現代の社会技術システム(Socio-Technical Systems)は、かつてないほどの複雑性を帯びている。医療、航空、製造、ITインフラなど、あらゆる領域で相互依存性が高まり、従来の線形的な因果関係に基づく安全管理手法だけでは、リスクを制御しきれない事態が生じている。 こうした背景の中で提唱されたのが、「Safety-II(セーフティ・ツー)」という概念である。これは単なる新しいツールの導入ではなく、安全に対する「哲学の転換」を迫るパラダイムシフトである。本稿では、エリック・ホルナゲル博士らが提唱するSafety-IIの核心に迫り、組織がいかにして「変動する環境下で成功し続ける能力(レジリエンス)」を獲得すべきかを論じる。
目次
1. 安全管理のパラダイムシフト:Safety-IからSafety-IIへ
私たちが長年親しんできた「安全」の定義は、実は非常に消極的なものであった。それは「事故や災害が起こっていない状態」と定義され、これを維持するためのアプローチは「Safety-I」と呼ばれる。しかし、システムの複雑化に伴い、Safety-Iの限界が露呈し始めている。
Safety-Iの限界:リアクティブな「モグラ叩き」
Safety-Iの世界観において、システムは基本的に安全であり、事故は何らかの「故障」や「ヒューマンエラー」によって引き起こされる異常事態と見なされる。したがって、安全管理の焦点は常に「失敗(事故・インシデント)」に向けられる。 事故が起きると、原因究明(RCA)が行われ、壊れた部品を特定するように「誰が間違えたのか」「どのルールが破られたのか」が追求される。対策としてマニュアルは分厚くなり、監視は強化され、教育という名の矯正が行われる。しかし、業務の99.9%以上が成功しているにもかかわらず、稀にしか起きない0.01%の失敗事象のみを分析対象とするこの手法は、データ量としてあまりに貧弱である。また、常に事故が起きてから対処する「リアクティブ(後追い型)」な姿勢にならざるを得ず、現場は終わりのない対策に疲弊していく。
Safety-IIの定義:成功の能力としての安全
対してSafety-IIは、安全を「意図した結果を達成する能力」と定義する。焦点は「なぜ失敗したか」ではなく、「なぜ日常的に成功しているのか」に当てられる。 複雑な現場において、物事が計画通り(マニュアル通り)に進むことは稀である。資材が遅れる、情報が曖昧、機器の調子が悪い、スタッフが急に欠勤する――こうした無数の「攪乱(Disturbance)」の中で、現場の人間は絶えず微調整を行い、なんとか業務を完遂させている。Safety-IIは、この「現場の調整能力」こそが安全の源泉であると考える。
等価性の原理(The Principle of Equivalence)
Safety-IとIIの決定的な違いは、成功と失敗の起源に対する考え方にある。Safety-Iでは、成功は「正常なプロセス」、失敗は「異常なプロセス」から生まれると考え、それぞれに異なる原因を求める(二元論)。しかしSafety-IIでは、成功も失敗も「同じプロセス(日常の調整行為)」から生まれると考える。これを「等価性の原理」と呼ぶ。現場のスタッフが状況に合わせて行う「手加減」や「近道」は、普段は効率と成功をもたらすが、状況が変われば同じ行動が失敗の原因にもなり得る。したがって、失敗を防ぐためには、失敗の原因を探すのではなく、「普段行われている調整行為(Performance Variability)」を理解しなければならない。
2. 現場の実態を解像する:「想像上の仕事」と「実際の仕事」の乖離
Safety-IIを理解する上で最も重要な概念の一つが、WAI(Work-as-Imagined)とWAD(Work-as-Done)の区別である。この二つの乖離(ギャップ)をどう捉えるかが、組織のレジリエンスを決定づける。
WAI:想像上の仕事(マニュアルの世界)
WAIは、管理者や設計者がデスクの上で描く「理想的な仕事の流れ」である。マニュアル、標準作業手順書(SOP)、法令、ガイドラインなどがこれに該当する。WAIの世界では、条件は常に整っており、手順通りに行動すれば必ず成功することが約束されている。従来の監査や教育は、このWAIを基準に行われる。
WAD:実際の仕事(現場のリアリティ)
一方、WADは「現場で実際に行われている仕事」である。現場には、WAIでは想定されていないノイズや制約が溢れている。「マニュアルにはA→Bとあるが、システムが遅いので先にCを入力しておく」「新人看護師の手が遅いので、ベテランが阿吽の呼吸でダブルチェックを省略してサポートに回る」といった現場の判断、省略、工夫、適応の総体がWADである。
ギャップは「違反」ではなく「資源」である
Safety-Iの視点では、WAIとWADの乖離は「違反(Violation)」や「逸脱」と見なされ、是正の対象となる。「マニュアル通りにやれ」という指導は、WADをWAIに強制的に合わせようとする行為である。しかしSafety-IIの視点では、このギャップこそがシステムを動かし続けている「資源」であると捉える。もし全員がマニュアル(WAI)を一言一句遵守して働いたら、多くの複雑な現場は「遵守スト(Work-to-rule)」のような状態になり、機能不全に陥るだろう。 WADにおける変動(Variability)は、除去すべきノイズではなく、変化する環境に対するシステムの柔軟性そのものである。管理者がすべきことは、ギャップを埋めることではなく、ギャップの実態を把握し、「なぜその調整が必要だったのか」「その調整がいつ危険に転じるのか」を現場と共にモニタリングすることなのである。
3. レジリエンス・エンジニアリングの中核:4つのポテンシャル
Safety-IIを実現するための具体的な工学的方法論が「レジリエンス・エンジニアリング(RE)」である。REでは、組織がレジリエントである(適応力がある)ために必要な能力として、以下の4つのポテンシャルを定義している。
① Responding:対処する力
「何をするべきかを知っている力」である。既知のトラブルや日常的な変動に対して、適切に行動を開始できる能力を指す。マニュアル通りの対応だけでなく、マニュアルが通用しない事態において、現場のリソースを動員して被害を最小限に食い止める即応能力が含まれる。これには、明確な指揮命令系統だけでなく、現場への権限委譲が適切に行われていることが不可欠である。
② Monitoring:監視する力
「何を見るべきかを知っている力」である。これは単に計器の数値を追うことではない。システムのパフォーマンスが危険領域に近づいている「予兆」を感知する能力である。例えば、「最近、申し送りの時間が長くなっている(情報の滞留)」「特定の担当者に業務が集中している(リソースの枯渇)」といった、数値化しにくい現場の空気の変化(Weak Signals)を捉えることが重要である。Safety-IIでは、事故件数のような遅行指標(Lagging Indicators)ではなく、日常の適応行動の変化を示す先行指標(Leading Indicators)を監視する。
③ Learning:学習する力
「何が起きたかを知り、学ぶ力」である。Safety-Iにおける学習は「失敗からの学習(事故調査)」が主であったが、Safety-IIでは「成功からの学習」を重視する。「なぜ今日は事故が起きなかったのか」「ヒヤリとした場面をどうやってリカバーしたのか」を学習する。また、単一ループ学習(問題を修正する)だけでなく、ダブルループ学習(前提となるルールや目標そのものを見直す)を行うことで、組織の根本的な体質改善を図る。
④ Anticipating:予見する力
「何が起こりうるかを知る力」である。過去のデータや現在のトレンドから、将来のリスクや環境変化を想像する能力である。新しい技術の導入、組織改編、法令変更などが、現場のWADにどのような影響を与え、新たなリスクを生むかをシミュレーションする。これは4つの能力の中で最も難易度が高く、AIによるデータ解析やシナリオプランニングなどの高度な手法が求められる領域でもある。 これら4つの能力は独立しているのではなく、相互に補完し合っている。適切な監視(Monitoring)が予見(Anticipating)の精度を高め、予見が準備を生み対処(Responding)を迅速にし、その結果が学習(Learning)されて次の監視に活かされる。このサイクルを回すことこそが、レジリエンス・エンジニアリングの実装である。
4. Safety-IIの実装手法:FRAMと日常業務のモニタリング
概念としてのSafety-IIを現場に実装するためには、具体的な分析手法が必要である。ここでは、代表的な手法であるFRAMと、日常的な対話の実践について解説する。
線形モデルからの脱却とFRAM(機能共鳴解析手法)
従来の事故分析では、ドミノモデルやスイスチーズモデルのような「線形モデル」が使われてきた。「Aが起きたからBが起き、Cという事故になった」という考え方である。しかし、複雑なシステムでは、特定の原因が存在しなくても、複数の正常な機能が相互作用することで予期せぬ結果が生じることがある。これを「機能共鳴(Functional Resonance)」と呼ぶ。 これを分析する手法がFRAM(Functional Resonance Analysis Method)である。FRAMでは、システムを「部品の集合」ではなく「機能(Function)のネットワーク」としてモデル化する。各機能(例:「投薬する」「確認する」)が持つ6つの側面(入力、出力、前提条件、リソース、時間、制御)を定義し、それぞれの機能の「変動」が下流の機能にどう伝播し、増幅されるかをシミュレーションする。これにより、「誰もミスをしていないのに、なぜ事故が起きたのか」という複雑な現象を可視化することが可能になる。
Learning from Normal Work(日常業務からの学習)
FRAMのような高度な解析と並行して、日常的に取り組めるのが「Learning from Normal Work(LFNW)」である。これは、事故が起きていない時にこそ分析を行うアプローチである。
デブリーフィングの変革: 業務終了後の振り返りで、「今日の問題点は?」と聞くのではなく、「今日、予想外だったことは何か?」「それをどうやって乗り切ったか?」を問う。
「うまくいっている理由」の言語化: ベテラン職員が何気なく行っている「先読み」や「準備」をインタビューし、形式知化する。これは「成功の秘訣」のマニュアル化であり、新人教育においても「禁止事項の羅列」より遥かに効果的である。
5. 能動的な組織文化の醸成:Just Cultureと心理的安全性
Safety-IIの実装において最大の障壁となるのが、組織文化である。失敗を個人の責任に帰する文化が残っている限り、現場はWAD(実態)を隠蔽し、Safety-IIの前提となる「情報の透明性」は確保できない。
Just Culture(公正な文化)の再定義
Safety-IIを機能させる土壌として不可欠なのが「Just Culture(公正な文化)」である。これは、単に「エラーを処罰しない」という甘い文化ではない。「悪意ある違反・サボタージュ」と、「システムに適応しようとした結果のエラー(Honest Mistake)」を明確に区別する文化である。前者は適切に問責されるべきだが、後者は個人の責任ではなく、システムの学習機会として扱われる。リーダーは、「結果(事故)」だけで評価するのではなく、「プロセス(意図と行動)」を公正に評価しなければならない。
心理的安全性:WADを語れる場の保証
現場のスタッフが「マニュアルと違う手順でやりました」と告白することは、通常であれば勇気を要する。しかし、その告白の中にこそ、組織を救うヒントがある。「手順を飛ばしました」という報告に対し、上司が即座に「なぜルールを守らないんだ!」と怒鳴れば、二度と真実は語られない。Safety-II型の上司はこう返す。「なるほど、その状況では手順通りやるのが難しかったんだね。なぜそう判断したのか、背景にある制約(時間不足、機器の不具合など)を教えてくれるかい?」 このように、現場の「違和感」や「適応行動」を歓迎し、対話のテーブルに乗せること。これが「心理的安全性」の本質である。Safety-IIにおけるリーダーシップとは、管理・統制することではなく、現場が持っているレジリエンスの発露を阻害している要因(過剰なルール、リソース不足、恐怖心)を取り除く「Enabler(支援者)」としての振る舞いなのである。
結論:終わりなき適応の旅へ
Safety-IIは、到達すべきゴール(状態)ではなく、組織が持ち続けるべき「あり方(プロセス)」である。世界は変化し続ける。今日うまくいった方法が、明日も通用するとは限らない。だからこそ、私たちは「なぜうまくいっているのか」を問い続け、現場の小さな変動に耳を澄ませ、成功と失敗の両方から学び続ける必要がある。 Safety-Iで基盤を守り、Safety-IIで変化に適応する。この両輪を回せる組織だけが、不確実な未来においても、その使命を果たし続けることができるのである。これはまさに、組織行動論における動機づけやエンゲージメントの概念とも深く共鳴し、働く人々の尊厳(自分の工夫が認められること)を取り戻す人間中心の安全論でもある。
参考文献一覧
【基本図書:Safety-IIの理論と実践】
Safety-IIの概念、WAI/WADの区別、4つのポテンシャルについて詳述されている。
エリック・ホルナゲル (著), 北村 正晴 (翻訳) 他『Safety-I & Safety-II: 安全マネジメントの過去と未来』
出版社: 海文堂出版
発行年: 2015年
解説: 本記事の核となる「Safety-IとIIの対比」が体系化された、この分野のバイブル的一冊である。
エリック・ホルナゲル, デビッド・D. ウッズ, ナンシー・レブソン (編著), 北村 正晴, 小松原 明哲 (監訳)『レジリエンス・エンジニアリング ― 概念と指針』
出版社: 日科学技術連盟
発行年: 2012年
解説: レジリエンス・エンジニアリングという概念が初めて包括的に定義された書籍。「4つのポテンシャル」の議論が含まれる。
エリック・ホルナゲル (著), 中西 渉, 北村 正晴 (翻訳)『FRAM: 機能共鳴解析手法 ― 実践レジリエンス・エンジニアリング』
出版社: 海文堂出版
発行年: 2013年
解説: 記事内で触れた解析手法「FRAM」の公式解説書である。線形モデルの限界と機能共鳴のメカニズムが解説されている。
【組織文化・Just Culture関連】
心理的安全性や、エラーをどう裁くか(Just Culture)に関する文献である。
シドニー・デッカー (著), 北村 正晴, 佐野 典子 (翻訳)『ヒューマンエラーは裁けるか ― 安全と司法の対立』
出版社: 東京大学出版会
発行年: 2009年
解説: Just Culture(公正な文化)の議論における重要書。個人の責任追及がいかに安全を阻害するかを論じている。
シドニー・デッカー (著), 仲村 彰 (翻訳)『ヒューマンエラーを理解する ― 現場づくりのためのフィールドガイド』
出版社: 海文堂出版
発行年: 2014年
解説: 「WAI(想像上の仕事)」と「WAD(実際の仕事)」のギャップについて、実務的な視点で解説されている。
【関連論文・ホワイトペーパー(英語原文)】
Safety-IIの概念を世界的に普及させた主要な公的文書である。
Hollnagel, E. (Ed.) (2014). Safety-II in Practice: Developing the Resilience Potentials (R-2014-020).
Publisher: Eurocontrol (European Organisation for the Safety of Air Navigation)
解説: 欧州航空航法安全機構(Eurocontrol)が発行したホワイトペーパー。Safety-IIの実践ガイドとして無料公開されており、世界中の実務者が参照している。
Hollnagel, E., Wears, R. L., & Braithwaite, J. (2015). From Safety-I to Safety-II: A White Paper.
Publisher: The University of Southern Denmark, University of Florida, Macquarie University.
解説: 医療分野への適用を意識して書かれたホワイトペーパー。医療安全におけるパラダイムシフトの重要性が説かれている。
【国内の専門書・解説】
日本におけるヒューマンファクターおよびレジリエンスの第一人者による書籍である。
小松原 明哲『ヒューマンエラー 第3版』
出版社: 丸善出版
発行年: 2016年
解説: 日本の産業現場におけるエラー対策とシステム安全の基礎を網羅しており、Safety-IIへ至るまでの安全管理の変遷を理解するのに役立つ。
