第II部.ヒューマン・ファクター
これまでは、技術によって作り上げられた製品の側に何らかの危険が潜んでいるケースを見てきたが、現代社会に生活する人間が注意しなければならないのは、これだけにとどまらない。むしろ、こんにち報告される被害の少なからぬ部分は、使用していた機械や道具自体の欠陥と言うよりも、操作する人間の側にミスがあったために引き起こされたものである。以下では、こうした「人間に根ざしている危険因子」についての分析を行っていきたい。
§1.ヒューマン・エラーの起源
TVや新聞などのマスコミ報道では、誰かが機械の操作を誤ったり安全確認を怠ったりして事故を引き起こしたとき、その個人に事故全体の責任を押しつける傾向が少なからず見られる。しかし、人間が犯すエラーは、全体的な事象の流れからすると、あくまで一つのリングを構成するにすぎないのであり、その点を看過しては事故の原因を正しく究明することはできない。たとえドライバーが標識を見落としたために事故を招いたとしても、標識を見落とすような条件があるとき−−例えば、必ずしも重要ではない標識が他に乱立していたとか、長時間の過酷な運転を強いていたような場合−−には、必ずしもドライバー個人の責任とは断言できない。このように、ヒューマン・エラーとは、人間の心理的な諸特性が大きく関与する誤操作を総称するものであって、個人に罪をなすりつけるものではないことを、注意しておきたい。
機械操作の心理過程
人間が(一般的な意味での)システムを操作する際には、異なる特性を示すいくつかのステップを踏んでおり、そのいずれの段階でもエラーを犯す可能性がある。こうした心理的/生理的な過程を大ざっぱに言うと次のように分節されよう:
- (1)さまざまなメディアを通じてシステムの状態に関する情報が(視覚/聴覚などの)感覚器官に入力される。
- (2)感覚器官からの信号が大脳皮質で統合され、システムの状態として認知される
- (3)認知された情報に基づいてシステムの状態がモデル化される。
- (4)モデルに基づいて、次に取るべき行動についての判断が下される。
- (5)手や足の筋肉に判断に即した動きが指令され、実際に操作される。
以上の記述は、必ずしも科学的な厳密さを持つものではないが、エラーの起源を分類する上では有用である。
認知のエラー 感覚器官にインプットされる情報が適切でない場合は、認知の段階でエラーが生じることがある。不適切な情報としては、量的に過大ないし過小なもの、あるいは質的に混乱をきたしやすいものが考えられる。
過小な情報が認知のエラーをもたらす例は、日常的な経験からも容易に見いだされるだろう。しかし、情報が多ければ良いかというとそうでもなく、逆に人間を混乱させてしまうケースがある。現に、後で述べるスリーマイル島原発事故では、次々に鳴り響く警報がオペレーターの誤操作を引き起こすきっかけとなっている。また、一時代以前の航空機のコックピットはまさに計器の洪水であり、正しく指示値を読み取るためには相当の訓練が必要となっていた。
こんにちでは、認知のエラーを避けるために、人間工学(エルゴノミクス)と呼ばれる学問が研究されており、入力される情報の質の向上が図られている。例えば、新しい機種のコックピットでは、中央に機体の姿勢(バンク角など)を表すメーター、左右にはそれぞれ速度計と高度計というように、重要な情報を与える計器をパイロットの前面にT字型に配置しており、操縦する上で必要性の高い情報が優先的に目に入るようになっている。
操作のエラー 正しい判断を下しながら、機械を操作するときにうっかりと誤ってしまうケースも、日常的に頻発している。数年前にマスコミを賑わせたオートマ車の急発進事故も、(全てではないものの)多くはブレーキとアクセルの踏み間違いに起因している。こうした誤操作は、クラッチ・ペダルがなくなった分だけ足に対する意識が希薄化した一方で、右足でブレーキとアクセルの2つのペダルを踏み分けなければならないために引き起こされたものである。これを避けるために、アクセルは右足で、ブレーキは左足でそれぞれ操作する機構に変更するのが好ましいという主張もあるが、マニュアル車との互換性がないため、実現はされていない。
判断のエラー 現代技術に固有の問題として私が特に強調したいのは、先の(3)から(4)の段階における「判断のエラー」である。航空機やコンピュータに代表されるように、こんにちではシステムがきわめて複雑なものになっているため、その状態を正しくモデル化することが困難をきわめ、その結果として正当な判断が下せないという状況が指摘される。
システムの状態が正しく把握できなくなる原因は、必ずしも単純ではない。操作する人間の意識レベルが正常ではなく、興奮してパニック状態になっていたり、逆にレベルが低下していたりすると、当然のことながら的確にモデルを構成するのは難しくなる。また、計器の故障や認知のエラーによって情報が正しく伝達されない場合は、システムの状態を誤ってモデル化しても仕方ないだろう。
いかにも現代的な要因と言えるのが、制御コンピュータの登場である。こんにちでは、きわめて複雑なシステムをコントロールするのにコンピュータが利用されるのが一般的になっているが、操作する人間とシステムの間に余分な要素が介在することによって、結果的に状況の直観的な把握が妨げられている。通常は、コンピュータが適切に制御してくれるので、人間が判断をさぼってもさしたる不都合はないが、ひとたび異常事態が発生すると、コンピュータの介在が人間の混乱に拍車をかけることになってしまう。
こうした状況を如実に表した事故が、1985年に起きている。中華航空のジャンボ機がサンフランシスコ沖を高度1万2300メートルで巡航中、乱気流に巻き込まれたことが引き金になって第4エンジンにトラブルが生じた。こうした場合には、運行規則でマニュアルによる操縦に切り替えることが定められていたが、搭乗のパイロットは、これに違反してコンピュータ制御によるオート航法を継続した。この航法を採用すると、風向きの変化や左右のエンジン出力のばらつきがある場合でも、あらかじめ設定された目的地に機首を向けるように、フラップなどが自動的に調整されるようになっている。ところが、特定のエンジンの出力が低下すると、バランスをとろうとして反対側のフラップを下げるため、機全体の推力が下がって失速しやすくなる。中華航空のケースでも、マッハ0.85の巡航速度からマッハ0.78まで下がって失速し、ついに文字どおり「まっ逆さま」に墜落を始めた。幸いなことに、機長がきわめて優れた技量の持ち主だったため、9600メートル落下した地点で姿勢を立て直して惨事は免れたが、この際に荷重限界が2Gの機体に5Gの加速度がかかって水平尾翼が吹っ飛ぶなど、危機一髪の状態だったという。
この事故の教訓は、もしエンジンに異常が生じた時点でマニュアルに切り替えていたならば、失速することはなかったという点である。なぜなら、マニュアルで操縦する場合、左右のエンジン出力に差異があると、操縦管を操って機体の姿勢を保たなければならず、推力の低下を身をもって実感できるので、失速する前に適切な状況判断を下せるからである。このように、コンピュータによる制御は、システムが適正に稼働しているときには機能を充分に発揮するが、ひとたび異常が生じたときには、人間とシステムの間に割り込んだクッションとして、かえってシステムの状態を隠蔽する危険があることに注意しなければならない。同様の指摘は、自動的にギヤをシフトするオートマ車の運転や、コンピュータを利用した株式売買についても当てはまるだろう。
以上のように、「判断のエラー」を引き起こす原因としては、さまざまなものが指摘できる。しかし、誤った判断が下される心理的プロセス自体は、比較的単純なものである。システムに対峙している人間は、その状態を表すモデルを脳裏に想定しており、これに基づいて判断を下している。ところが、こうしたモデルは、上に述べたような理由で、往々にしてシステムの状態を的確に表現しておらず、先入観や思い込みによる過剰予測の部分や、危険性を察知しない過小予測の部分を抱えている。したがって、ここから引き出される判断も不適切なものとならざるを得ない。こうした「判断のエラー」は、システムが複雑さを増せば増すほど、不可避なものになってくる。
次に、節を改めて、「判断のエラー」が大事故を引き起こした典型として、スリーマイル島原発事故を考察しよう。
§2.恐怖の2時間18分−−スリーマイル島原発事故
1979年3月28日に、ペンシルバニア州にあるスリーマイル島原子力発電所2号炉で起きた事故は、当時「史上最悪の原子炉事故」と呼ばれ、世界を震撼させた。その後、被害規模ではこれをはるかに上回るチェルノブイリ原発の事故が発生したため、いささか影が薄くなった感もあるが、現代技術に付随している危険性を論じる上で、これが決して忘れてはならない事故であることは今も変わりない。直接的な被害という点では、スリーマイル島事故は(報告された死傷者がいないなど)ごく軽微にとどまったが、一歩誤れば炉心溶融を起こして放射性物質を周辺にまき散らしかねなかっただけに、事故の深刻さを過小評価してはならない。何よりも、スリーマイル島の事故は、日本の原子力発電にとって他山の石となるものである。チェルノブイリ原発の事故は、かなりの程度までソ連の特殊事情に起因しており、同種の事故が日本で起きる可能性は少ない。しかし、スリーマイル島原発で起きたことは、近い将来にわれわれが同じ轍を踏んでもおかしくはないタイプのものであり、それだけに、この事故の教訓を心にとどめておかなければならないのである。
原子炉の構造
スリーマイル島事故の内容について述べる前に、原子炉の構造について必要最小限の説明しておく。
事故を起こした2号炉は、バブコック&ウィルコックス社製の加圧水型軽水炉で、その後の調査で安全性に若干の問題があることが判明したが、基本的な構造は、原子炉の大手メーカーであるウェスティング社製のものと相違はない。
原子力発電といっても、電気を起こす機構自体は火力発電と同じく、熱を用いて蒸気を発生させ、その勢いでタービンを回して発電するというものである。ただし、火力発電所と異なって、熱源として放射性物質の核分裂を利用しているため、炉心と直接に接触する冷却材が放射能を帯びてしまうことから、汚染を避ける必要上、これを原子炉内部に閉じこめる構造になっている(図参照)。加圧水型軽水炉の場合、炉心で熱せられる1次冷却材としては、(重水ではないふつうの)水が用いられる。もっとも、1気圧のままでは炉心に接触した水が気化してしまい熱効率が悪くなるので、圧力を加えて液体の状態に保ったまま、炉心を通る経路を循環させるようにしている。こうして、炉心で 300℃以上に熱せられた1次冷却水は、蒸気発生器に送られ、そこで2次冷却水に熱を受け渡した後、外部に漏れないようにしたまま炉心まで戻ってくる。一方、熱を受け取った2次冷却水は、そのまま気化してタービンを回してから、復水器で水に戻され、再び蒸気発生器に送られることになる。
原子炉にはきわめて有害な放射性物質が大量に存在しているので、事故を防ぐさまざまな手段が講じられている。
最も危険な事故は、1次冷却水が喪失して炉心がむき出しになり、冷やされないまま過熱して炉心溶融を起こすケースである。最悪の場合は、水蒸気爆発ないし水素爆発によって格納器が吹き飛び、放射性物質が周囲に飛散する惨事になる。これを防ぐため、非常時に1次冷却系に冷却水を注入するECCS(緊急炉心冷却装置)が設置されており、万一の場合には自動的に起動するようになっている。また、2次冷却水が失われたときに備えて、補助給水装置も用意されている。
冷却水喪失事故ほど重大ではないが、原子炉のオペレーターが恐れている事態として、1次冷却水がソリッド(完全満水)になることが指摘される。通常は、冷却水の循環路に若干の余裕があって体積の変化に対するクッションとしての役割を果たすが、冷却水がソリッドになると、炉心の状態が僅かに変わるだけで圧力が急激に変動するため、圧力の制御が不能になって危険である。このため、1次冷却水に加える圧力を作り出している加圧器には逃がし弁が取り付けられており、内部の圧力が急激に高まると、ここから余分な冷却水をタンクに逃がす設計になっている。
事故の背景
スリーマイル島原発の2号炉は、事故を起こすちょうど1年前に臨界に達して稼働を始めたが、当初から小さな故障が続発していた。原子炉のような巨大システムの運転を開始したときには、さまざまな初期故障が現れるのが常だが、これらはしばらく動かしていくうちに解消されるのが一般的だが、スリーマイル島の場合は、いつまでも故障が改善されず、あちこちに故障札がぶらさがり、不調を示す警報ランプが点灯したままで運転を続けていたという。その背景には、この原子炉を運営していた電力会社の経営状態が思わしくなく、いちいち原子炉を停止して整備するよりも、「だましだまし運転する」ように指導していたという経緯がある。この結果、安全管理の意識もかなり低下しており、1号炉では1次冷却水から漏れだしたホウ酸塩による鍾乳石が、30センチほどに成長してパイプからぶら下がっていたまま放置されていた。
原子炉の不具合の中でも特に重大なのが、加圧器逃がし弁の不調である。この弁は、1次冷却系の圧力が高まったときに自動的に開いて冷却水を放出するものだが、圧力が低下した後も閉じないで「開固着」しやすい欠点があった。このことは、以前にバブコック&ウィルコックス社製の原子炉で稼働前の慣らし運転中に発生した事故を通じて指摘されていたが、当時は注目する人もいないまま無視されていた。しかも、さらに悪いことに、オペレーターが見る表示板では、実際の開/閉の状態ではなく、電気的に開/閉の指令を出したかどうかが表示されるようになっていたため、逃がし弁が「開固着」しても、閉指令が出ていた場合は、オペレーターが見逃す危険性が大きくなっていた。
こうした小さな故障が相次ぐ中で、重大な操作ミスが事故の直前になされている。既に述べたように、2次冷却系には万一に備えて冷却水を補給する装置が設置されているが、補助給水装置は非常時に寸時を争って起動しなければならないものなので、そのバルブは常に開いていなければならない。ところが、数日前にこれを点検した際に、整備員が給水用のバルブを誤って閉じたままにしてしまったのである。もっとも、当の整備員は、事故後に開かれた調査委員会で「神に誓って」バルブを開いたと証言しており、真実は必ずしも明らかではないが、状況からみて、整備員のミスである可能性が高い。いずれにせよ、肝心の補助給水装置が使えない状態で、スリーマイル島2号炉は事故の当日を迎えるのである。
事故の経過
大事故は得てして些細なことから始まるものだが、このスリーマイル島事故の場合も例外ではない。ここで発端になったのは、タービンを回転させた蒸気を再び水に戻す復水器のトラブルである。復水器には溶解している塩を取り除く脱塩装置が付属しているが、そのフィルターが目詰まりを起こしため、当直のオペレーターは、圧搾空気を送り込んでこれを解消しようとした。ところが、その作業の際に、溢れた水が弁を操作する部分に入ってしまい、2次冷却水を循環させる配管の弁が閉じたため、自動的に主給水ポンプも停止することになった。この時点が、スリーマイル島原発事故の出発点と考えられる。
ポンプの停止によって2次冷却水の循環が止まることは、非常事態とは言え、設計段階で充分に予測できる「ノーマルな」事故であり、それなりのバックアップ体制が整えられている。このときも、主ポンプが停止すると直ちに補助給水ポンプが稼働を始めており、これによって冷却水が補給されていれば、あれほど深刻な事態は避けられたはずだと考えられる。だが、すでに述べたように、補助冷却水を流し込む配管のバルブが誤って閉じられていたため、2次冷却水の循環が止まったまま蒸気発生器の水位が低下し、炉心を通ってきた1次冷却水の除熱が充分に行われなくなった。この状態が続くと炉全体が危険になるため、コンピューターの判断で自動的に制御棒が挿入されて原子炉が緊急停止するに到った。主給水ポンプが停止してから、わずか8秒後のことである。次に取り組まなければならないのは、核分裂の連鎖反応は停止したとは言え、いまだに高温を保っている原子炉の余熱をいかにして取り除くか−−という点である。
そうこうしているうちに、2次冷却水による除熱が充分に行われないまま、1次冷却水が次第に高温になり、それに伴って水の体積が膨張して圧力が高まってきた。このため、原子炉容器に加わる圧力が規定の 159気圧を越えた時点で、加圧器の逃がし弁が自動的に開き、余分な圧力を逃がし始めた。ところが、設計では内部の圧力が 155気圧になったところで再び逃がし弁が閉じるはずだったにもかかわらず、弁が開固着を起こして閉じなくなってしまった。この状態は、ちょうどパイプに小さな穴が開いたのと同じことになり、原子炉関係者が最も恐れる「1次冷却水喪失事故」に発展しかねない。したがって、炉の余熱を除いて事故を回避するためには、逃がし弁を閉じて失われた冷却水を補給することが急務となる。
にもかかわらず、当直のオペレーターは、1次系が満水に近い状態にあると誤解してしまい、結果的に事態を悪化させるような処置を取り続けることになる。オペレーターの誤解を生んだ原因は2つある。
第一に、加圧器に取り付けられていた水位計が誤って満水状態を指示していた点が指摘される。原子炉内部は直接に覗くことができないため、水量を知るためにはさまざまな計器を読み取る必要が生じるが、その中でも水位系の指示値が最も直接的なものであり、オペレーターがこれに頼る度合いも高くなる。ところが、加圧器の上部にある逃がし弁が開いている場合は、そこに向かって水と蒸気の入り混じったものが吹き上げてくる結果、水位計が最大値まで振り切れることになりやすい。もちろん、圧力計や温度計などをもとに原子炉内部の状態を推測すると、水位計の指示値が誤りで冷却水が減少していると結論できるはずであり、事故後の報告書を読んだ技術者の中には「これほど明確なデータが揃っているのに、なぜ操作員は冷却水の喪失に気づかなかったのか」と疑問を呈した人も少なくなかった。だが、これは“岡目八目”というもので、緊急事態に直面してパニック一歩手前にいる人間は、さまざまな情報を総合する能力が減退しており、どうしても水量に関して直接的なデータを与えてくれる水位計の目盛りを信用しがちになる。
オペレーターを誤解させた第二の原因は、操作ボード上で加圧器逃がし弁に関する表示が、実際の状態を表すものではなく、開/閉の指令を指示するものだった点にある。問題の逃がし弁に対しては、1次系の圧力が下がった時点で弁を閉じるように電気的なシグナルが送られているため、ボード上の表示は「閉」になっており、オペレーターが弁の開固着を見逃しても仕方のない状況にあった。
ここで興味深いのは、人間のオペレーターが状況判断を誤っている間にも、コンピューターは正常に機能していた点である。開きっぱなしの逃がし弁から冷却水が失われつつあるという事態は、(誤った指示を出している水位計ではなく)圧力計や温度計のモニターを通じて判定され、これに基づいて、事故発生2分後には緊急炉心冷却装置(ECCS)が起動して1次冷却系に大量の水が送られ始めた。このままECCSが作動し続けたならば、これ以上の事故の拡大は避けられたとの見方もある。ところが、現場のオペレーターは、すでに1次系は満水に近いと錯覚していたため、ソリッドになってコントロールを失う危険を避けようとして、3分後にはせっかく動きだしたECCSを手動で止めてしまった*1。この結果、逃がし弁からの漏出が続く1次系の水量は危険なまでに減少することになる。
事故発生後8分を経て、ようやく事故原因の一つが取り除かれる。すでに見たように、2次系の補助給水バルブが誤って閉じられていたことが事態を悪化させる重大な契機になっていたが、オペレーターの一人がこれに気づいて、バルブを閉じる処置を取ったのである。ただし、この時点で1次系がもはや危機的状況に陥っており、この処置も焼け石に水でしかなかった。補助給水ポンプが稼働しているにもかかわらず2次系で水位の低下が見られることが表示ボードのモニターを通じて明らかになっていながら、8分にわたって補助給水バルブの開け忘れが看過されていた理由として、あるスイッチに掛けられていた注意札がバルブの開閉を示す表示を覆い隠していた点が指摘されているが、お粗末としか言いようがない。
2次系の補助給水バルブは開けられたものの、最も重大な加圧器逃がし弁の開固着には誰も気がつかない。むしろ、オペレーターの意識は、最初にトラブルを起こした復水器や補助給水バルブのある2次系に集中してしまい、1次系の危機が認識されにくい状況になったようである。そうした中で、逃がし弁からの水漏れは続き、事態は悪化の一途を辿りつつある。事故発生して15分後には、逃がし弁から漏出した冷却水を貯めておくドレンタンクの安全蓋が破損し、放射能を帯びた水が外部に流出している。冷静に考えれば、これは大量の冷却水漏れを意味していると分かるのだが、目の前のボードの操作に忙殺されているオペレーターにはそれだけの心理的余裕がない。また、22分後には中性子のカウント数が急増し、炉心周辺の冷却水に気泡が発生したことを知らせているが、この重要な情報も見逃されてしまう。
こうした中で、事態を決定的なものとする失策が行われる。2次系の主給水ポンプが停止してからほぼ1時間を経過した頃から、1次冷却水を循環させるポンプが音をたてて振動を始めた。これは、圧力低下と温度上昇の結果として水中に気泡が生じ、この泡がポンプ内部で破裂するために引き起こされる現象である。振動をそのまま放置すると、ポンプが故障するばかりか、周辺のパイプのシールド部分が破損して冷却水が急激に失われる危険があるため、早急に対策をとらなければならない。原子炉内部を見ることができれば、ここで必要な措置が、ECCSを再起動して冷却水を補充し気泡を消滅させることだとわかるはずだが、状況を正しく把握できていないオペレーター達には、こうした適切な判断は望むべくもない。彼らは、ともかくもポンプの振動というさし当たっての危険を回避しようと、冷却水ポンプを手動で停止することを選んだ。スリーマイル島原発事故の全経過の中で、この操作は、先のECCSの停止とともに決定的な失敗であり、これによって事態は一気に破局に突き進むことになる。
全部で4基ある1次冷却水循環ポンプのうち、事故発生から1時間14分後にはじめの2基が、続いて1時間41分後に残る2基が止められた。この結果、冷却水が循環する過程でわずかに行われていた除熱がほとんど不可能になり、水位の低下にいっそう拍車がかかることになる。こうして、事故発生から2時間が経過したとき、ついに、炉心の一部が気相中に露出してしまう。こうなると、熱の逃げ道がなくなって炉心が過熱し、最終的には溶融を始める。さらに、被覆材として用いられていたジルコニウムが溶け出し、これが水と化学反応を起こして水素ガスが発生して、水素爆発の危険まで派生する。もし、高熱や水素爆発によって原子炉の格納庫が破壊されると、放射性物質が大量に周辺にまき散らされる“チャイナ・シンドローム”の悪夢が実現されることになり、もはや状況は大惨事の一歩手前まで差し迫っている。
ちょうど同じ頃、事故の最大の要因となっていた加圧器逃がし弁の開固着が発見され、1次冷却系に開いていた“穴”が塞がれている。この操作は、事故発生後2時間18分に行われているが、面白いことに、誰が気がついて閉じるように指示したのか、事故後の調査委員会でもはっきりしていない。それほどまでに、現場の人々は冷静さを失い、何が重要な操作で何がそうでないかを判断する能力が失われていたのである。ともあれ、これで冷却水が完全に失われる危険は去った訳であるが、なおも状況の正確な判断はなされておらず、冷却水ポンプやECCSの再起動はしばらく行われていない。その間にも、放射能漏れは一段と深刻さを増し、原子炉内部では小さな水素爆発まで発生している。幸いにも、格納庫がきわめて頑丈に作られていたため、チェルノブイリ原発事故のように建物の屋根まで吹き飛ぶという惨事は避けられたが、事態がきわめて危険なことは変わりない。こうした中で、事態の早期解決は困難との判断が下され、周辺住民に避難を勧告する「緊急事態宣言」が出される。こうして、スリーマイル島原発事故は、新たな局面を迎えることになる。
この事故に関する著作の多くが、放射能漏れの実態や住民の間に広がったパニック的状況の記述にページを費やしている。これらの問題は、社会的な影響という観点からはきわめて興味深いものではあるが、この章の目的は、人間に由来する危険性を論じることにあるので、これ以降の事故の経過を語ることは控えたい。
事故の原因
これまでの記述を通じて、当時「史上最悪」と言われたスリーマイル島原発事故の原因が、原子炉を“空炊き”していながら冷却水が満水状態になっていると誤解したオペレーターの判断のエラーにあることは明らかだろう。だだし、これはあくまで因果連鎖の「最後の鎖」にすぎず、それ以前の段階で、エラーを誘導するさまざまな要因が揃っていたことが指摘されねばなるまい。
第一に、原子炉を設計する時点において、確率的な事故予測に基づく危険分析が誤っていたことが挙げられる。原子炉で大事故が発生する危険性に関しては、有名なラスムッセン報告書があるが、そこで考察されているのは、主として、「個々の部品がどの程度の頻度で故障し、その結果として、どの程度の確率で事故が生じるか」という予測である。これは、ごく単純化して言えば、冷却水のパイプに穴が開いたちょうどそのときに、ECCSが稼働しなくなる確率はいくらかを計算することによって、冷却水喪失事故が起きる確率を計算するものである。ところが、スリーマイル島で起こった現実の事故においては、確率論的な予測が全く通用せず、設計者が考えてもいなかったようなプロセスを経て、事態が悪化の一途を辿ることになった。その背景には、オペレーターが誤った判断基準に基づく操作を次々に行ったため、事故の各プロセスが独立な事象ではなく、“将棋倒し”的に発展していったという事情がある。すなわち、「加圧器逃がし弁が開固着を起こし、パイプに穴が開いたのと同じ状態になる」→「加圧器の上部に開いた抜け道めざして水蒸気の入り交じった水が吹き上げたために、水位計が振り切れる」→「水位計の指示値を見て満水状態と誤解したオペレーターが、ECCSを手動で停止する」→「水位の低下に伴いキャビテーションが発生したため、危険防止措置として冷却水ポンプも停止する」という一種の“将棋倒し”の事態となって、「パイプに穴が開く確率」×「ECCSが稼働しなくなる確率」×「冷却水ポンプが稼働しなくなる確率」から計算される事故確率からすると、常識的に起きるはずのない事故が起きてしまったのである。ラスムッセン流の危険分析に基づく設計思想の下では、確率的に見て起こり得ない事故が起きた場合の対策−−例えば、手動で停止できるECCS以外に冷却水を補給するバックアップの設備など−−は不必要とされ、(冷却水ポンプを停止しないように定めた)事故対策用マニュアルも充分ではなかった。こうした設計思想の欠陥が、事故の拡大を招いたことは論をまたない。
第二に取り上げたいのが、オペレーターの質の問題である。事故の発端となった復水器のトラブルが発生したときに現場にいた4人のオペレーターは、いずれもハイスクールの出身で、大学で原子炉の理論を専門的に勉強した経験はなく、原子力潜水艦に搭乗して原子炉の操作を体得しただけであった。アメリカなどの原発先進国では、質の高いオペレーターを確保することが難しく、必ずしも専門教育を受けていない人が原子炉を操作するのはは珍しくない。ただし、このことが事故の主原因になったとは考えられない。たとえ基礎理論をカレッジで学んでいなくとも、入社してから適切な研修を行っていれば、充分に対応できるはずだからである。むしろ問題なのは、会社側がオペレーターに対して安全性重視の訓練を行っていなかったと思われる点である。スリーマイル島原発は、臨界後もさまざまなトラブルを抱えながら稼働していたが、こうした中で修理/点検のために原子炉を止めないように「だましだまし」運転するように要求されていたとする指摘がある*1。さらに、原子炉の運転に当たって最も恐れなければならない冷却水喪失事故に対処するしかたを充分に訓練しておらず、むしろ、危険性の低いソリッド(完全満水)への対応に重点を置いていたようである。
第三の問題点として、警報や表示の不適切さを指摘しなければならない。すでに述べたように、この事故では、加圧器逃がし弁の「閉」表示と、満水状態を示していた水位計の誤指示が重要なポイントになっている。こうした明らかな誤りにとどまらず、多くの不適切な情報が乱れ飛んでオペレーターの混乱に拍車をかける結果となった。例えば、本来は事故の発生原因を明らかにするはずの警報ランプが一斉に数十も点灯したために、その場にいた人間は、何がトラブルの元になっているのかわからなくなってしまったという。また、コンピューターが故障内容を印刷する設備が据え付けられていたにもかかわらず、プリンターの速度が遅すぎて敏速に対応できなかった事実も明らかになった。水位が低下したときのECCSの起動など、コンピューターは人間よりも適切に事態に対応していただけに、適切な表示が工夫されていれば、事故の拡大を防げたものと思われる。
スリーマイル島原発の事故があれほど巨大なものになった背景には、以上のような条件が重なってオペレーターの判断のエラーを誘い、ECCSと冷却水ポンプの停止という決定的な誤操作を引き出したという事情がある。マスコミの中には、この最後のプロセスだけを見て「操作ミスが事故原因」と報じたものもあるが、これがいかに皮相な見解にすぎないかは、これまでの議論から明らかだろう。それどころか、巨大なシステムの中で人間が判断を誤っていく一つの典型を見ることも可能である。われわれがこの事故から学ばなければならないのは、技術に対峙する人間一般の問題なのである。
§3.悪意ある侵入−−コンピューター・ウィルス
これまで見てきたのは、ヒューマン・エラーがシステムに何らかのトラブルをもたらすケースだった。しかし、人間につきまとう心配は、何もエラーだけにかぎらない。より直接的に悪意をもってシステムに害を与える可能性も忘れてはならない。もちろん、こうした中には、サボタージュによる物理的な破壊工作も含まれるが、貧富の差が激しい社会ならばともかく、こんにちの日本のように、国民の大多数が経済的な豊かさを享受している社会においては、この種の活動はそれほど目立つものではない。そのかわり(と言っては何だが)、新しいタイプの破壊活動して、ソフトに対する犯罪が増加している。実際、ハードウェアを物理的に破壊する行為を嫌悪する人の中にも、ソフトウェア犯罪に関しては倫理的な抵抗感が薄れる傾向がある。この点を、ヒューマン・ファクターのもう一つの側面として考えてみたい。
ソフトウェア犯罪の種類は多様であり、レンタル・ビデオのダビングも著作権法違反の立派な犯罪になるが、現代社会で特に重大な影響を持つのが、コンピューター・システムに対する違法行為である。改めて述べるまでもなく、コンピューターは社会のあらゆる領域に入り込み、銀行の出納業務からJRの乗車券発売に到るまで、事務処理のからむ職務には欠かすことのできないものになっている。しかも、大きな事業所においては、大型機が単体で使用されるよりも、複数のワーク・ステーションを電話(もしくは専用)回線で接続してネットワーク化して利用しているケースが多く、それだけに、これを狙った犯罪は大きな社会的影響を及ぼすことになる。
こうしたコンピューター・システムに対する違法行為は、ハードをターゲットとする場合ほど大きな罪悪感を引き起こさないという特色がある。アンケート調査によれば、パソコン通信を通じてコンピューター・ネットワークに接している人の4分の1が、「電話のただがけ」程度の軽微な犯罪ならやってみたいと答えている(グラフ参照)。また、5%強の人が「金融機関のコンピューターに侵入して金をもうけてみたい」と回答しており、真剣味のないアンケートであることを勘案しても、銀行強盗をやってみたいと思う人に較べて格段の高率であることは間違いない。実際、会社のコンピューターを操作して、社員に支払われる給与の1ドル未満の端数をまとめて自分の口座に振り込ませていた技術者がアメリカで捕まったことがあるが、結果としては単なる給与泥棒であるにもかかわらず、犯人に対してある種の賞賛の念を禁じ得ないのが人情というものだろう。ことほどさように、コンピューターに相対すると、倫理基準が低下するのが人間の本性なのである。逆に言えば、ここに現代の技術社会における最大の弱点を指摘することもできる。
コンピューターに対する犯罪としては、秘匿されているデータやプログラムの入手、不正なデータの入力、あるいはコンピューターそのものの不正使用なども忘れてはならないが*1、ここでは、「90年代最大のテクノ・テロリズム」として警鐘を鳴らす人もいるコンピューター・ウィルスの問題を取り上げたい。全米電算機保安協会がアメリカとカナダの企業や官公庁など 606の大口ユーザーを対象に行った調査によると、ウィルス被害にあったユーザーは全体の63%に及び、最近9ヶ月間のうちに保有バソコンの4分の1以上が使用不能になるような大被害が 9%のユーザーで発生しているという。この中には自分の操作ミスや機械の故障によって発生した被害が誤認されているケースもかなり含まれていると予想され、多少は割り引いて考える必要もあるが*2、それでも、被害の大きさは無視できないものがある。
コンピューター・ウィルスの種類
コンピューター・ウィルスという呼称は、犯罪的プログラム全般に対して用いられることが多く、その中には、狭義のウィルスを含むいくつかの種類がある。以下に、簡単に説明しよう。
(1)トロイの木馬 : ギリシャ神話から名前を借りたこのプログラムは、他のプログラムの中にそれと分からぬように隠されており、ユーザーが気が付かないまま利用すると、いきなり起動して悪さをする。1987年にIBMのメール・システムに仕掛けられたトロイの木馬は、クリスマスのグリーティング・カードの姿を借りており、“Merry Christmas” のメッセージとクリスマス・ツリーとともに、「“Christmas” と入力すると楽しいことがありますよ」と表示する。これに釣られてキーワードを入力すると、途端に電話回線を通じて同じプログラムを次々と発送し始め、止めようとしても止まらなくなるというものである。それ自体は実害のあるプログラムではないが、膨大な数のメールが発送されることになるため、結果的にIBMの回線をパンクさせて大きな被害をもたらした。
(2)論理爆弾 : ふだんは何の機能も示さないが、特定の条件が整って起動するとコンピューターのシステムに被害を与えるプログラムであり、特に、パソコンに内蔵されたカレンダーの日付を条件とするものを、時限爆弾と呼ぶ。例えば、「イスラエル」と呼ばれる時限爆弾は、パレスチナ解放記念日の 5月13日になると発動するようにプログラムされている。論理爆弾が行う「悪さ」には、ビープ音を鳴らしたり他愛もないメッセージを表示するなどの取るに足りないものも多いが、中には重要なデータを消去してしまうなどの危険なプログラムがある。
(3)ワーム/ウィルス : コンピューターに備わっている基本ソフトの機能を使って、自分と全く同じものを複製する“自己増殖機能”をもったプログラム。それ自体が独立しているものをワーム、他に埋め込まれたトロイの木馬型のプログラムを(狭義の)ウィルスと呼ぶ。とめどなく自己増殖するプログラムは、短期間でメモリーを満杯にして、コンピューターを使用不能に陥れる。回線を通じて他のコンピューターに伝染する能力を持ったワームやウィルスは、ネットワーク全体を麻痺させる危険性があり、しばしば甚大な被害をもたらす。このほか、パソコン通信などによって自由に入手できるPDS(パブリック・ドメイン・ソフト)にウィルスが隠されているケースや、フロッピー・ディスクを媒介として、これを共有するマシンを次々と汚染していくケースが知られている。
特に悪質なのは、論理爆弾を仕込んだウィルスである。アメリカのリーハイ大学で発見されたウィルスは、フロッピーを介して他のパソコンに感染するが、通常は何の悪さもしない。しかし、ウィルスに犯されたフロッピーを4回以上利用すると、論理爆弾が発動して記録されているデータを消してしまうのである。
興味深いことに、自己増殖能力を持ったウィルスの中には、伝染していく間に“突然変異”を起こすものがある。もちろん、オリジナルを作成したのとは別のプログラマーが手直しした上で再度ばらまいた結果であるが、初めは良性だったウィルスが悪性に変異するケースもあるため、笑い事ではすまされない。例えば、「パキスタン・ブレイン」と呼ばれるウィルスは、当初は海賊盤ソフトに対する警告を与える目的で作られたが、後にファイル管理テーブルを破壊する論理爆弾が仕込まれて危険なものとなった。
ケース・スタディ−−インターネット事件
次に、ウィルス犯罪の実態を知る手がかりとして、特に有名になったインターネット事件を取り上げたい。これは、1988年にアメリカ最大のコンピューター・ネットワークの一つであるインターネットに、大学院生のロバート・モリスが作ったワームが侵入した事件である。このワームは、国防省の肝煎りで設置され、多くの大学や企業の研究所を結んでいたArpanet 内部を動き回り、電子メール交換のためのUNIX(基本ソフトの一種)の機能を利用して回線に接続されているコンピューターに入り込んだ。さいわい、悪質な論理爆弾は仕掛けられていなかったが、それでも、猛烈なスピードで増殖したためメモリーを埋め尽くして機能を麻痺させることになった。この結果、約6000台のマシンが2日にわたって使用不能になり、修復の費用を含めたその被害総額は、1億ドル近くに上ると計算されている。
犯人のモリスがワームを放った動機は、単純ないたずらだったと考えられる。彼の父親がUNIXの安全管理を専門とする(すこぶるつきの)有能なコンピューター技師だったことから、UNIXにはセキュリティの面で欠陥があることを訴えるための派手なデモンストレーションだったという説もある。しかし、モリス自身かなりいたずら好きの学生として知られており、彼が作成したワームも完璧とは言いがたい出来だったことから、それほど大それた試みではなく、遊びの積もりでやってみたというのが真相だろう。ただし、ワームの増殖速度に見込み違いがあったため、予想をはるかに越えたスピードで増え続けて被害を巨大なものにしてしまった訳である。
ここで興味深いのが、モリスはいかなる法的責任を負うべきかという問題である。2つの極端な考えがある。一つは、1億ドルという実際の被害に加えて、軍関係の研究施設も多いネットワークにワームを侵入させたことによる社会的な不安感の増大に対する制裁も必要だとする説。もう一つは、モリスが実行したのは些細ないたずらにすぎず、被害が大きくなったのはUNIXの機能自体に欠陥があったからだとして、ごく軽微な罪にしかならないとする説である。1990年に下された判決では、罰金1万ドル、奉仕活動4000時間、保護観察3年の有罪が宣告された。ここで援用されたコンピューター犯罪防止法(1986年制定)では、この種の犯罪に対しては、最高で禁固5年、罰金25万ドルの刑事罰を認めていることから、必ずしも重い判決とは言えないかもしれないが、それ以前のコンピューター犯罪よりはかなり厳しいものになっており、先の2つの説の中間に位置すると見なされる。ただし、プログラマーとしてのモリスの腕前は、この事件を通じて広く喧伝されることになったため、1万ドル程度の罰金は痛くもかゆくもないという見方もある。
インターネット事件の最大の教訓は、単なるいたずら程度のものであっても、コンピューター・ウィルスが実に多額の被害をもたらし得るという点である。このことは、これからのネットワーク作りにおいて、安全管理がいかに重要になるかを実証するものである。
ウィルス犯罪の背景
コンピューター・ウィルスを作成する犯人は、一般に優れたプログラミング能力を有しており、専門職に従事している人も多いと言われている。こうした優秀な人材がなぜ犯罪に走るのかは興味深い問題であり、心理学的な考察も可能であるが、ここでは次の点だけを指摘しておきたい。すなわち、こうした犯罪は、ハードの物理的な破壊を企図するものではなく*1、あくまでソフトウェアのシステムに対するいたずらの域を出ない。時には、プログラマーとしての能力を発揮するための手段として利用することもあるくらいで、一部の破壊工作を除くと、特定の重要データを消してしまおうなどという積極的な犯意に乏しいのが常である。ところが、犯人の側にその気がなくても、繁殖能力の大きいウィルスやワームはひとたび世に放たれると野放図に増え続けるため、当初の予想をはるかに凌駕した被害を生み出してしまう。例えば、「ピース」と名づけられたウィルスは、平和メッセージを表示してから消滅するだけのほんの“お遊び”として作られたものだが、現実には、市販のソフトに感染し、これを購入した人のコンピューターに入り込んでファイルの一部を破壊する被害をもたらしている。このように、ウィルス作成の時点でそれが最終的にどのような結果をもたらすかが見通せない点にウィルス犯罪の特徴が集約されており、このことが、犯行に対する倫理的な抵抗感を軽減しているものと思われる。
考えようによっては、コンピューター・ウィルスは、システムと人間のかかわり方という点で、最も現代的な犯罪とも言える。現代においては、技術システムはきわめて複雑なものになり、それがどのように機能しているのか、個人にはほとんど理解する術もない。そうした中で、専門的な知識を利用してシステムに嘴を突っ込む機会を与えられている技術者が、決して大それた気持ちからではなく、ほんの遊びの積もりでウィルスを仕掛けてみたくなるもの、肯けないことではないだろう。ところが、システムは個人の思惑をはるかに越えた反応を示し、結果的に予想外の被害をもたらすことになる。そこに、巨大システムの中であがく人間の無力さを見るのは、私だけではないだろう。
(1997.3.14執筆)
©Nobuo YOSHIDA
