情報システム学会 メールマガジン 2012.11.25 No.07-09 [8]
PDFは http://www.issj.net/mm/mm07/09/mm0709-8-vn.pdf

連載 プロマネの現場から
第56回  「想定外」 を考える

蒼海憲治(大手SI企業・金融系プロジェクトマネージャ)

 昨年の東日本大震災直後、圧倒的な被害を前に、東京電力や政府など原発関係者から異口同音に「想定外」という言葉が連発されました。その際のニュアンスが、「想定外だから仕方がない」という自己を免責するトーンだったことに違和感を持たれた方は多いのではないでしょうか。
 システム構築プロジェクトにおいても、本番カットオーバー以降に発生した障害に対して、上流から流れてきたデータやユーザが行ったオペレーションやシステム環境の相違を指して、「想定外」の事象が発生した、という言い方をよく耳にします。
 しかしながら、昨年の震災以来、安易に「想定外」と言うことをたしなめられるようになりました。それは、「想定外」ではなく、考慮不足、知見不足、スキル不足、チェック不足、判断ミス等々ではないのですか、と問われるようになりました。

 今回は、この「想定外」について、少し考えてみたいと思います。

 震災直後に「想定外」という言葉が繰り返されたことに対して、2週間後の3月中旬に、社団法人土木学会、地盤工学会、日本都市計画学会の3学会の声明が公表されました。阪田憲次・土木学会会長が会見で、「安全に対して想定外はない」。そして、「われわれが想定外という言葉を使うとき、専門家としての言い訳や弁解であってはならない」と指摘されたことが強く印象に残っています。

 畑村洋太郎さんが委員長をつとめた「東京電力福島原子力発電所における事故調査・検証委員会」の中間報告書の最後にある「考察と提言」において、「想定外」を想定できなかったことが、真の原因であり、今後の教訓とすべきことが指摘されています。また、畑村さん自身の著作、『「想定外」を想定せよ!―失敗学からの提言』(*1)においても、「想定する」とは何か、また、「想定外」とは何かが、説明されています。

 人がものを考えるにあたって、考える範囲を決める必要があります。この考える境界を決めることを「想定する」といいます。人は、考える範囲を決めないと、きちんと考えることができません。
 すなわち、「想定」とは、考えるために必要不可欠なものです。しかし、「想定」が、物事を考えるために人為的に、意図的に作られた「境界」に過ぎない以上、「ありうることは起こりうる」。

 ≪どんなに発生頻度が低く、「想定外」のことであっても、
起こる可能性が論理的に0パーセントでない限り、起こるときには起こる≫

 だから、どのように「想定」を置いて考えたか。また、その結果、「想定」の外には何があるかを合わせて考えなければ、「想定」した人の思惑を超えて、「想定外」の事象は、常に起こり続けます。

 畑村さんと同じく、「事故調査・検証委員会」に参画された柳田邦男さんは、『「想定外」の罠―大震災と原発』(*2)の中で、一口に想定外といっても、大きく3つのケースがある、といいます。

 A 本当に想定できなかったケース。

 B ある程度想定できたが、データが不確かだったり、確率が低いと見られたりしたために、除外されたケース。

 C 発生が予測されたが、その事態に対する対策に本気で取り組むと、設計が大がかりになり投資規模が巨大になるので、そんなことは当面起こらないだろうと楽観論を掲げて、想定の上限を線引きしてしまう。

 過去の災害事例をみてみると、Aのケースは、極めて少ない。

 BかC、あるいは、BとCの中間あたりのケースが大半を占めている、といいます。開発者目線だと、BとCをうすうす認識していたとしても、優先順位から対応を劣後させてしまうスタンスを取りがちです。つまり、開発の専門家は、災害・事故の専門家ではないことを認識することから始まる、と指摘されています。
 BやCのようなケースにおいて、どのような態度を取ればよいのかは、技術者にとって悩ましい問題です。

 統計学者である竹内啓さんの『偶然とは何か―その積極的意味』(*3)を手に取ったところ、BまたはCのようなケースにどう考え、対処すべきかが明確に書かれていました。

 ≪実際多くの事故、特に重大事故は、複数の互いに独立な原因が、
たまたま重なり合うことによって起こるものであって、
そのことがまさに偶然であったということを意味しているのである。≫
 ≪しかし、それでは単に「不運」であったということで、
被害者にその結果を押しつけてしまってよいであろうか。≫

 大勢の人々に重大な被害が及ぶような大事故・・

≪このような事故は本来「起こってはならない」ものである。
しかし人間の関わることに「絶対」ということはありえないから、稀ではあっても現実にこのようなことは起こりうる。
そのためにまず事前にこのようなことが起こる確率を十分に小さくして、「そのようなことは現実に起こることはない」ことを保証しなければならない。その場合、・・「そのようなことが起こる確率は一年につき百万分の一である」などといってはならず、「そのようなことは起こらない」と保証しなければならない。≫

 それでも、事故は起こってしまった場合、事前の確率は架空の計算にすぎず、確率論は言い訳にならない。

 ≪もしそれが発生すれば莫大な損失を発生するような、絶対起こってはならない現象に対しては、大数の法則や期待値にもとづく管理とは別の考え方が必要である。
例えば、「100万人に及ぶ死者を出すような原子力発電所のメルト・ダウン事故

の発生する確率は1年間に100万分の1程度であり、したがって、「1年あたり期待値死者数」は1であるから、他のいろいろなリスク(自動車事故など)と比べてはるかに小さい」というような議論がなされることがあるが、それはナンセンスである。そのような事故がもし起こったら、いわば「おしまい」である。≫

 万一に備えて、保険をかけてもダメ。このような事故が「絶対起こらないようにする」しかないが、それでも起こるかもしれない。その時の被害を、人類や社会のコンセンサスとして得ているかどうかにあると思います。
 でも、ここに書かれている考え方、「そのようなことは現実に起こることはない」ということを保証するという考えにしたがおうとしたからこそ、原発関係者は、事故は「絶対起こらない」と虚偽報告をし続けたとも認識するのでした。

 システム構築プロジェクトにおいても、「絶対に本番障害は起こすな」という一方、コスト削減の観点から、「なぜ追加テストが必要なのか? そんなに担当のシステムの品質に自信がないのか?」という相矛盾する要求が顧客から出ることがあります。
 そのような際には、「障害・不具合を出さない」という精神論に与するよりも、理にかなったテストの十分性の確保や、本番の実データを利用したリハーサルの実施、見直しの観点を決めた上での再点検の実施の方が、有効であると思っています。

 ところで、なぜ「想定外」という事象が起こってしまうのでしょうか。

 「想定外」が生じるのは、そもそも設定した「想定」そのものに問題があります。

 そして、問題がある「想定」を設定してしまうのには、いくつかの理由があります。

 1.思い込み

 複数の人が同じモノを見ても、同じ事実認識ができるとは限りません。人には無意識・無自覚なうちに、さまざまなバイアス、フィルターがかかっているからです。それは、先入観や既成概念、過去の経験、立場・職位などによって、モノの捉え方が異なるからです。このバイアス、フィルターに対する意識・自覚をした上で、三現主義(現場、現物、現実)からスタートできるかが大切になります。

 2.希望的な観測

 最初は、「そうあって欲しい」と思っていたことが、いつのまにか「そうなっているはずだ」に変化してしまう。

 3.思考停止

 思うことがはばかられる。恐れ多い。見たくない。考えたくない。

 問題が起こった時の影響範囲や被害の大きさが想定できた場合でも、その対策に要するコストが莫大な時、そのような問題はめったに起こらないと考えることで、回避策や軽減策等の対策も取らなくなります。これに、希望的な観測が加われば、なおさらこの傾向に拍車がかかります。
 もしリスク軽減策をとろうとすると、いったん問題が起こらないと整理したことに対して、なぜ対策が必要になるのか、また、本来の回避策のためには莫大なコストを必要とするなら、そもそもの費用対効果がなりたたないのではないか、という指摘に答えられないからでは、と思います。

 4.「人は忘れる」

 「人は忘れる」という大原則があります。そして、人間の忘れっぽさには、「3」の法則がある、と、畑村洋太郎さんは、『未曾有と想定外』(*4)で指摘されています。

  3日 (個人)飽きる
  3月 (個人)冷める
  3年 (個人)忘れる
  30年(組織)途絶える・崩れる
  60年(地域)地域が忘れる
  300年(社会)社会から消える
  1200年(文化)起こったことを知らない

 過去に経験した大きな事故やトラブルも、当事者がいなくなり、その話を伝える人もいなくなると、徐々に記憶が減衰し、なかったものとされてしまう。そして、忘れ去られたことは、想定から外れてしまいます。

 5.想像力の不足

 この点については、前述した柳田邦夫さんの著作(*2)の中で、大きく2つの観点の想像力の必要性を指摘されています。

 ≪問題は、専門家の想像力にあると、私は言いたい。

  想像力とは何か。第一には、起こり得る事故の形態を予測する能力である。

設計や運用の「前提条件」が満たされなかった場合や、「前提条件」としての想定ラインを超えた問題が生じた場合に、どのような事故が発生するかを想像する必要がある。
そのように脳の回転を可能にするには、「前提条件」を絶対視しないで、
現実の多様さやダイナミックスに対して、謙虚であることが求められる。・・≫
 ≪第二は、予想外の形で事故が発生した場合に、周辺の住民や地域にどのような事態が生じるか、その被害の規模と実相についてリアルに想像する感性と思考力が求められるということである。≫

 「想定外」を想定できるのは、日頃から想定の訓練をしている人だけです。したがって、想定内のことだけを考えてきた人には、とうてい対処はできなくなります。

 では、想定外を想定するためには、どうすればよいでしょうか?

 「想定外」を、少しでも想定できるようになるためのヒントを紹介したいと思います。

 1.「全体を把握する」

 まず、全体感を把握することから始まります。
 対象としているシステムを構成する要素と、その要素間の構造を知ること。そして、ある事象がどのような因果関係で成り立つのかを押さえることが大切になります。
 日頃の業務推進にあたって、標準やマニュアルにのっとって、「どうやればいいか」にしたがうだけでなく、自分の頭で「どうしてこうするのか」を理解し、全体像を把握できるようになる必要があります。
 そうすれば、「想定外」の事態が起きたときも、全体を見ながら、どうすればよいか、何が必要かを的確に理解し実現することができるようになります。

 2.マニュアルを自分で作ってみる

 司法試験の勉強法を指南されている伊藤真さんの『夢をかなえる勉強法』において、「想定外」の事象を想定するための有効な訓練として、マニュアル作りを挙げています。

 起こりうる未知の危機を想定して、マニュアルをつくる過程で、様々な効果が得られます。つまり、マニュアルは、マニュアルそのものよりも、それを作る過程に意味があります。

 ≪なぜなら、マニュアルをつくるには、混沌とした情報を集め、
自分の頭で整理し、解き方を考えたりパターンに分けたりする必要があるからだ。
その過程で頭が鍛えられる。
それこそが未知の課題や想定外の問題に対処できる最強の頭をつくるトレーニングになる。≫

 3.「仮想演習」と「逆演算思考」

 未知の課題や想定外の問題を考える訓練として、畑村洋太郎さんが提唱されている「仮想演習」や「逆演算思考」を利用することも有効だと考えています。

 「仮想演習」とは、課題に対して、いかに解決すればいいのかを思考する思考実験になります。前提となっている条件が変わった場合に何が起こるか、先に考えておくことです。
 この仮想演習によって、つねに自分の周囲を観察し、自分の守備範囲以外の課題を4つ5つと設定してシミュレートすることで、周りの失敗を他山の石とすることができるようになるのだと思います。

 「逆演算思考」とは、事故やトラブルが発生した後、あたかも逆回しのフィルムのように、時間軸をさかのぼって考えてみることを指しています。そもそも事故やトラブルを防ぐにあたって、原因から結果を推測するにあたっては、演繹的なプロセスを踏む必要があります。しかしながら、原因から発生しうる事象を洗い出すと、派生する事象が数多く出てくるため、結果として抜けや漏れが生じてしまいます。そのため、過去の事故やトラブルの結果から、原因へ遡及するプロセスを経ることで、演繹的なプロセスを補完することができると考えています。

 ただし、演繹的なプロセスや逆演算思考を用いて、想定するための想像力を発揮するためには、専門家としての知識と経験が必須になります。

 上記のような観点で、技術者自身が考えることが、想定を洗い出すベースになると思いますが、災害や事故等リスク管理の専門家や組織のトップから、「組織として守るべきものは何か」ということとその優先順位を示すことが、想定したことに対する対処への意思決定を大きく左右します。

 最後に、GTD(Getting Things Done、ゲッティング・シングス・ダン)という仕事術で有名なデビッド・アレンさんによる「想定外」の出来事に対する心得を紹介して終わりたいと思います(*5)。

 ≪「思いがけないこと」を予想していれば、
それは「思いがけないこと」ではない。≫
 ≪最悪の事態に直面したときに、心理的にそれに対して準備ができているかどうかは、
思っている以上に重要なことだ。死ぬ覚悟ができている兵士の方が戦いには向いて
いる。
恐怖を消し去ることはできなくても、恐怖を越えることで、
いざというときに体が麻痺してしまうことがなくなるからだ。≫
 ≪最悪の場合はどうなるだろう?
どう対処すべきだろうか。
あらかじめそうした準備をしておけば、たぶん現実には対処しなくて済むだろう。
 (*1)畑村洋太郎『「想定外」を想定せよ!―失敗学からの提言』NHK出版
 (*2)柳田邦男 『「想定外」の罠―大震災と原発』文藝春秋
 (*3)竹内啓『偶然とは何か――その積極的意味』(岩波新書)
 (*4)畑村洋太郎『未曾有と想定外─東日本大震災に学ぶ』(講談社現代新書)
 (*5)デビッド・アレン『ストレスフリーの仕事術―仕事と人生をコントロールする52の法則』(二見書房)