リスク管理：「フェールセーフ」の視点

昨日のエントリにDakiny様からコメントをいただきました。

ダムの放流のプログラムを作っていた人が言った。

100万回に１回のミスがあっても人が死ぬ。
だから100万回に１回のミスがあってもいけない。

まさに金言です。

ただ、それでも「完全にミスをなくす」ことは不可能です。なぜなら、人は「今の現状から将来起こりえること」をすることは残念ながらできないからです。（これが出来たら「予知」になってしまいますよね。）

だからこそ、「予期しないミスは起こるかもしれない」という発想で、フェールセーフシステムやフォールトトレランスを「全体の仕組みとして組み込んでいく」ことが大切なのだと感じます。ダムの制御システムもそうですが、いわゆる「インフラ」として機能するシステムなら、なおさらです。（ほとんどのシステムは「インフラ」なのかもしれませんが・・・）

報道ベースでの情報しかわかりませんが、今回の障害～トラブルの復旧に手間取った原因は「ハードは多重化されていたが、ソフトウェアは同一だった」ことなのでしょう。「日本経済のインフラ」として高度の可用性（安定して稼動しつづける能力）が求められる東証のシステムに、ソフトウェア面の「冗長性」が組み込まれていなかったのが、非常に残念でなりません。

ただ、私としては、ここで「実際に開発に取り組んだ人の意識の問題」に帰結させたくはありません。なぜなら、このような大規模システムの開発の場合にはたとえ個人の能力が高くても「集団思考のワナ」に巻き込まれる可能性もあるからです。（ちなみに「集団思考のワナ」については、PRESIDENT 20005.11.14号に詳しく紹介されています。）

繰り返しになりますが、重大なインフラを支えるシステムであればあるほど、「１００万回に１回の障害」も許されません。しかし、残念ながら「絶対にミスをさせない」ように人をコントロールすることはできません。だからこそ、この「１００万回に１回の障害」を起こさないために、「人はミスを起こしてしまう」という前提にたって、「仕組み・仕掛けとして、可能な限りミスが大きな障害に繋がらないように、（開発プロジェクトを含めて）マネジメントしていく」ことが必要になるのだと、私は考えます。