doc7

   
   世田谷ケーブル火災の本質   
   

   
                                                    『エコノミスト』 12月11日号 1984年 
   

● 「事故」か「災害」か
 世田谷の電話災害は、その規模の大きさについて、またその影響のおよぶ深さについて、空前のものであった。8万9,000回線が不通となり、三菱銀行のオンラインは全国の2,175店ですべて途絶した。
 新聞やテレビでみるかぎり、また当の地区に住む知人に聞く範囲では、住民は災害の大きさにかかわらず、冷静に対応しているようである。もちろん寝たきり老人とか地元の商店とか、困却した人は多いだろう。(あえて困却という。それはパニックなどというものとは遠い。)さらにいえば、突発的に生じたというところがたいそう違うとしても、いちど起きてしまえばあとは春闘の交通ストライキのようなものではなかったか。
 さらにこの障害は、システムの保守というきわめて日常的な作業のなかで発生した。それは、まれに、しかも突如として起こる天災とはまったく異なる。
 げんに新聞やテレビにしてから、「災害」とはいっていない。「事故」または「ケーブル火災」といっている。ついでながら、「災害」とは私たちの制御できないもの、「事故」とは私たちの管理できるものをさすというのが、この社会の通念である。
 こんどの障害を「事故」つまり制御可能とみる人はジャーナリストにはとどまらないだろう。まず技術者諸氏は、これを技術によって制御可能な出来事としてみるであろう。そのための方法はすでに実験室に準備されているかもしれない。つぎに官僚諸氏も、これを制度によって制御可能の事件として扱うであろう。そのための方策をすでに発表した役所もある。
 こうした技術と制度の洗練化によって事故を抑えこもうという発想は、進歩を信じる楽天的な思想に通じるものであり、私たちの大事にしなければならないものであろう。また、こうした技術と制度との洗練化は、ここに多くのビジネス・オポチュニティーを創出し、私たちの社会をより活性化する要因ともなろう。だから、私たちはこうした努力を続けることを怠ることはできない。だが私は、こんどのような障害を技術と制度によって制御することには限界がある、と考える。この理由を示すことがこの作文の第一の狙いである。
 ということは、私はこんどの障害を「事故」ではなく「災害」とみているということである。この所以を述べることが作文の第二の狙いとなる。ひとこと付け加えれば、この種の障害を「事故」とみれば私たちはその絶滅を期待することができる。だが「災害」とみなすならば、私たちはそれに慣れる方策と知恵を見出さなければなるまい。
 私たちがげんにみたものはケーブル火災であった。だが私は問題をやや抽象化し、社会的な情報システムの障害について包括的に考えてみたい。
   
● 徹底できない管理の徹底化
〔モニタリングのモニタリング〕
 脆弱性にたいする技術や制度の洗練化とはどういうことか。第一に管理の徹底化であり、第二にシステムの冗長化である。
 管理の徹底化とはなにか。そのシステムにかかわるすべてのことを、常時モニターすることである。モニターするだけではない、異常があればすぐに応急措置がとれるように、その信号をセンターにもどすフィードバック回路を組みこむことである。
 じつは情報システムというものは、その信頼性を維持するために、本来的にこうした機能をそのなかに組みこんでいる。つまり管理の徹底化はすでにいちおうレベルでは実現している。だからあらためて管理の徹底化を求めるとすれば、それはモニタリングをより綿密に、フィードバックをより複雑に、ということになる。
 その結果どうなるか。モニタリングが綿密になれば扱う情報量は増大し、フィードバックが複雑になれば判断すべき論理の筋は錯綜するだろう。このとき管理はよりややこしくなる。(たとえば、モニタリング回路が確実に作動していることをさらにモニタリングしなければならない。)こうして障害の管理水準はより高まる。だが、管理水準を一段高めようとすれば、目配りすべき範囲を拡げ、障害についてこれまでの経験が乏しい領域にまで視野を拡大しなければならない。したがって障害の発生する余地はなお残り、かつ拡がるだろう。しかも未経験の分野であるから、その姿は予測がつかない。それはあたらしい姿の障害に進化するかもしれない。
   
〔障害は進化する〕
 もうひとつ、管理水準が進むということは、またそれだけ管理の拡がりと深さが増大することである。だからひとたび管理の機能が停止すると、障害のおよぶ範囲はより拡がるだろう。つまり管理の徹底化は、災害の姿を進化させ、その規模を拡大する。
 問題はこれを技術がどこまで制御できるかということである。それは障害の発生確率を落とすことはできるだろう。だがいちど障害が生じると、その規模の大型化を避けることはできないだろう。たとえば炭鉱の事故は、技術進歩ともに激減している。しかし事故は複雑になり大型化している。航空機事故についても事情はおなじである。
 つぎに、制度で障害をどこまで抑制できるかということがある。管理を徹底するためには、制度的には一元的な管理のできることが前提となる。しかし一元的な管理を常時おこなうということは、またべつの問題を引き起こす。それは、大型の情報システムとは社会装置であり、そのユーザーに社会のすべての人を巻きこむということである。こうした社会装置に組みこまれる一元的な管理機能の整備は、そのユーザー全体にたいする監視機能を高めることになるだろう。つまりユーザーのブライバシーに踏みこむことになる。信頼性を要望されるシステムほど、その信頼性維持のために、ユーザーのプライバシーを侵す危険性がある。
 たとえば、電話の料金明細を計算できるようなシステムが、料金計算の誤りを除くためにかつて要望され、いま具体化されつつある。つまり料金計算の信頼性を高めるシステムが求められている。だが料金明細ができるシステムとは、「いつ、だれからだれへ、どんな長さのメッセージが送られた」を、常時記録する機能を持つわけである。
 だから、私たちが「個人」という自由社会の基本的価値を大切にしようということであれば、信頼性への要求にはおのずから限界があることになるだろう。
   
● むだの制度化としての冗長化
〔冗長化は管理の徹底と両立しない〕
 障害対策の第二は運用の冗長化である。これは私たちが頼るシステムを、むだを覚悟して複線化しようということである。一方がだめになっても、もう一方が生き残るというわけである。
 そのよい例が、今度のケースでは自動車電話であり衛星通信であった。有線のルートは全部死んだが、無線のルートは無傷であった。このようにして電話システムは冗長性によるバックアップを受けた。
 銀行のオンラインでいえば、BANCSというシステムがこんどは活躍した。どこの都市銀行でも自前のオンライン・システムをもっているが、そのほかにBANCSというCD(キャッシュ・ディスペンサー)の共同利用システムに加入している。ユーザーはこの共同システムのCDからどの都市銀行のコンピュータにも連絡できる仕掛けになっている。そこで災害に巻きこまれた三菱銀行がまず行ったことは、そのセンターから専用回線をBANCSのシステムまで、応急的に伸ばすことであった。こうしてBANCS経由で、三菱銀行はユーザーとの連絡を取り戻すことができた。ここでも冗長性によってシステムは助けられた。
 このように情報システムがその脆弱性を回避するためには、システムの冗長化が必要である。冗長化には、技術上のそれと制度上のそれとがある。
 技術的な冗長化とは、第一にシステムの多重化であり、第二にシステムの分散化である。システムの多重化とは、たとえば通信回線を2本もつことであり、さらにその2本を1本は有線でもち、1本は無線でもつという方法である。分散化とは、システムを二つに分けて、一方は東京に置き、他方は大阪に置くという方法である。
 制度的な冗長化とは、たとえば自営のシステムを持ちながら、同時に商用システムもリースするとか、他システムとバックアップしあうために共同利用のシステムに加入するとか、ということである。
 しかしこのようなシステムの冗長化は、技術的にせよ制度的にせよ、同時にシステムの多元化を導く。このとき管理も同時に多元化し、そのあり方をあいまいにする。たとえばシステムがたった一つであれば、障害が起こったときはどうしようもないが、システムが単純であるから復旧の手順や原因の追及は簡単である。ところがシステムが複数になると、双方が同時に障害を起こす確率は減るが、ひとたび障害が生じるとその復旧作業にしても双方をにらみながらせざるをえない。トラブル・シューティングの手順にしてもおなじである。これはけっこうしんきくさいことである。このように、管理の徹底化とシステムの冗長化という二つの脆弱性対策は、けっして両立することがない。
   
〔つけの回しかた〕
 いうまでもなく冗長化とは、それだけの余力を持つということである。このためには不時の障害に備えて、余分のコストを常時支払っておかなければならない。これはシステムの所有者にとってみれば、たいそうな負担となるだろう。
 この冗長性のコストは、だれがどう負担すべきか。こんどの例でいえば、衛星は国家レベルでの負担、BANCSは企業レベルでの負担、自動車電話は個人レベルでの負担ということになるだろう。
 こうしたコストは社会化すべきである、という意見があろう。国家に夜警の機能を求める古典的な発想にてらしても、これは一応の筋というものであろう。
 しかし、どうだろう。社会の情報化は、いまや国の管理できる範囲を逸脱しつつある。それは現在、情報化に対応できないで形骸化しつつある法律制度を数えあげれば見当もつこう。
 形骸化した法律、またはしつつある法律には、まずすでに改正された公衆電気通信法がある。しかしこれだけではない。ホーム・セキュリティーについては消防法、警備業法がある。ホーム・ショッピングには訪問販売法、消費者保護基本法がある。ホーム・バンキングには銀行法がある。ホーム・リザベーションには旅行業法がある。在宅診療には医師法、薬事法がある。在宅勤務には労働基準法、労働組合法などがある。ほかにデータベースにおける著作権法があり、VANにおける独占禁止法がある。またダイレクト・マーケティングの進展はプライバシー法の制定を求めている。
 これは民間の活力によって、社会の情報化の範囲が拡大し多様化し、そのすべてを国が管理できないようになったということである。この拡大する分野では、制度が未整備であるというだけでなく、これを支える技術もまた未成熟である。とすれば、こうした分野のシステムについては、その管理が不十分であり、また管理のままならないものもあろう。したがって、その社会との折りあいにもぎくしゃくしたところもあるだろう。こんなところにシステムの脆弱性が潜む。
 ここで話をもどす。ここでの冗長性をすべて社会化してほしいと望むことは、ことの筋からいっても、またそのコストからしても、まずかなわぬことであろう。だからといって社会化できずに残る冗長化を、民間の私たちが自分ですべて負担することも、これまた不可能というべきであろう。
   
● 日常化する脆弱性
〔潜在する虫〕
 情報システムにおけるアナーキズムを当の情報システムは制御できない。それは情報システムの核をなすソフトウェアが扱いにくいものであるためである。なぜソフトウェアが扱いにくいかといえば、ソフトウェアは虫(欠陥のことをソフトウェア技術者はこういう)を生みやすいからである。虫はときどき目を覚まして、銀行のコンピュータを暴走させたり、NTTの交換機を立ち往生させたりする。
 というのはソフトウェアが、人間の頭には厳密すぎるほど論理を大切にし(集合論+順列組合せ+三段論法のようなもの)、さらに人間の目には単調すぎるほどの表現で書かれている(ベーシック・イングリッシュ+数式のようなもの)からである。法律文の難解さを極端にしたものと思えばよいだろう。こんなものが、みじかくて数十行、ながくなると数百万行もつづく。間違いつまり虫が入ってとうぜんというべきだろう。
 ソフトウェア技術者の仕事の大部分は、この虫取りといってよい。叩き大工よろしく、あちらの虫を取ればこちらに虫が生まれ、というぐあいではかがいかないものである。虫がいるということは、ソフトウェアを作る人間が不完全であるからである。高橋秀俊氏は、人間のこの不完全性を、機械に比較して、つぎのように指摘している。
 人間は気まぐれである。人間は怠けものである。人間は不注意である。人間は根気がない。人間は単調を嫌う。人間はのろまである。人間は論理的思考力が弱い。人間は何をするか分からない。ということで、人間−機械系をみると、機械つまりコンピュータのほうがしっかりしている、ともいえる。
   
〔寄合所帯としてのシステム〕
 さらに、システムというものはけっして自立しているものではない。設備的にも共同施設を使い(共同溝から通信衛星まで)、あるいは他社の所有にかかるものを借用しているものなのである(大部分のユーザーは、システムの中核であるコンピュータや通信回線にしてから借用している)。またその運用においても、設備の製造元から保守の下請先まで、いろいろな業者が協力して行っているのである。このように自立できないシステムにおいては、その管理責任の所在はあいまあになる。責任の範囲はあるいは重なり、あるいは隙間を残す。そこでこうした施設のどこかに故障が生じ、また業者のだれかが不具合いを起こすことは、日常的になろう。
   
〔競争するシステム〕
 さらにこのように脆弱なシステムが、これまた脆弱な環境に置かれている。それは、競争の激しい社会で使われているということである。競争はシステムの多様化を導き、さらにその乱立をもたらし、システムの世界にアナーキズムを蔓延らすだろう、ということである。こうした情報社会での無秩序の蔓延は、同時にその脆弱化を拡大することになるだろう。
 システムの競争は、まずその一元的な管理を妨げる。管理者は多元化し分散化する。このとき、管理者によって管理点はことなり、管理レベルもばらつくことになるだろう。同一の現象をある管理者は正常として許容し、べつの管理者は異常として拒否するということもありえよう。
 さらにシステムの競争は、システムの絶え間のない変化を導く。変化のつどそのシステムはますます錯綜する。こうしたところに障害の紛れこむことは避けがたい。
 情報社会では、競争するシステムが同時にまた協力せざるをえない(信販システムと証券システムなど)。この協力関係つまり相互依存の関係が、システム間の接続点を増やす。この接続点においては異なる機械同士が、またと異なる組織同士が手を結ぶ。ここに技術上および組織上の無理がともない、責任分担のあいまい化が生じる。つまり障害の発生は不可避である。
   
〔大衆の参加と脅威〕
 いまやシステムのなかには大衆が参加してきた。大衆の運用するものまで出現してきた。これまでのシステムは、選ばれた人によって限定された範囲で運用されてきた。多くの企業システムがそうであった。これが開かれたシステムとなるわけである。
 このときシステムには、いろいろな人がアクセスすることになる。コンピュータ・リテラシーの高い人、それが低い人、倫理性の高い人、それが低い人がアクセスしてくる。リテラシーも倫理性も高い人はシステムに協力的だろう。リテラシーも倫理性も低い人はシステムが拒絶できる。だがリテラシーが高く倫理性の低い人からシステムは脅威を受ける。またリテラシーが低く倫理性の高い人にシステムは迷惑を及ぼす。前者への防御を強めれば、それだけ後者への障壁が高まる。つまり双方に対する配慮を両立させることはできない。ということは、システムが社会化するほど広域化するほど、その脆弱性が大きくなるだろうということである。
 個人による侵害だけではない。システムは大衆による社会病理的現象にも巻きこまれるだろう。現在の電話においても、年間百回程度は異常ふくそう(電話クイズや災害地などへの呼出の殺到で交換機が対応できずに止まってしまう)が生じている。システムの高度化はこうした現象をもっと極端に増幅するであろう。
 このように現在のシステムというものは、その管理者のスパン・オブ・コントロールを越えてしまった。けだし情報システムの世界では障害が日常化しつつあるのである。とすればこうした障害は、制御可能な「事故」ではなく、制御不可能な「災害」とみるべきであろう。そして似た障害は、こんごも姿を変えながら時たま再発し続けることだろう。
   
● システムの透明化を
〔災害への慣れ〕
 このように脆弱性は日常化し、したがって私たちの環境となってしまった。とすれば、私たちはあきらめるしかないであろうか。
 そうだ、というのが、ためらいながらの私の答えである。もちろん脆弱性への対応にかんし、技術的な改善、制度的な整備は続けられるべきである。そうした努力をしたうえで、私たちはシステムの脆弱性による災害に慣れなければならない。ひとこと注釈を付け加えれば、慣らされてはいけない、慣れるべきであろう。つまり慣れるための条件を捜し、それが実現するように努力すべきであろう、ということである。
 災害に慣れるとは、できるだけそれを予知できるようにすることである。災害というものは一般に予知できない。しかし情報システムにかかわる災害は、いくぶんかは予知できるはずである。というのは、情報システムにおいては、その管理の対象が運用責任者の管理能力を越えたとしても、とにかく人間の作ったものなのである。とすれば、曲がりなりにもその図面は存在するわけである。図面があれば、開発当事者や運用責任者が見通せないことでも、社会全体で考えれば、あるいは見えることもあるかもしれない。さいわいにも私たちは、QCサークル活動という共同作業が得意なのである。
 とすれば、とにかくまず必要なことは、そうしたシステムの図面をだれもが入手できるようにすることである。そのためにはシステムを透明にすることが必要であろう。透明にするとはディスクロージャーをするということである。どんな仕掛けで動き、どんな組織で管理し、どのくらい費用をかけているか、これを公表することである。すくなくとも社会的に大きな影響を持つシステムは、そうなすべきである。(ただし、システムへの侵入をはかるような悪意ある人に役立つような情報までを明らかにすることはないだろう。このへんの兼ねあいは微妙ではあるが。)
   
〔脆弱性への合意〕
 こうしたからといって、災害のなくなることはないだろう。しかしこの情報を手掛りとして、私たちはシステムの脆弱性への対応について、その社会的合意をうるための学習くらいはできるだろう。
 脆弱性にかんする社会的合意とはなにか。それは情報システムには脆弱性があるという認識(コンピュータだから間違いなしなどという言葉を信じない)、システムの災害の生じる確率と規模にたいする見通し(日常化するだろう、ただしパニックにはならないだろう)、システムの災害にたいする最小限の自衛(たとえばCDカードはすくなくとも2枚は持つ)などについて、多くの人が共通感覚を持つということである。
 このような共通感覚をもつとき、私たちは日常化し環境化した脆弱性と、共存する知恵をもつことができるだろう。                   

   
    名和小太郎   書評の背景(7)                       トップペ−ジへ   「書評の背景」リストへ   次へ   前へ