私のインスリンポンプ制御装置は Linux カーネルを使っているが、GPL に違反している

 (old.reddit.com)
1 ポイント 投稿者 GN⁺ 2025-12-27 | 1件のコメント | WhatsAppで共有
  • インスリンポンプを制御する医療機器コントローラーLinux カーネルを基盤に動作している
  • この装置は**GPL(GNU General Public License)**の条件を順守しておらず、ライセンス違反の状態にある
  • ユーザーはソースコード公開義務が守られていない点を問題として指摘している
  • コミュニティではオープンソースソフトウェアの透明性医療機器の信頼性があわせて議論されている
  • GPL違反が医療機器分野におけるオープンソース活用の限界を示す事例として注目されている

Linux カーネルベースのインスリンポンプコントローラー

  • インスリンポンプを制御する装置がLinux カーネルを使用している
    • 装置はインスリン投与を自動で調整する機能を担う
    • Linux カーネルが組み込まれていることがユーザーによって確認された
  • この装置はGPL ライセンス条件に違反している
    • GPL はカーネルを使用する製品にソースコード公開義務を課している
    • しかしこの装置はソースコードにアクセスできない状態で販売されている

GPL違反問題とオープンソースの透明性

  • ユーザーは GPL 違反の事実を指摘し、ソースコード公開要求を提起
    • カーネルを使用している事実が明確であるにもかかわらず、メーカーはコードを提供していない
  • コミュニティでは医療機器メーカーがオープンソースの義務を無視している問題を批判
    • GPL違反は単なる法的問題を超えて、ユーザーの安全性と信頼性にも影響を及ぼす

医療機器とオープンソースの衝突

  • 医療機器業界では閉鎖的なファームウェア方針が一般的である
    • その結果、オープンソースコミュニティとの法的・倫理的な衝突が生じる
  • Linux カーネルを使用する医療機器における GPL 違反は、透明性不足の代表的な事例として言及されている
    • オープンソースベースの技術が医療機器に適用される際には、公開義務の順守が重要である

コミュニティの反応

  • 一部のユーザーはGPL順守を強制する措置を要求
    • メーカーがカーネルソースを公開すべきだという意見を示している
  • 他のユーザーは医療機器の安全性法的責任の問題をあわせて議論
    • オープンソースソフトウェアが医療機器で使用される際の規制の空白が指摘されている

示唆

  • この事例はGPL違反が実際の医療機器で発生した珍しいケースとして注目されている
  • オープンソースコミュニティと医療機器業界の間にある法的・倫理的バランスの必要性を示している
  • 今後はLinux カーネル使用製品のライセンス順守強化が求められる

関連記事

1件のコメント

 
GN⁺ 2025-12-27
Hacker Newsのコメント
  • 私はInsuletにGPLv2でライセンスされたカーネルのソースコードを要求しようとしたことがある。
    ただし、単に「GPLなのだからソースを渡さなければならない」というのは誤解だ。
    実際には、企業が利用者に**「書面による提供申し出(written offer)」**を送る必要があり、利用者はその申し出に基づいてソースコードを請求できる。
    もし企業がその申し出を送っておきながら履行しないなら契約違反だが、そもそも申し出自体を送っていないなら、それはGPL違反になる(法律の専門家ではない)。
    • これはまだ法的に明確に整理されていない論点だ。
      Conservancy v Vizio事件では、消費者がGPLを直接執行する権利を持つかどうかが争われている。
    • 書面による提供申し出の3年間の有効期間は、複数ある配布方法の1つにすぎない。
      申し出自体がなければその条項の保護は受けられず、別の方法でGPLを遵守しなければならない。
    • 「書面による申し出が契約違反なのか」という問いについては、単なる申し出は契約とは異なるという見方もある。
    • 米国ではこうした解釈があり得るが、ドイツでは最終利用者も直接ソースコードを要求して提訴できる
    • GPL自体が契約なので、ここで区別すべきなのはライセンサー–ライセンシー間の契約ライセンシー–利用者間の関係の違いだ。
  • 会社の内部者が書いた上位コメントはぜひ読んでほしい。
    ハードウェア開発はコストセンターとして見なされて外注されることが多く、その結果、実際にGPL要求を処理できる人が社内に残っていないことがよくある。
    フロントラインのサポートチームにはこうした要求を処理する能力がなく、社内でメールが回っているうちに忘れられがちだ。
    法務部門に回っても、電卓を叩いて「これに本当に法的リスクがあるのか?」と計算し、たいていは無視する。
    昔、GPL関連の問題が多かった会社で働いていたとき、私はリリースごとにGPL tarballを保管するようにし、サポートチームへの教育も行っていた。
    要求の70%は、「なぜ全ソースを渡さないのか」という誤解から生じた怒りだった。
    こうした経験のおかげで、サポートチームがGPL要求を嫌がる理由は理解できるようになった。
    • ただし、もし非GPLコードがGPLコードに直接リンクされていたなら、その利用者たちの不満は正当だったかもしれない。
  • こういう場合は法務部門を通して弁護士ルートで連絡するのが正解だ。
    エンジニアやサポート担当が、会社の資産を引き渡す法的判断を下すはずがない。
    FSFが、法的根拠と損害賠償請求の手続きを盛り込んだ要求書テンプレートを公開してくれれば大いに助かると思う。
    • 「それは会社の資産ではない」という反論もある。
  • もしGPLが適用される部分がLinuxカーネルだけなら、特別なソースコードを受け取る権利はほとんどないだろう。
    カーネルを使うだけではユーザー空間(userspace)のプログラムにGPL義務は生じない。
    おそらく、未改変のカーネルとオープンソースのユーザー空間プログラムの組み合わせなのだろう。
    • それなら、ソースコード提供は非常に簡単に処理できるはずだ。
    • また、GPL shimを使うドライバーモジュール(例: NVIDIAドライバー)はGPL適用対象ではないので、著者がなぜ違反だと考えるのか理解できない。
  • こうしたライセンス違反の議論は本当にストレスがたまる。
    違反だというなら、訴訟を起こして裁判所に判断してもらえばいい。
    医療機器なら、数百ドル程度の費用で試してみる価値は十分ある。
    • ただしOPはLinuxカーネルの著作権者ではない可能性が高い。
    • しかも、訴訟が数百ドルで済むはずもない。
  • もしカーネルを直接ビルドしただけなら、単に公式Linuxカーネルリポジトリへのリンクを知らせるだけで十分かもしれない。
    • ただし、企業が商用目的で自らビルドしたのであれば、GPLv2 3(c)の2条件をどちらも満たさないため、その条項は適用できない。
  • これってOmnipodの話ではないか?
    リコールも多かったし、彼らのハードウェアとソフトウェアの品質は信用しがたい。
    その会社で働いていた人には申し訳ないが、もっと良い場所で働いていることを願う。
  • インスリン非依存の自分としては、なぜインスリンポンプを携帯電話で制御しなければならないのか気になる。
    Bluetoothコントローラーだけで十分なはずなのに、わざわざ中国製の低価格スマホを使うのはデータ漏えいのリスクが大きく見える。
    • セキュリティのためだ。PDMは完全に隔離されており、アプリのインストールやWi‑Fi接続ができない。
      誤った制御が起きれば、致命的なインスリン過剰投与につながり得る。
      面白いことに、同じ会社のOmnipod 5は米国では一般的なスマートフォンで制御できる。
    • 以前は、ポンプを外部機器で制御するには必ず専用コントローラーを提供しなければならなかった。
      そのためInsuletは別個の機器を出していた。
      Dexcom G7のようなCGMも同じ理由で「コントローラー」を一緒に販売している。
      最近はFDAがこの要件を緩和し、今では利用者の携帯電話を前提とした製品も認められている。
  • 実はこの機器はすでに**リバースエンジニアリング(RE)**されている。
    Loop、Trio、OpenAPSのようなプロジェクトを見ればわかる。
    Insuletはこうしたハックにかなり寛容だった。
    今必要なのはOmnipod 5のREを手助けすることだ。
    • 私もOmnipod 5のRE作業を知っている何人かと接触している。
      現在の問題は、PDM/アプリがログイン時にAPIから秘密鍵を受け取ってキーチェーンに保存し、SSL pinningで中間者攻撃を防いでいることだ。
      まだ秘密鍵を抽出できておらず、進展が遅い。
    • Minimedポンプ(780G)の血糖データ読み取りのREを試みているが、まだ完全には解決していない。
      いつか貢献できればと思う。
  • こうした件をFSFに請願する手続きがあるのか気になっていた。
    彼らがどんな基準で案件を選ぶのか知りたい。
    • 実際に担当しているのはFSFではなくSFC(Software Freedom Conservancy)だ。
      有力な理論では、GPLは      著作権者だけが執行できる      とされている。
      SFCはVizio訴訟を通じて、最終利用者もGPLを執行できる第三者受益者として認めさせようとしている。
      FSFはGNUプロジェクトのように著作権を委任されている場合にのみ介入できる。
      GNU関連の違反はlicense-violation@gnu.orgに報告できる。
      SFCはOpenWrt、Git、QEMUなど複数プロジェクトの法的代表でもある。
      報告についてはSFCの案内ページを参照すればよい。
      ただしSFCのリソースは限られているため、医療機器のように社会的影響が大きい事例を優先的に扱う。
      特にKaren Sandler(心臓除細動器の利用者)やBradley Kühn(血糖モニターの利用者)のような人物がいるため、医療機器の問題に強い関心を持っている。