スイスチーズモデルとは？多層防御の穴が揃うと事故が起きるリスク理論

スイスチーズモデルとは

スイスチーズモデル（Swiss Cheese Model）とは、組織の安全防御層をスイスチーズの薄切りに見立て、各層に存在する「穴」（弱点・不備）がすべて一直線に揃ったときに事故が発生するという安全管理の理論モデルです。

マンチェスター大学のジェームズ・リーズンが1990年に提唱しました。正式には「リーズンモデル」とも呼ばれます。各防御層には固有の穴があり、単一の層では完全な防御は不可能です。しかし複数の層を重ねることで、ある層の穴を別の層がカバーし、事故への経路を遮断します。

航空業界、医療、原子力など安全が最優先される産業で広く採用されています。コンサルティングでは、事故分析やリスクマネジメント体制の設計で活用されます。

構成要素

スイスチーズモデルは以下の要素で構成されます。各防御層の穴の特性を理解することが重要です。

要素	説明
防御層	事故を防ぐための仕組み（スイスチーズのスライス）
能動的失敗	現場の人間が犯すミスやエラー（穴を開ける直接的な原因）
潜在的条件	組織の設計・管理上の弱点（穴が存在する根本原因）
事故の軌跡	すべての穴が揃ったときの貫通経路

防御層の4カテゴリ

リーズンは防御層を4つのカテゴリに分類しています。組織的影響（経営方針・文化）、安全でない監督（管理者の判断）、安全でない行為の前提条件（疲労・訓練不足）、安全でない行為（現場のエラー・違反）の4層です。

穴の性質

穴には2種類あります。能動的失敗による穴は短期間で開閉します。一方、潜在的条件による穴は長期間にわたって存在し続けます。事故防止には、潜在的条件の穴を継続的に発見し塞ぐ取り組みが重要です。

実践的な使い方

ステップ1: 防御層を特定する

対象となるプロセスやシステムの防御層を列挙します。ハードウェア的な対策、手順・マニュアル、研修・訓練、監視・監査など、さまざまな種類の防御層を漏れなく洗い出します。

ステップ2: 各層の穴を分析する

各防御層にどのような弱点（穴）が存在するかを分析します。潜在的条件と能動的失敗の両面から検討します。過去のインシデントやヒヤリハット情報が重要な手がかりになります。

ステップ3: 貫通シナリオを検討する

複数の穴が揃う可能性のあるシナリオを検討します。どの組み合わせで事故に至りうるかをシミュレーションし、最もリスクの高い経路を特定します。

ステップ4: 穴を塞ぐ対策を設計する

リスクの高い穴から優先的に対策を講じます。単一の防御層を強化するだけでなく、新たな防御層を追加して冗長性を高めることも検討します。

活用場面

スイスチーズモデルは以下のような場面で効果を発揮します。

• 重大事故やインシデントの根本原因分析で、組織的要因を含めた多層的な原因構造を解明したいとき
• 安全管理体制の設計で、防御層の冗長性と網羅性を評価したいとき
• 経営層に対して多層防御の重要性を直感的に説明したいとき
• ヒヤリハット分析で、事故に至らなかった理由（どの防御層が機能したか）を特定したいとき
• 組織文化の改善で、潜在的条件の存在を可視化したいとき

注意点

概念モデルと定量分析を混同しない

このモデルは概念的なフレームワークであり、定量的なリスク評価には別途LOPAやFTAなどの手法が必要です。スイスチーズモデルだけでリスクの大きさを数値化することはできません。

防御層の穴は動的に変化する

防御層の穴は静的ではなく、時間とともに開閉します。一度の分析で安心せず、継続的なモニタリングが必要です。組織の人員変更、ルール改定、設備劣化などで穴の状態は常に変動します。

防御層の数と質を区別する

防御層の数を増やせば安全になるとは限りません。各層の質と独立性が確保されていることが前提です。同じ種類の防御層を重ねても、共通原因で同時に穴が開くリスクがあります。

単純化しすぎのリスクを認識する

モデルの直感的なわかりやすさが逆に単純化しすぎの弊害を生むことがあります。現実の事故メカニズムはより複雑であり、補完的な分析手法と併用することが重要です。

まとめ

スイスチーズモデルは、多層防御の各層にある穴（弱点）が一直線に揃ったときに事故が発生するという直感的な理論モデルです。個人のミスだけでなく、組織的な潜在条件に着目するシステム思考のアプローチが最大の特徴です。防御層の質と独立性を維持し、潜在的条件の穴を継続的に発見・修正していくことが、安全管理の基盤となります。