絶対的なものに安心感を抱く人がいる。
確実性、ルール。すべては黒か白
人はなぜリスクを嫌うのでしょうか? 絶対的なものに安心感を感じるというのは、おそらく人間の本性なのでしょう。しかし、実際の世界は不確実で満ちています。安心を「感じる」かどうかであって、ゼロリスクというのは本質的にはあり得ないのです。
みずほ銀行のシステム障害
昨今だと、みずほ銀行のシステム障害が起きるたびにニュースになっています。2021年に入ってからも複数回の障害が起きました。
- 2月28日 ATM、インターネットバンキング障害 ATM4318台に障害。カードが吸い込まれる
- 3月3日 ATM29台に障害
- 3月7日 インターネットバンキング障害。9名の取り引き不成立
- 3月11日〜12日 送金障害。300件に影響
- 8月20日 店舗窓口障害
- 8月23日 ATM障害130台
- 9月8日 ATM、インターネットバンキング障害 ATM100台に障害
- 9月30日 外国為替取引
さて、これをあってはならないことと捉えるかどうか。確かに障害に遭遇してATMの前で何時間も待たされた人は気の毒なことでした。ただし、報告書にもあったようにこのシステムトラブルが大きな問題に発展したのは、危機対応の弱さです。
一連のシステム障害という銀行の危機事象を通じて観察されるのは、MHFG,MHBK、MHRTおよびMIDSの組織間連携が十分機能しなかったことによる組織としての危機事象への対応力の弱さである。
さすがにこの報告書はよくできていて、システムにトラブルが起こったことが最大の問題ではなく、そのトラブルに組織として対応できなかったこと、またシステムが理解されておらず対応できなかったことを、課題の1番目と2番目として挙げています。
でも、世間の印象は必ずしもそうではありません。「システムがこんなに頻繁に止まるとはどういうことだ? 止まらないシステムを作れ」という感じ。いや、システムは止まるものです。完全に問題が起きないシステムというものは、作りようがありません。問題は、トラブルが起きることを前提として、どんな対応体制を作るかにあるはずです。
自動車はリスクがあってはいけないのか
似たような例に、自動車があります。EVと自動運転で圧倒的な先進性を背景に時価総額でダントツ1位となったTeslaがあります。このTesla車について、日本の自動車評論家やメーカーの中の人がしばしば言うことがあります。
「自動車は人の命を運ぶものだから、ベータ版で出すとか徹底的なテストをせずに出荷するTeslaは信用できない。日本車メーカーを見習うべきだ」
自動車が人の命を預かるものなのは事実です。そして、Teslaの車両制御ソフトウェアはベータ版として提供されており、OTA(無線によるアップデート)で頻繁に更新されます。これが、スマホ的な自動車だといわれる所以ですね。そして急拡大した生産台数のせいか、製造品質が低いというのも事実のようです。組み付け精度は低いし、注文したものと異なる部品が付いていたなんて話も、よくネットにはあがっています。
しかし、製品の品質に対する考え方の違いは、どのくらい安全性に影響しているのでしょうか。自動車保険の算出の参考に使われる、損害保険料率算出機構が公開している自動車の型式別料率クラスを見てみました。
テスラモデルS(SL1S)の搭乗者傷害保険の料率クラスは8。モデル3(3L13)だと7になります。搭乗者傷害保険は、乗っている人が事故で怪我をしたときの補償で、料率クラスが高いほど保険料が高くなります。つまり、この料率が高いほど実績ベースで怪我をする可能性が高いと推察されます。
ちなみに、似たような人が選ぶ可能性が大きいと思えるレクサスISを見ると、2000cc標準モデルのASE30が5、3500ccスポーツモデルのGSE31が7となっていました。ちなみにアウディA4(8DAAHF)は9です。自動車事故は、クルマ自体の性能というよりも、どんな人が運転するかに大きく影響するので、似た価格帯の競合になりそうなクルマをピックアップしてみた感じです。
では実際の事故件数はどうか。Teslaは、事故一件あたりの走行キロ数を定期的に公開しています。これは「50万キロに1回、事故が起きた」というように表現するもので、当然キロ数が大きいほど事故の件数が少ないことを意味します。グラフ化したものが下記です。
米国で一般的な事故件数は、75〜80万キロに対して1回。大して、Tesla車の事故は1回あたり200万キロを超えており、アクティブセーフティ機能をオンにしているとさらに増える、そして「オートパイロット」時の事故は700万キロを超えるというのが、Teslaの主張です。
もちろんこれを文字通りに取るわけにはいきません。ちょっと考えただけでも、一般道よりも高速道路の方が事故は起こりにくいことが想像できますし、オートパイロットが使われるのはたいてい高速道路です。さらに、運転者の属性もあります。Tesla車を買うのは中高年でお金に余裕がある人が多く、そうした人は概して中古車を買う若者よりも安全運転です。
でも、そうした点を踏まえても、別にTesla車のほうが安全性に不安があるというわけでもなさそうです。IIHS(Insurance Institute for Highway Safety=米道路安全保険協会)が実施している安全性評価の格付けでも、テスラ「モデル3」の2019年モデルは最高評価の「トップ・セーフティ・ピック・プラス(TOP SAFETY PICK+)」を獲得し、米コンシューマーリポート誌でも、前年から順位は後退したものの日産と同レベルに入っています。
テスラが信頼性番付で16位に後退、マツダが初の首位-米誌調査 - Bloomberg
無線アップデートの意味
面白いのは、2018年のコンシューマーリポート誌評価です。当初、同誌は「Teslaモデル3を推奨しない」といっていました。ところが、それから1週間後、一転してモデル3を推奨車に変更しました。理由は、ABS関連のソフトウェアアップデートです。
コンシューマーリポートの自動車テスト担当ディレクター、ジェイク・フィッシャー氏は、「19年間、1000台以上の車をテストしてきた。無線によるソフトウェア更新で、性能を向上させた車は初めて」と述べている。
これは、自動車が機械的に優れているかどうかだけでなく、その制御プログラム次第で安全にも危険にもなることを意味しています。そして多くの自動車メーカーが、プログラムの事後のアップデートに慎重になる中、Teslaはこれを有効活用して安全性の向上に役立てているわけです。
もともとベータ版で、順次ソフトウェアでアップデートされると聞くと、いかにも未完成品を販売しているように聞こえます。ただし、現時点でのベストを販売して、その後も随時性能をアップデートしていると考えると、どちらが安全なのかは分からなくなってきます。
スマホのOSがアップデートされたからといって、「最初から完璧なものを出せ!」と怒る人はいません。日進月歩のソフトウェアの世界においては、完璧なものなど存在しないのをみんな知っているからです。そして、今や自動車も機械製品であると同時に、ソフトウェアがその多くを占めているのです。そして、一定レベル以上の安全性についても、ソフトウェアの善し悪しがそれを決める時代に突入しています。
「モノ作り」ではなくソフトウェア
これはさまざまな製品が、いまやソフトウェアの塊で、その出来不出来が製品の善し悪しを左右するようになっているということでもあります。しかし日本では、製造業を「モノ作り」と呼ぶように、機械を作る業種という見方から脱却できておらず、ソフトウェアの重要性は社会的に軽視されたままです。
ソフトウェアにはバグがつきもの。これをゼロにすることはできません。つまり、100%完全はあり得ず、状況によってシステムトラブルが生じます。機械と違って、不良品率のようにその完全性をパーセンテージで評価するのは難しいものですが、ごくわずかな可能性だとしても、トラブルは生じます。
それはCPUであっても同じで、1994年にPentiumで生じたバグの話は有名です。これは非常に小さな数字で割り算を行うと、誤りが生じるというものでした。このとき、Intelはこの問題を「大したことではない」と軽視しました。このバグが実際の計算に影響することはほとんどないということが一点、またこのレベルのバグはこれまでのCPUでもたびたび生じており、Intelは次回の設計見直しで対応すればいいだろうと踏んでいたのです。
ところがこの問題は大炎上し、Pentiumの無償交換に発展しました。かかった費用は4億7500万ドル。当時のIntelの純利益の17%に相当しました。
その後、Intelはこれを教訓にどうしたか。バグをゼロにするのではなく、バグが発見されたら「エラッタ」として随時公表する方針にしました。このことで、信頼を得、その後Intelは躍進していきます。
これが示すことは、ソフトウェアでのバグをなくすことはできないということ。そして、バグがあったときに速やかにそれを公表し、対策を取れるようにすることが重要だということです。
ソフトウェアに対する信頼
ここまでの話をまとめるとこうなるでしょう。まず、止まらないシステム、バグのないソフトウェアを作るのは不可能だということ。だから、止まることを前提として、どう速やかに対応できる体制を作るかが重要になります。
実は、機械でも壊れたり不良品は必ずありますし、人が処理するシステムでも間違いは必ず発生します。そしてこれらに対しては人は比較的寛容です。ただしこれは、問題があったときの影響範囲が比較的狭いため、全員に影響が及ぶわけではないという理由もあります。
一方でソフトウェアは、1つの問題が引き起こす影響範囲が比較的広く、いざ発生すると多くの人に影響してしまうのが大きな違いでしょう。これに似ているのが原発です。原発も、1つに事故が起きたときの影響はすさまじく、福島の例で分かるように場合によっては国が滅ぶレベルの影響を及ぼします。
だから、原発についても以前は「リスクはゼロである」という主張が繰り返されてきましたが、そんなはずはありません。ソフトウェアも同様に、小さくでも必ずリスクはあるわけです。
「完璧なものを提供する」というゼロリスクの考え方は、ともすると「リスクはゼロでなくてはならない」という信仰になりがちです。ところが、実際にリスクがゼロになるわけではないので、いざそれが起こったときにはたいへんなことになります。
一方で、「バグはつきものなので起きたら対応する」というスタンスは、より現実的です。OTAでソフトウェアをアップデートしたり、問題が起きることを前提で対応マニュアルや組織を構築するからです。
日本は特にゼロリスク信仰が強いといわれます。しかし、ソフトウェアが世の中を動かす時代にあっては、ゼロリスクを求めることは、逆に問題を見えなくしてしまう可能性が高い。投資についても「リスクはゼロではないんですよね?」と言う人が必ずいますが、どうリスクをコントロールするかのほうが大事だと思うのです。