スイスチーズモデルで読み解くヒューマンエラーと安全の流儀
スイスチーズモデル:組織の「隙」を埋める安全思想 現代の事故防止のバイブル「スイスチーズモデル」は、安全策をチーズのスライスに見立て、そこに開いた**「穴(欠陥)」**が一直線に並んだ時に重大事故が起きると説きます。 穴の正体は、現場の**「不安全行動」と、組織に潜む「潜在的条件」です。本モデルの核心は、ミスを個人の責任に帰さず、「システムの欠陥」**と捉える点にあります。 運用のポイント 多重防護: 性質の異なる対策を重ね、穴の連鎖を防ぐ。 心理的安全性: ミスを報告できる文化で、隠れた穴を可視化する。 動的な対応: 常に変化するリスクに対し、柔軟に防護壁を調整し続ける。 「誰が」ではなく「なぜ」を問い、組織全体でチーズの穴を塞ぎ続ける姿勢が、真のレジリエンス(回復力)を生み出します。
組織の「隙」を埋めるレジリエンス:スイスチーズモデルで読み解くヒューマンエラーと安全の流儀
現代社会は高度にシステム化されています。医療、航空、製造、あるいは日々のIT運用にいたるまで、私たちは重層的な防護壁(バリア)に守られて生活しています。しかし、皮肉なことに、これほど技術が進化し、何重もの安全策が講じられているにもかかわらず、取り返しのつかない事故はゼロになりません。
なぜ、完璧に思えるシステムをすり抜けて「最悪の事態」は発生するのか。
そのメカニズムを視覚的かつ論理的に説明し、現在でもリスクマネジメントのバイブルとして引用されるのが、ジェームズ・リーズン教授(James Reason)が提唱した 「スイスチーズモデル(Swiss Cheese Model)」 です。
本稿では、このモデルの構造を詳しく紐解きながら、ヒューマンエラーを「個人の責任」として切り捨てるのではなく、「システムの欠陥」として捉えるための思考法を探っていきます。
1. スイスチーズモデルとは何か:重なり合う「穴」の恐怖
スイスチーズモデルの概念は非常にシンプルです。
あるシステムにおける安全対策(マニュアル、点検、訓練、自動警報装置など)を、スイスチーズの「スライス」に見立てます。本来、チーズの一枚一枚は防護壁であり、危険(ハザード)が通過するのを防ぐ役割を持っています。
しかし、現実の防護壁は完璧な一枚板ではありません。スイスチーズのように、いたるところに小さな「穴」が開いています。この穴こそが 「欠陥」や「エラー」 です。
スライスに開いた穴は、大きく分けて2つの要因で発生します。
不安全行動(Active Failures)
現場の人間が直接起こすエラーです。操作ミス、確認不足、手順の省略などがこれに当たります。これらは「鋭い」現象であり、エラーが起きた瞬間に穴が開きます。潜在的条件(Latent Conditions)
システムの設計段階、管理体制、組織文化の中に潜んでいる欠陥です。「人員不足による過労」「不十分な教育」「使いにくいインターフェース」「形骸化したマニュアル」などが該当します。これらは平時には実害を出しませんが、長い間「チーズの中に潜んでいる穴」です。
通常、一つのスライスに穴が開いていても、次のスライス(別の安全策)がハザードを食い止めてくれます。しかし、不運にも複数のスライスの穴が一直線に並んでしまったとき、ハザードはすべての壁を通り抜け、重大な事故という結果を引き起こします。
2. 「誰がやったか」から「なぜ起きたか」への転換
スイスチーズモデルが画期的だったのは、事故の原因を「人」に帰結させるのではなく、「組織」と「システム」に広げた点にあります。
ヒューマンエラーは結果である
かつての事故調査では、「担当者の不注意」が結論とされることが多くありました。しかし、リーズン教授は「エラーは原因ではなく、もっと深い問題の結果である」と説きました。
例えば、ある看護師が薬の投与ミスをしたとします。
個人責任モデル: 「その看護師が注意散漫だった。もっと注意しろ。再教育だ」
スイスチーズモデル: 「なぜ穴が開いたのか? 似たような容器の薬が並んでいた(設計の穴)、ナースコールの頻回で集中が途切れた(環境の穴)、ダブルチェックが形骸化していた(管理の穴)」
このように考えることで、特定の個人を責めて終わるのではなく、 「二度と同じミスが起きないためのチーズの改良」 に着手できるようになります。
3. チーズの穴を広げる「組織の病理」
システムの中に潜在的な穴を増やしてしまう要因は、現場のミスだけではありません。むしろ、経営や管理部門の判断が、知らず知らずのうちに穴を広げているケースが多々あります。
効率と安全のジレンマ
企業活動において「生産性」と「安全性」は常に天秤にかけられます。
「コスト削減のために点検頻度を落とす」
「納期を優先するために、一部の確認工程を簡略化する」
これらは、一時的には利益を生みますが、スイスチーズのスライスを「薄く」し、「穴を大きく」する行為に他なりません。穴が大きくなればなるほど、偶然それらが一直線に並ぶ確率は高まっていくのです。
4. モデルの限界と「レジリエンス・エンジニアリング」
スイスチーズモデルは非常に優れた概念ですが、発表から数十年が経過し、現代の複雑すぎるシステムにおいては限界も指摘されています。
最大の批判は、このモデルが「静的」であるという点です。実際の組織では、チーズのスライスは常に動き、形を変え、穴が開いたり閉じたりしています。また、エラーは一直線に並ぶだけでなく、複雑な相互作用(非線形な現象)によって増幅されることもあります。
そこで近年注目されているのが「レジリエンス・エンジニアリング(Resilience Engineering)」です。これは、「穴を塞ぐ(失敗を避ける)」ことだけでなく、 「状況に応じて柔軟に対応し、正常な状態を維持する能力」 を高める考え方です。スイスチーズモデルが「なぜ失敗したか(Safety-I)」を分析するツールだとすれば、レジリエンスは「なぜ普段はうまくいっているのか(Safety-II)」に注目します。
5. 私たちが今日から実践できること
スイスチーズモデルの教訓を、現場や日常生活で活かすにはどうすればよいでしょうか。
「エラーは必ず起きる」と認める
人間が関わる以上、穴をゼロにすることは不可能です。「注意する」という精神論のスライスは、非常に穴が開きやすく、信頼性が低いことを自覚しましょう。多重防護の「質の多様性」を確保する
「マニュアルを読む」というスライスを3枚重ねても、同じ性質の穴が並びやすいだけです。「物理的なロック(物理的)」「デジタル検知(技術的)」「ダブルチェック(人的)」といったように、異なる性質のスライスを重ねることが有効です。「ヒヤリハット」を宝の山とする
ハザードが最後のスライスで止まった状態、それが「ヒヤリハット」です。この時、穴がどこまで貫通していたかを分析することで、事故が起きる前に「穴の整列」を察知し、未然に防ぐことができます。心理的安全性を高める
現場の人間が「ここに穴がある(この手順は危険だ)」と声を上げられない組織では、潜在的条件は放置されます。エラーを報告しても責められない文化こそが、最強の防護壁となります。
結論:安全とは「動的な達成」である
スイスチーズモデルは、私たちに「安全とは、何もしなくても保たれている状態ではなく、常に穴を塞ぎ、スライスを調整し続ける動的なプロセスである」ことを教えてくれます。
一つのミスを犯した個人を叩いても、チーズの穴は塞がりません。むしろ、責められた個人がミスを隠すようになれば、穴は不可視化され、さらに巨大化していきます。
私たちは、自分たちが持っているスライスの穴がどこにあるのかを冷静に見つめ、互いの穴をカバーし合えるようなシステムを構築し続けなければなりません。スイスチーズの向こう側に潜む「最悪の事態」を見通さないために。
