「使用上の情報」だけでリスクを下げたつもりになる FMEA です。これは規格の階層原則に 逆行 しており、PMDA・FDA・Notified Body のいずれの審査でも指摘リスクが高い領域です(具体的指摘の有無は案件ごとに異なる、要原典確認)。
3法則の実装パターン
ここから、3法則それぞれを 設計と文書の両面 で実装するパターンを示します。
法則①:入力自動化(人間に手入力させない)
狙い:転記ミス・読み違い・桁落ちといった「人間の入力エラー」をハザードとして列挙し、入力経路そのものを自動化することで、ハザードの 発生確率(P)を構造的に下げる。
設計実装の典型例
- 患者ID/薬剤名/投与量を HIS/電子カルテ/RFID から自動取得し、操作者が手入力する画面を物理的に削除する
- 検体ラベルを2次元バーコードで読み取り、検体取り違えハザードを発生不可能にする
- ファームウェア更新ファイルを電子署名検証付きで取得し、誤バージョン適用を成立させない
リスクコントロール文書での記述例
投薬量設定について、HIS から取得した処方データのみを参照し、操作者による手入力欄を UI に設けない設計とする(法則①入力自動化)。検証は IEC 62304 §5.7 ソフトウェアシステムテストおよび IEC 62366-1 ユーザビリティ評価で実施する(要原典確認)。
法則②:選択制限(誤った選択肢が物理的に選べない)
狙い:ユーザインタフェース・コネクタ形状・モード遷移といった 選択経路 から、危険な選択肢を 物理的・論理的に削除 する。設計による本質的安全(§7.1 第1優先)に直結する。
設計実装の典型例
- ISO 80369 シリーズ準拠の誤接続防止コネクタ(経腸/経静脈/呼吸の取り違えを物理的に不可にする)
- 体外式除細動器の小児/成人モード切替を物理スイッチ+電極認識の二重ロックで実装
- 設定値の上限/下限を ハードリミット として実装し、画面で範囲外の数値を入力しても受け付けない
リスクコントロール文書での記述例
経腸栄養ラインのコネクタは ISO 80369-3 準拠とし、経静脈ライン(ISO 80369-7)との物理的接続を不可能にする(法則②選択制限/§7.1 設計による本質的安全)。ヒューマンファクター評価は IEC 62366-1 §5.9 に従う。
法則③:アラート自動化(異常を人間が見落とす前に機械が叫ぶ)
狙い:人間の注意・観察に依存している「監視」業務を、機械監視+自動通知に置き換える。発生した危険状態の 検出時間 を短縮し、傷害(harm)への到達確率を下げる。
設計実装の典型例
- SpO2/心拍/呼吸数を機器側で常時モニタし、閾値逸脱で可聴・可視アラーム(IEC 60601-1-8 準拠)
- バッテリー残量の閾値割れで自動メール/プッシュ通知を施設管理者に送信
- ソフトウェア例外をログに残すだけでなく、QA 担当のダッシュボードに自動連携
リスクコントロール文書での記述例
SpO2 が事前設定閾値を下回った場合、IEC 60601-1-8 §6.1 に準拠した可聴・可視アラームを発する(法則③アラート自動化)。アラームの優先度・遅延時間は同規格の要求事項に従い設定する(要原典確認)。
Claude Code でフールプルーフ・チェックリストを自動生成する
ここから本題、Claude Code(Sonnet 4.6)の活用です。
FMEA や RMF のリスクコントロール記述を 一行ずつ目視で「これは3法則のどれに該当するか/していないか」を判定する のは、地味で時間のかかる作業です。1製品のリスクテーブルが20〜50行あり、1行ごとに「文献を当てる/改善案を考える」と、ベテランでも半日仕事になります。
ここを Claude に任せます。
設計思想:判定 → 改善案までを一連のチェーンで
Claude Code でフールプルーフ判定を回すときの設計のキモは、「分類」と「改善案生成」を分けない ことです。「フールプルーフでない」と判定して終わるのではなく、その場で「どう書き換えれば3法則のどれに該当するようになるか」まで出力させます。
プロンプトのチェーンは次の3段で組みます。
[Stage 1] 入力:FMEA / RMF のリスクコントロール記述(表形式)
↓
[Stage 2] フールプルーフ判定(3法則/該当なし)+判定根拠
↓
[Stage 3] 該当なし → 改善案を3法則のいずれかにマッピングして再記述このチェーン構造を 1つのプロンプト に閉じ込めることで、Claude の大コンテキスト(200K トークン)の中で「判定の文脈」と「改善の文脈」が一貫して保たれます。別プロンプトに分割すると、改善案を出すときに判定根拠を見失うことがあります。
実際のプロンプト例:リスクコントロール案 → 判定 → 改善案
以下、現場で使っているプロンプトの 抜粋・一般化版 です。製品仕様の固有部分は仮想的なものに置き換えています。
# 役割
あなたは ISO 14971:2019 と IEC 62366-1:2015 に精通した医療機器の品質保証エンジニアです。
製造業の品質管理(QC)における「フールプルーフ/ポカヨケ」の思想にも精通しています。
# 背景
- 対象製品: 在宅用輸液ポンプ(仮想の一般的医療機器)
- 既存のリスクマネジメントファイル(ISO 14971:2019 準拠)
- フールプルーフ3法則:
① 入力自動化(人間に手入力させない)
② 選択制限(誤った選択肢が物理的・論理的に選べない)
③ アラート自動化(異常を人間が見落とす前にシステムが警告)
# 入力(FMEA抜粋)
| # | ハザード | 危険状態 | 傷害 | 既存リスクコントロール案 |
|---|---|---|---|---|
| 1 | 誤った薬剤量入力 | 過量投与 | 重篤な副作用 | 取扱説明書に「投与量は2人で確認」と記載 |
| 2 | チューブ誤接続 | 経腸ラインへの静注 | 死亡を含む重篤事象 | 接続前に色を確認するよう警告ラベル添付 |
| 3 | バッテリー切れ | 投与中断 | 治療効果の喪失 | 使用前にバッテリー残量を確認するよう取説に記載 |
# 手順
1. 各リスクコントロール案について、フールプルーフ3法則のどれに該当するか判定する
(①/②/③/該当なし)
2. 判定根拠を ISO 14971:2019 §7.1 のリスクコントロール手段の階層
(①設計による本質的安全 ②保護方策 ③使用上の情報)と対応付けて1〜2文で記述
3. 「該当なし」の場合、3法則のいずれかにマッピングできる改善案を1〜3件提示
4. 改善案ごとに、想定される検証規格(IEC 62366-1 / IEC 60601-1-8 / ISO 80369 等)を併記
5. 自信のない判定や規格条項の引用には「(要原典確認)」と明示
# アウトプット形式
| # | 既存記述 | 法則判定 | 判定根拠 | 改善案 | 検証規格 |このプロンプトをそのまま Claude Sonnet 4.6 に投げると、約 2〜3 分で次節の判定マトリクスが返ってきます。
出力例:フールプルーフ判定マトリクス
実際の出力(一般化・短縮版)は次のようになります。
| # | 既存記述 | 法則判定 | 判定根拠 | 改善案 | 検証規格 |
|---|---|---|---|---|---|
| 1 | 取説に「投与量は2人で確認」 | 該当なし | §7.1 第3優先「使用上の情報」のみで、第1〜2優先のフールプルーフ手段が未検討。ダブルチェックは人間の注意力に依存しており、3法則のいずれにも該当しない(要原典確認)。 | (a) HIS から処方データを自動取得し手入力欄を削除(法則①)/(b) 上限値をハードリミットとして UI で物理的に超過不可にする(法則②)/(c) 設定値が事前登録範囲外で警告音(法則③) | IEC 62304 §5.7/IEC 62366-1 §5.9/IEC 60601-1-8 |
| 2 | 接続前に色を確認するよう警告ラベル | 該当なし | 視認に依存し、色覚特性・照明条件・急ぎの作業環境では機能しない。§7.1 第1優先(本質的安全)の検討が不足。 | (a) ISO 80369-3/-7 準拠の誤接続防止コネクタを採用し、物理的に挿せない設計とする(法則②) | ISO 80369-3/ISO 80369-7/IEC 62366-1 |
| 3 | 取説にバッテリー残量確認を記載 | 該当なし | 確認行為が人間の習慣に依存。閾値割れの検出が機械化されていない。 | (a) 閾値割れで可聴・可視アラーム(法則③)/(b) 残量 X% 未満で施設管理者に自動通知(法則③)/(c) 充電中のみ動作する設計=バッテリー単独動作不可(法則②、ただし在宅使用要件と要トレードオフ評価) | IEC 60601-1-8/IEC 60601-1 §11.8(要原典確認) |
このマトリクスをそのまま FMEA/リスクマネジメントレポートに添付すると、「ISO 14971:2019 §7.1 の階層原則を体系的に検討した記録」 として残せます。
特にポイントなのは、「該当なし」と判定された行ほど価値が高い ということです。「自分たちは説明書だけで対策したつもりになっていた」事実が可視化され、設計レビューの議論の出発点になります。
工数比較(手動レビュー vs AI併用)
仮想ケース(リスクコントロール30行・1製品)での目安です(プロジェクト規模・チーム習熟度で変動、要社内検証)。
| ステップ | 従来(手動レビュー) | AI併用 | 削減率の目安 |
|---|---|---|---|
| 各行のフールプルーフ判定 | 3〜5時間 | 5〜10分 | 約90% |
| 判定根拠の文書化 | 2〜3時間 | 5〜10分 | 約95% |
| 改善案のブレスト・草稿 | 3〜6時間 | 10〜20分 | 約90% |
| 検証規格の引き当て | 1〜2時間 | 5分(後から人間で確認必須) | 約80% |
| AI出力に対する人間レビュー・最終判断 | — | 2〜4時間(必須) | — |
| 合計 | 9〜16時間 | 3〜5時間 | 約60〜70% |
工数削減の幅は他のRMF生成記事と同程度ですが、フールプルーフ判定で特徴的なのは、「人間が見落としやすい『説明書だけで対策した気になっている行』を網羅的に発見できる」 という、削減以外の価値です。これは初稿の質を上げるというより、既存文書の盲点を浮かび上がらせる 用途で効きます。
AI が苦手な点・限界
率直に書きます。Claude を使ってもフールプルーフ判定が 代替できない領域 はあります。
1. 組織固有の運用文化への適応
「うちはこの工程は熟練者の目視で回している」「このチェックリストは紙で運用している」といった 属人的・文化的な運用 は、SOP やマニュアルをコンテキストとして渡さない限り反映されません。逆に言えば、社内 SOP・既存 FMEA・社内事故事例(仮名化) を渡せば精度が上がりますが、機密情報の取り扱いポリシーとのバランス調整が必須です。
2. 「コストとリスクのトレードオフ判断」の最終責任
Claude は「法則②でフールプルーフ化できます」と提案できますが、その実装が 製品単価をいくら押し上げるか/開発期間を何ヶ月延ばすか/既存の生産ラインで実装可能か までは判断できません。ALARP 原則の「Reasonably Practicable(合理的に実行可能)」の境界線は、製造業者代表者が責任を持って引きます。
3. 規格本文・条項番号の最終確認
本記事内でも繰り返し「(要原典確認)」を付けたとおり、Claude は規格本文の 条項番号 を時々ずらすことがあります。RMF・FMEA に最終的に記載する条項番号は、人間が ISO/IEC 規格本文を直接見て 確認してください。AI は索引機能ではなく草稿生成機能として使うのが安全です。
4. 「対策の有効性検証」は AI には書けない
ISO 14971:2019 §7.2 が要求する リスクコントロール手段の有効性検証(verification of effectiveness) は、実機・実データに基づく試験記録です。AI が「検証した」と書いた記述は、そのまま使ってはいけません。検証計画と試験記録は人間が作り、AI には 検証計画書のドラフト までを任せる切り分けが現実的です。
次の一手
本記事をここまで読まれた方は、おそらく次のどれかに進むのが効率的です。
- RMF 全体の AI 構築フローを知りたい → ISO 14971 リスクマネジメントファイルを Claude Code で構築する完全ガイド
- FMEA の Claude 実装ログを見たい → ISO 14971 FMEA を Claude AI で作る実装ログ
- 規制産業×AI の全体地形を把握したい → 規制産業 × 生成AI 実装ガイド(2026年版)
特に、フールプルーフ判定マトリクスは 既存 FMEA を後付けで監査する 用途で強力なので、社内に既に運用している RMF があるチームは、本記事のプロンプトをそのまま既存ドキュメントに当ててみることをお勧めします。
FAQ
Q1. フールプルーフとフェイルセーフは違うのですか? A. 違います。フールプルーフ(ポカヨケ)は「そもそも誤った操作ができない」設計、フェイルセーフは「誤動作・故障が起きても安全側に倒れる」設計です。ISO 14971:2019 §7.1 のリスクコントロール手段の階層では、フールプルーフは「設計による本質的安全」、フェイルセーフは「保護方策」寄りに位置づくことが多いです(要原典確認)。両者は競合せず、組み合わせて使うのが通常です。
Q2. ISO 14971 §7 にフールプルーフという用語は出てきますか? A. ISO 14971:2019 本文に「foolproof」「poka-yoke」という単語自体は記載されていません。本記事は §7.1 のリスクコントロール手段の階層(①設計による本質的安全 ②保護方策 ③使用上の情報)を、製造業由来のフールプルーフ概念で再解釈する立場です。条文番号の解釈は社内のレギュラトリー責任者の判断を仰いでください。
Q3. Claude Code でフールプルーフ判定をすると、判定がブレませんか? A. プロンプトで「3法則のどれに該当するか」「該当しない場合の改善案」をマトリクス形式で固定すると、出力の揺らぎはかなり抑えられます。ただし最終的に「その対策が自社製品で実装可能か」「コストが見合うか」の判断は人間の責任です。AI はあくまで叩き台製造機です。
Q4. 組織固有の運用文化(SOP・ベテランの暗黙知)にも AI は適応できますか? A. ここが AI の最大の限界です。「うちはこのチェックは紙運用で回している」「この工程は熟練者が目で判断している」といった文化的・属人的な運用は、AI のプロンプトに明示的に渡さない限り反映されません。逆に言えば、自社の SOP や手順書をコンテキストとして渡せば、その範囲では精度が上がります。
Q5. リスクコントロールを完全自動化したら、製造業者の責任はどうなりますか? A. ISO 14971:2019 は、リスクコントロール手段の選定・実装・有効性検証の最終責任を製造業者(およびその代表者)に置いています。AI が提案したフールプルーフ案を採用するかどうか、有効性をどう検証するかは、製造業者代表者の承認を経ます。AI 使用は監査記録に残し、人間判断の根拠と併記するのが安全策です。
Q6. ChatGPT でも同じプロンプトで動きますか? A. 動きますが、私の検証では Claude Sonnet 4.6 の方が「ISO 14971 §7.1 の階層と3法則のマッピング」を一貫して維持してくれました。ChatGPT は途中で軸がずれて「使用上の情報」を法則③(アラート自動化)と混同することがありました。
関連リソース
続いて読むべき記事
- ISO 14971 リスクマネジメントファイル Claude Code 構築ガイド ── RMF 全5文書の半自動生成
- ISO 14971 FMEA を Claude AI で作る実装ログ ── 本記事の上流にあたる FMEA 全体プロンプト
- 規制産業 × 生成AI 実装ガイド(2026年版) ── ピラー記事(規制産業×AIの全体地形)
即実践できるテンプレート
本記事で使ったフールプルーフ判定マトリクスは、MedAgent JP の Excel テンプレート(リスクマネジメント一式)と組み合わせて使えます。既存 FMEA の点検にもそのまま使えます。
ISO 14971:2019 リスクマネジメントファイル Excelテンプレート【AI活用対応版】
メルマガ登録
毎週金曜の朝8時に「今週の実装ログ+詰まったポイント」を無料配信しています。
※ 本記事は実験的な AI 活用記録です。実際の薬事申請・市販後リスクマネジメントに使用する文書は、必ず専門家のレビューおよび規格本文との照合を経てください。本記事中で「(要原典確認)」と付した箇所は、ISO 14971:2019 / IEC 62366-1:2015 / ISO 80369 シリーズ等の原典で条項番号・要求事項を確認してから引用してください。