前ページへ 概要へ 表紙へ


日本におけるシステム危機



 

原子力関連トラブル



◇「もんじゅ」ナトリウム漏れ事故
L5_fig0.gif  1995年12月、動力炉核燃料開発事業団(現・核燃料サイクル開発機構)の高速増殖原型炉「もんじゅ」(福井県敦賀市)で、2次冷却系からナトリウムが漏れ、火災が発生した。放射能漏れによる人体や環境への被害はなかったが、事故後に公開された情報に虚偽があり、社会に不信感を与えた。事故原因は、配管に取り付けられた温度計がナトリウムの流れによって流体振動を起こし破損したため。設計ミス(配管内に突き出たセンサー部分が急激にくびれているため振動を起こしやすい)と装着不備(温度センサーが曲がって挿入されていた)が重なったもので、初歩的なミスによる事故と言って良いだろう。
(高速増殖炉に関しては、「核燃料サイクルと放射性廃棄物」参照)
◇原発トラブル隠し
 2002年8月、東京電力が、福島など3原発の点検の際に配管や炉心隔壁(シュラウド)のひびなどを見つけてていたにもかかわらず、点検記録を書き換えて国に報告していなかったことが、検査を請け負った外国企業の告発によって判明した。同様のひび割れは、中部電力・東北電力でも発見されており、応力腐食割れの一種と見られる。このトラブル隠しにより、東電では社長ら幹部4人が辞任したほか、2003年夏には、全原発17基を停止して点検・補修することになった。日本に原子炉の「維持基準」がなく、わずかなひびでも原子炉を止めて補修しなければならなかったため、安全上問題がないと判断されたものについては、国が派遣する検査官との「あうんの呼吸」で記録に残さないことにしていたという。
維持基準 : 軽微な障害があっても運転を継続して良いとされる基準。日本では、2003年まで新設時の安全基準が運転開始後も適用され、小さな傷の存在も許されなかった。
◇美浜原発蒸気噴出事故
 2004年8月、関西電力美浜原発の2次系で蒸気漏れ事故が発生し、高温の蒸気を浴びた作業員11人が死傷した。事故を起こした配管は27年間交換されておらず、140℃の高圧の熱水流による減肉のため、もともと厚さ10mmの炭素鋼が最も薄いところで0.6mmになっていた(交換の基準は4.7mm)。同様の事故は、86年に米サリー原発で起きており、関電も、保守を請け負っていた三菱重工に点検を委託した。しかし、三菱が作成した点検リストから今回の破断箇所が抜け落ちており、それに気がつかないまま、96年に業務は日本アームに移管される。三菱重工は、後になって、美浜原発をはじめ、北海電力の泊原発や日本原子力発電の敦賀原発でも配管のチェック漏れがあることに気がついたが、その情報を北電と原電に伝えただけで、契約が切れていた関電には連絡しなかった。日本アームは2003年に検査漏れに気づき、事故があった日の5日後に検査を予定していた。
◇東海村JCO臨界事故
 1999年9月30日に、茨城県東海村にあるJCOのウラン加工工場で、核燃料加工中に臨界状態(連鎖反応が始まる状態)に達して中性子線が発生、作業員と周辺住民が被曝する事故が発生した。核分裂反応は10時間以上も継続し、臨界規模は、これまで20件以上起きた同種の事故(その多くが30年以上前のもの)の3番目になる。この事故は、日本の原子力産業史上最悪のもので、事故の深刻度を示す国際的評価尺度でも、チェルノブイリ原発事故のレベル7、スリーマイル島原発事故のレベル5に続くレベル4の事故である。従来、原子力関連施設の危険性は発電所に集中すると考えられてきたが、核燃料加工という比較的危険性が小さいと考えられた作業中に事故が起きたことで、原子力関係者や地域住民に大きな衝撃を与えた。この事故がきっかけとなって、日本では下火になっていた反原発運動が再燃する結果となった。
事故の被害
qa_fig20.gif
 事故の被害は、主に臨界状態で発生した中性子線による。中性子線は貫通力が強く、臨界状態が続いていた18時間にわたって、容器や建物の壁を通り抜けて周辺に放射された。
 この結果、作業に携わっていたJCO職員3名が大量の中性子線を浴びて入院、うち2名が急性の放射線障害で死亡した。最も大量に被曝した職員は、致死量(7000ミリシーベルト)を遥かに越える原爆の爆心地並の17000ミリシーベルトの放射線を浴びたものと推定され、当初から、免疫力低下・消化管での出血・意識障害が見られる危篤状態にあった。血液を作る造血幹細胞の移植・1日1リットルを越える輸血・皮膚移植など過剰とも言える治療が続けられ、83日間にわたって延命させたが、最後は多臓器不全で手の施しようがなくなった。
 このほか、JCO職員・消防署員・周辺住民など100人以上が、一般住民の年間許容量(1ミリシーベルト)を越える中性子線を浴びたが、最大でも50ミリシーベルト程度で、臨床症状が現れるレベル(250ミリシーベルト)には達しないと推定される。ただし、8人の被害者からはDNA損傷を示すデータも見つかっており、健康被害が全くないわけではない。理論的にはガンの発生確率がごくわずかに上昇するはずだが、統計に現れるほどではない。
 核分裂の際に生成される放射性物質(放射能)は、キセノンガスの一部が外部に漏れたほかは大部分が屋内にとどまっており、放射能汚染による被害はなかったと言える。むしろ、汚染を心配した消費者の買い控えにより、茨城県産の農作物が極端な販売不振に陥るなど、風評被害が大きかった。
事故原因
 事故原因は、安全管理を怠ったずさんな作業にある。JCOでは、国の許可を得た手順書を無視して、一度に大量のウランを入れられない構造になっている貯塔を使わず、規定量以上のウラン溶液をステンレス容器(バケツ)で沈殿槽に注入していた。貯塔は半径が細く、核分裂で発生した中性子が側面から外部に放出されるために、臨界状態には達しない。しかし、ウランを注入する作業を何度も繰り返さなければならず、作業能率が悪くなる。経営状態の悪化からコスト削減を要求されていたJCOでは、臨界についての知識を持ち合わせない作業員から、半径の大きな沈殿槽を用いて効率を上げるという提案が出され、現場監督が、核物質取扱資格を持つ技術者の了承を得た上で、この提案を採用していた。事故時に扱っていたウランは、いつもと異なって高速増殖実験炉「常陽」用の濃度の高いものだったため、作業中に臨界状態に達してしまった。
 2003年3月、業務上過失致死傷などに問われたJCOの元東海事業所長ら6名に、執行猶予付きの有罪判決が言い渡された。


 

コンピュータ・システム障害



◇東証売買システム障害
 1997年8月、東京証券取引所の売買システムのうち、売り買いを成立させる「付け合わせシステム」が突然停止、直後に稼働したバックアップ機もまもなく停止した。システム担当者が処置したが回復せず、数時間にわたってオンラインによる売買を中止した。
 原因は必ずしもはっきとしていないが、注文受付とデータ入力のタイミングが偶然かち合うと誤作動するというバグが原因らしい。
  また、2005年11月1日には、売買システムのトラブルにより午前の全銘柄の売買が全面的に停止された。システム障害の原因は明らかではないが、インターネット取引の急増に対処するため10月に処理能力の増強を図ったばかりであり、そのときに生じたプログラムの不具合が、月の変わり目のデータ書き換えによって表面化したと推測される。東証での1日当たりの注文件数は、2年間で3倍近くに急増、これに併せてシステムの増強を繰り返していた。充分な時間的余裕のないままでプログラムを更新している現状が、システム障害の背景にあると考えられる。2005年には、ジャスダックで3度にわたり売買が停止されたほか、大阪・名古屋の証券取引所でもシステム障害が発生しており、日本の証券市場に対する信頼性が損なわれかねない状況である。
◇航空管制システム障害
 2003年3月、東京航空交通管制部で日本上空を飛ぶ航空機の飛行計画を一括して管理するシステムがダウン、20分にわたって全国の空港で離陸ができない状態になった。
 原因は、各航空会社から集まったデータの一部を日本語に変換する処理プログラムにバグがあり、一定の条件が整うと「不正な作業が行われた」と判断してシステム全体をダウンさせてしまうため。このプログラムを前年9月に開発していたNECは、1月になってバグを発見していたが、あるデータが主メモリの特定の位置に格納されたときだけに発生するもので、表面化することはないと判断してそのままにしていた。しかし、3月に防衛庁と飛行計画データをやり取りするプログラムに変更を加えたところ、誤作動が生じる条件が整って、システムがダウンした。
◇みずほ銀行システム障害
L5_fig5.gif  2002年4月1日、第一勧銀・富士銀・興銀3行の合併で誕生したみずほ銀行のコンピュータ・システムに大規模な障害が発生した。数百万件に及ぶ公共料金の引き落とし漏れ、数万件の二重引き落とし、数千件の企業向け振り込みの遅れ、百件以上の預金残高記録の誤り、旧富士銀のATMで富士銀以外のキャッシュカード使用不能などのトラブルが相次ぎ、完全に正常化するまでに1ヶ月かかった。こうした事態を受けて、金融庁は、みずほグループに、経営責任の明確化や再発防止策の確実な実施を求める業務改善命令を出した。
 原因はコンピュータ・システムに対する経営陣の認識不足。統合の決まった1999年には第一勧銀(富士通製)のシステムに一本化する予定だったが、最新式の日本IBM製システムを使っていた富士銀からの批判にあって2000年末に急遽方針を転換、統合後1年間は3システムを併存させて中継コンピュータでつなぐことにした。さらに、2001年末には、旧興銀が中心となるみずほコーポレート銀行が担当する予定だった大企業向け取引のうち、口座振替処理の一部をみずほ銀行のシステムで行うことに変更した。しかし、開発期間が短すぎて、第一勧銀と富士銀の勘定系システムをつなぐ接続プログラムの不具合を取り除けないまま本番を迎え、年度始めで大量の処理が集中してダウンした。
 合併する3行の経営陣は、システム統合の難しさを理解しておらず、当初は、システム統合の責任を負うCIO(chief information officer; 情報担当主任)すら決めていなかった。現場は、相次ぐ方針転換で混乱をきわめ、2002年初めの時点でプログラムが完成していないという有り様で、テスト不足のまま統合本番を迎えることになった。しかし、接続プログラムを担当した第一勧銀のCIO(後に責任をとって辞任)は、経営陣からの問い合わせに対してこうした危機的な状況を伝えず、「大丈夫」と答えていた。
 現在、大規模なシステムでは、全プログラムの合計が1億行を越えるほど巨大化しており、全貌を掌握できるSEはほとんどおらず、システム技術と銀行業務の双方に詳しい人材は皆無に近い。2002-03年には、みずほ銀行以外にも、UFJ銀行、三井住友銀行、りそなグループ、八千代銀行などでシステム障害が発生しており、今後も不安が消えない。
◇日本式情報システムが抱える問題
 日本では、1970-80年代に世界でトップクラスの情報システム(製造業の生産管理システムや部品表システム・銀行のオンラインシステム・小売業のPOSシステムなど)を構築した。しかし、今やこうしたシステムの肥大化と老朽化が同時進行し、経営改革の足かせとなっている。
 現状では、リソースの調整・情報交換・リスク評価などを総合的に遂行するプロジェクト・マネジメントの手法が確立されておらず、場当たり的な修正が繰り返されている。今後は、総合的な能力を持つプロジェクト・マネージャの養成が必要である。


 

日本的危機管理の欠陥



 日本的な危機管理では、「起きる可能性のある事故を事前に想定して対策を講じる」といった能動的な対策はあまり行わず、「これまでうまくいってきた方法を守り続ける」という受動的なやり方に頼ることが多い。しかし、こうした手法では、従業員のモラルが低下したり、突発的な事態が発生した場合に、安全を保つのが難しくなる。

◇出光興産ナフサタンク火災
 2003年9月28日、出光興産北海道製油所のナフサ(粗製ガソリン)貯蔵タンクから出火、全面火災となりタンクは倒壊した。2日前に発生した十勝沖地震の振動にナフサが共振、空気から遮断する浮き屋根が沈んだことに加えて、表面に撒いた泡消火剤も折からの強風で吹き飛ばされてしまい、気化したナフサに電気系統からの火花が引火して大火災となった。出光側がナフサの危険を過小評価して対策が後手に回ったこと、アメリカで導入されているような強力な消火機器が管轄の消防署に準備されていなかったことが、被害を拡大した。
 日本の大手企業が起こした最近の主な火災事故には、次のようなものがある。  日本企業は、韓国や中国企業の追い上げにあって、工場の海外移転や大幅な人員削減を実施しており、安全管理に詳しい熟練技術者が減少しているほか、プラントの改修・更新を先延ばしにしている。こうした状況が、安全水準の低下に拍車をかけているようだ。
◇三重県ゴミ発電所火災
 2003年8月、三重県多渡町のゴミ固形燃料(RDF)発電所の燃料貯蔵サイロ(高さ22メートル、直径15メートル)で火災が発生、5日後には爆発が起こり、消火作業中の消防職員2名が死亡した。サイロ内で火がくすぶり続け、完全鎮火まで1ヶ月以上を要した。
 RDF発電では、可燃ゴミやプラスチックゴミなどをまとめて乾燥・破砕した上でペレット状に固めて燃料とし、3-4000cal/gの熱で完全燃焼させるため、ダイオキシンをほとんど発生しない。ダイオキシン規制法の排出基準を満たしており、比較的小型の設備でゴミ処理と発電が行える「夢の技術」と言われ、「環境先進県」を標榜する三重県でも、積極的に導入が進められていた。しかし、水分を多量に含む日本の家庭ゴミからRDFを製造する場合、乾いたゴミが主体の欧米と同様の方法を採用すると、乾燥が不十分となり、生き残ったバクテリアによって発酵が進みメタンなどの可燃性ガスが発生する。施設を運用していた富士電機は、こうした問題を全く把握していなかった。
 事故後に消防庁が行った調査によると、国内200ヶ所の類似施設のうち、4分の1強で燃料が発火するなどの事故が起きていたことが判明した。2003年11月には、イオン大和ショッピングセンターの生ゴミ処理施設が爆発事故を起こしており、ゴミ処理関連施設における安全管理体制の不備が浮き彫りになった。
◇H2Aロケット打ち上げ失敗
 2003年11月、宇宙航空研究開発機構は、政府の情報収集衛星を搭載したH2Aロケットの打ち上げに失敗、地上からの指令で機体を爆破した。原因は、補助ブースターの切り離しがうまくいかなかったというもので、ブースターのノズル破損が引き金になったと見られる。
 H2Aロケットは、1998-99年に失敗が続いたH2ロケットの後継機として開発されたもので、打ち上げコストが100億円以下と比較的安く、これまで5回続けて成功したこともあって、宇宙ビジネスに参入する道を開いたと評価されていた。しかし、今回の失敗で信頼を著しく損ない、欧州・アメリカ・ロシアが先行する衛星ビジネスへの参入は、きわめて困難になった。
 多数の特注部品を組み合わせて建造する大型ロケットには、自社の生産ラインで細かな改善を重ねて品質を高めていく日本的なQCの手法が通用しにくい。技術面での理解力、総合的な把握力、コミュニケーション能力を併せ持つプロジェクトマネージャが必要となる。
 
◇六本木ヒルズ回転扉事故
 2004年5月、東京六本木ヒルズで6歳の男児が自動回転扉に頭を挟まれて死亡した。頭部に加わった圧力は800kg重に達したたと推定される。2005年9月、森ビルの常務ら3人に、業務上過失致死で有罪判決(執行猶予付き)が下された。
 事故を起こした扉は、オフィスビルと同様の仕様で、子供が一人で通ることは想定されていなかった。しかし、六本木ヒルズは、最上階に展望台や美術館のある都内の新名所として多くの観光客が訪れており、子供や高齢者も頻繁に出入りしていた。子供は、好奇心が旺盛で視野が狭く、頭が重いため転びやすいという特徴がある。子供を含む不特定多数が利用する施設では、弱者向けの安全対策をする必要があるべきだが、その視点が欠落していた。
 扉の回転速度は、オフィスの従業員が出入りしやすいように3.2回転/分という最高速度に設定されており、危険防止用のセンサは、地上から80センチ以下の低い位置にある物体は感知できなかった。また、欧米の回転扉が一般に軽いアルミ材で作られているのに対して、事故を起こした扉は、スチール材で作られている上、モータを回転部分に設置していたため、扉の重量は2.7トンにもなっており、異常を感知してから停止するまでの制動距離が25センチもあった(他社製の扉は12センチ程度)。多くの回転扉に備わっているメカニカルな緩衝装置(大きな力が加わったときに扉の一部が折れ曲がり衝撃を小さくする装置)もなかった。
 国土交通省の調査では、大型自動回転扉の事故は全国で重軽傷133件に上っていたが、自動回転扉は建築基準法の規制対象外で、人身事故情報を行政に伝えるシステムがなく、情報の共有はされなかった。自動回転扉の安全基準は欧米でも未整備で、各メーカの自主的な安全対策に任されることが多い(イギリスでは、2000年に「ぶつかったりはさまれたりした人が怪我をしないような安全特性を有していなければならない」という承認基準が策定されている)。こうした状況を受けて、経済産業省は、2005年8月、最大回転速度を秒速65cm、衝突時の衝撃力を140キロ以下に制限し、危険を感知するセンサーを設置することを定めたガイドラインを策定した。また、JIS規格でも挟まれたときの最大圧力の上限などを定めた自動回転ドア安全規格が設定された。
【参考】シュレッダー事故
 シュレッダーの普及に伴い幼児が指を引き込まれて損傷する事故が多発、2006年だけで11件の指損傷事故(うち4件では指切断)が発生した。
 国民生活センターが行った実験では、家庭で使われる可能性のあるシュレッダー16銘柄のうち、乳幼児の模擬指が投入口に引き込まれ切断されるものが7銘柄あった。ポータブルタイプのもの除き、紙の引き込み力は10〜40kg重と強く、乳幼児が紙をつかんだまま引き込まれる危険性がある。クロスカット方式のものは、5mm厚のゴム片や直径5mmの木棒を容易に切断できるほどの能力がある。紙詰まりのための逆転スイッチは全銘柄に装備されていたが、万一のときの緊急停止スイッチを装備しているものはなかった。
 業務用のシュレッダーは、一般に幼児が周囲にいることを想定していないが、個人情報保護のための家庭内使用、自宅兼用のオフィス(SOHO)での使用が急増していた。
【参考】幼児事故への対策
 滑り台の階段から幼児が転落して重傷を負う事故が発生、当初は不注意による事故と思われたが、専門家による調査で、滑り台に欠陥があることが判明した。
 滑り台の上り階段はらせん階段になっていた。歩幅の小さい幼児は、上りやすい内側を歩く傾向があるが、内側は、段の幅が狭いため踏み外しやすく、勾配が急なために大事故になりやすい。にもかかわらず、手すりは外側だけに取り付けられていた。
 幼児の行動特性を想定に入れた安全対策が必要。例えば、ベランダなどの手すりは、建築基準法では110cmの高さで成人の転落防止が可能とされているが、少しでも出っ張りがあると、幼児はそこを足がかりにして飛び上がるので、その分を見込んだ高さが必要である。


©Nobuo YOSHIDA