スイスチーズモデルとは|多重防護の考え方と事故発生メカニズム
「あのとき誰か一人でも気づいていれば防げた」——現場で事故の事後報告を聞くたびに、この言葉が出てくる。しかし実際には「誰か一人の気づき」が最後の砦になるような状況自体が、すでに危険なのだ。スイスチーズモデルは、その構造的な問題を可視化した事故発生のメカニズムである。航空・医療・製造・建設のあらゆる現場で採用されているこのモデルを、実務視点から体系的に解説する。
ヒヤリハットが現場で埋もれていませんか — 安全ポスト+ はQRコードで匿名報告できる安全管理アプリ。AIが自動で4M分類・リスク評価し、潜在的な穴を早期に発見。無料プランあり。
スイスチーズモデルとは(ジェームズ・リーズンの提唱)
スイスチーズモデルとは、英国の心理学者ジェームズ・リーズン(James Reason)が提唱した事故発生メカニズムの理論で、組織の防護層を「穴の空いたスイスチーズのスライス」に見立て、複数の層の穴が一直線に並んだとき初めて事故が発生するという考え方である。
モデルの骨格
リーズンはマンチェスター大学の心理学教授として、スリーマイル島原発事故・ボパール化学工場事故・チャレンジャー号爆発事故・チェルノブイリ事故などを分析し、いずれも「単一の失敗」ではなく「複数の防護の崩壊の連鎖」が事故を生んでいることを見出した。その成果は1990年の著書 Human Error(邦訳:海文堂出版「ヒューマンエラー〔完訳版〕」)として結実し、1997年の Managing the Risks of Organizational Accidents(Ashgate)でさらに体系化された。
このモデルの核心は**「事故は単独の原因から生まれない」**という組織事故観だ。チーズのスライス1枚には必ず穴がある。しかし複数枚のスライスを重ねることで穴はふさがれ、ハザード(危険源)が最終的な損害に到達するルートは遮断される。問題が起きるのは、「各スライスの穴が偶然一列に並んだ瞬間」だ。
モデルが提示する3つのメッセージ
- 完全無欠な防護層はない — どんな対策にも必ず抜け穴がある
- 事故は複数の失敗の連鎖 — 1つの対策を強化しても、他の層の穴が塞がらなければ根本解決にならない
- 潜在的な問題こそが危険 — 普段は見えない「静かな弱点」が積み重なって事故を引き起こす
4層の防護壁——スライスは何を表しているか
スイスチーズモデルでは、チーズの1枚1枚が「防護層(バリア)」を意味する。リーズンは組織の防護層を大きく4つに分類している。
| 層 | 内容 | 例 |
|---|---|---|
| 組織の影響 | 経営方針・予算配分・組織文化 | 安全投資の削減、過密スケジュール |
| 管理上の問題 | 現場管理の体制・教育・ルール | 手順書の未整備、危険予知の形骸化 |
| 不安全な前提条件 | 作業者の状態・環境 | 過疲労、技量不足、劣悪な作業環境 |
| 不安全な行為 | 現場での直接的なミス・違反 | 操作ミス、手順省略、確認漏れ |
これは「組織の上位にある意思決定」から「現場の個人の行為」まで、事故の原因が重層的に連なっている構造を示している。1人の作業者が手順を省略したとき、その背後には管理体制の不備があり、さらにその背後には組織的な安全文化の問題があるかもしれない——というように、「なぜ」を掘り下げていくと多層構造が浮かび上がる。
防護壁の強度を高めるとは、各層における「穴の数を減らし、穴のサイズを小さくする」ことに他ならない。ただしどれだけ努力しても穴をゼロにはできない。だからこそ「多重化」が本質的な対策になる。
穴が空く2種の失敗——能動的失敗と潜在的失敗
スイスチーズのスライスに穴が空く原因は2種類に大別される。これはリーズン理論の中でも特に重要な概念だ。
能動的失敗(Active Failure)
能動的失敗とは、現場の作業者が直接引き起こすエラーや違反行為を指す。オペレーターの操作ミス、パイロットの判断ミス、医師の投薬ミスなどがこれにあたる。
特徴は「発生した瞬間に見える」こと。事後に「あの操作が原因だ」と特定しやすいため、往々にして「個人の失敗」として処理されやすい。しかしリーズンは、能動的失敗を個人の問題に矮小化することを強く戒めた。作業者を罰しても、その背後にある潜在的失敗は消えないからだ。
潜在的失敗(Latent Failure)
潜在的失敗とは、組織・管理・設計の中に潜む「眠れる欠陥」だ。長期間にわたって表面化せず、それ単独では事故を起こさないが、能動的失敗のトリガーが引かれたとき初めて事故連鎖の一部を構成する。
- 訓練プログラムの不十分さ
- 安全確認手順書の曖昧な記述
- 設備のメンテナンス周期が現場の実態と合っていない
- 人手不足で慢性的に過疲労状態が続いている
これらは「今日は何も起きていない」ので見過ごされがちだ。しかし潜在的失敗が蓄積されると、チーズの穴は知らない間に広がっていく。事故が起きた日に初めて問題が発覚する——これが潜在的失敗の最も危険な点だ。
| 比較軸 | 能動的失敗 | 潜在的失敗 |
|---|---|---|
| 発生主体 | 現場作業者 | 組織・管理・設計 |
| 可視性 | 発生時に見える | 長期間潜伏する |
| 対処の落とし穴 | 個人責任に矮小化しやすい | 問題に気づきにくい |
| 根本対策 | 原因の組織的調査 | 定期的な安全監査 |
安全ポスト+ で潜在的失敗を早期発見
現場のヒヤリハットは、潜在的失敗の「シグナル」だ。匿名QR報告で収集した声をAIが4M分類し、見えていなかった穴を可視化する。
👉 無料で始める
航空・医療業界での適用事例
スイスチーズモデルが最初に体系的に応用されたのは航空安全の分野で、その後医療安全へと広がった。
航空業界——多重防護の先駆け
航空業界は、スイスチーズモデルの概念が生まれる以前から、実質的に多重防護の設計を実践してきた。
現代の航空安全システムを構成する主な防護層は次のとおりだ。
- 訓練と資格制度:パイロット・整備士・管制官それぞれの厳格な資格要件と定期訓練
- チェックリスト文化:離陸前・着陸前に機長と副機長が相互確認するチェックリスト手順
- フライトデータ記録:ブラックボックスによるデータ記録と事後分析
- CRM(乗員資源管理):権威勾配(上下関係による発言の萎縮)を排除するコミュニケーション訓練
- TCAS(空中衝突防止装置):機械的な最終防護
航空事故が極めてまれな理由は「パイロットが優秀だから」ではなく、「1つのエラーが致命傷にならない多重防護が機能しているから」だ。リーズンはこの航空の知見を他産業に展開することを提唱した。
医療分野——1999年の患者取り違え事故
医療安全の文脈でスイスチーズモデルが広く引用されるきっかけの一つが、1999年の患者取り違え手術事故だ。手術室への患者の受け渡し段階で生じた取り違えが、その後も複数の確認ポイントをすり抜け、麻酔・手術が続行された。
この事故は、個々の医療従事者の「見落とし」として処理されがちだが、実際には患者確認の手順が複数箇所で機能しなかった。つまり「複数のチーズの穴が一列に並んだ」状態だ。
この事故を契機に、医療業界では以下の多重防護が標準化されていった。
- 手術患者への手首リストバンドの義務化
- タイムアウト(執刀直前の患者確認の一時停止)の導入
- WHO手術安全チェックリストの策定(2009年)
製造・建設現場への応用
製造業・建設業においても、スイスチーズモデルは実務的な安全設計の基盤として活用できる。
製造現場での防護層設計
製造ラインにおける防護層は、次のように整理できる。
| 防護層 | 具体的な対策例 |
|---|---|
| 設備・機械による対策 | インターロック、センサー、安全カバー |
| 作業手順・ルール | 標準作業手順書(SOP)、ロック・アウト/タグ・アウト |
| 人的確認 | ダブルチェック、指差呼称、KY活動 |
| 組織的監査 | 定期安全パトロール、ヒヤリハット集計・分析 |
重要なのは「1つの層が失敗しても他の層が止める」という設計思想だ。インターロックが壊れていたとしても、作業前の点検チェックリストで気づける——という冗長性が多重防護の本質だ。
建設現場での実践ポイント
建設業は業種特性として多重下請・短期就労・高所作業など複合リスクが高い。スイスチーズモデルを建設現場に適用する際の3つのポイントを整理する。
1. 潜在的失敗の発見に注力する 高所作業における墜落事故の多くは、「フルハーネスをしていなかった」という能動的失敗が表面に出るが、その背後には「装着確認が形骸化していた」「取付点の位置が分かりにくかった」という潜在的失敗がある。事故後の原因分析は、能動的失敗で止めてはいけない。
2. ヒヤリハットをチーズの穴の情報として扱う ヒヤリハット報告は、潜在的失敗が表面化した貴重なシグナルだ。「怪我がなかったから大丈夫」ではなく、「穴の位置と大きさが今日たまたま見えた」という認識で記録・分析する。
3. 報告を止めない仕組みづくり ヒヤリハットが報告されない現場では、潜在的失敗は見えないまま蓄積し続ける。匿名性の確保と報告への迅速なフィードバックが、報告文化の維持に直結する。
ハインリッヒの法則・4Mとの関係
スイスチーズモデルは単独で使うより、他の安全理論と組み合わせることで威力を発揮する。
ハインリッヒの法則との補完関係
ハインリッヒの法則(1:29:300の法則)は、1件の重大事故の裏に29件の軽微事故と300件のヒヤリハットが潜在するという統計的経験則だ。
| 観点 | ハインリッヒの法則 | スイスチーズモデル |
|---|---|---|
| 焦点 | 事故の頻度と深刻度の比率 | 事故の発生メカニズム |
| 示すこと | 小さな兆候を放置すると重大事故につながる | 防護層の穴が並ぶと事故が起きる |
| 実務への示唆 | ヒヤリハットの収集・分析 | 多重防護の設計と監査 |
2つを組み合わせると「ヒヤリハットを拾う(ハインリッヒ)→どの防護層の穴に該当するか分析する(スイスチーズ)→穴を塞ぐ対策を講じる」という実践的なサイクルが構築できる。
4M分析との接続
4M分析(Man・Machine・Material・Method)は、事故原因を人・機械・材料・方法の4軸で分類するフレームワークだ。スイスチーズモデルの「防護層」と4Mを対応させると、穴の場所を体系的に特定しやすくなる。
- Man(人):作業者の疲労・技量・確認漏れ → 能動的失敗に直結
- Machine(機械):設備の劣化・誤作動・インターロック不備 → 設備防護層の穴
- Material(材料):資材の品質不良・仕様外使用 → 管理防護層の穴
- Method(方法):手順書の不備・教育の不徹底 → 組織・管理防護層の潜在的失敗
4Mで分類した原因を「どの防護層が機能しなかったか」に落とし込むことで、「個人の責任」ではなく「防護設計の問題」として対策を立案できる。
なぜなぜ分析の手法を用いた根本原因究明については、WhyTrace Plus のなぜなぜ分析ツールも有効だ。
多重防護の設計実務——穴を塞ぐ3つのアプローチ
スイスチーズモデルを単なる「概念の理解」で終わらせないために、実務的な多重防護の設計ステップを示す。
ステップ1:現状の防護層を棚卸しする
まず「自組織にどんなチーズのスライスがあるか」を可視化する。典型的な棚卸し方法は次のとおりだ。
- 過去の事故・ヒヤリハット記録から「どの防護層が機能しなかったか」を分類する
- 法令・社内規程・標準作業手順書を確認し、明文化された防護を洗い出す
- 現場巡回で「紙の上のルールと実態の乖離」を観察する
ステップ2:穴の位置とサイズを評価する
棚卸し後は、各防護層の脆弱性(穴)を評価する。評価の視点は以下の3点だ。
- 穴の大きさ:その弱点はどの程度のリスクをスルーさせるか
- 穴の固定性:常に同じ位置に穴があるか、状況によって変わるか
- 穴の同期リスク:複数の層の穴が同時に一直線になる可能性はどの程度か
リスクアセスメントの手法として、FMEA(故障モード影響解析)やFTA(故障の木解析)と組み合わせることで定量的な評価が可能になる。
ステップ3:優先度をつけて穴を塞ぐ
すべての穴を同時には塞げない。優先順位の判断基準は「他の防護層による補完がどの程度効くか」だ。
- 他の層が薄い穴を優先:1枚のスライスの穴をふさぐことで大きくリスクが下がる
- 潜在的失敗に起因する穴を優先:能動的失敗(個人のエラー)だけを対象にすると根本解決にならない
- 継続的な監視の仕組みを作る:一度塞いだ穴も、時間の経過や環境変化で再び広がる。定期的な安全監査とヒヤリハット分析が必要だ
現場からの報告が途絶えた瞬間、防護設計者は穴の実態が見えなくなる。ヒヤリハット報告の「件数ゼロ」は安全の証拠ではなく、報告の仕組みが機能していないサインかもしれない。
よくある質問
Q. スイスチーズモデルとハインリッヒの法則はどう違うのか?
ハインリッヒの法則は「重大事故の手前に多数の軽微な兆候がある」という統計的な比率を示したものであり、スイスチーズモデルは「複数の防護層の穴が一列に並ったとき事故が発生する」というメカニズムを説明した理論である。前者は「ヒヤリハットを減らせ」という行動指針、後者は「なぜ事故が起きたか」の構造分析に強い。実務では両方を組み合わせて使うのが効果的だ。
Q. 能動的失敗を起こした作業者を責めてはいけないのか?
スイスチーズモデルの考え方では、能動的失敗(現場作業者のエラー)のみに着目して個人を罰することは根本対策にならない。作業者が同じミスを犯しやすい環境・手順・組織文化そのものが潜在的失敗であり、そちらを改善しなければ別の誰かが同じエラーを起こす。個人の責任追及は事実確認の範囲にとどめ、組織的な原因分析に主眼を置くことが再発防止につながる。
Q. 防護層は何枚あれば十分か?
絶対的な「正解枚数」はない。リスクの大きさ(発生確率×被害規模)に応じて設計する。航空・原子力・化学プラントなど致命的リスクが高い業種では、10層以上の多重防護を設けることも珍しくない。製造・建設現場では最低でも「設備による物理的防護」「手順・ルールによる管理的防護」「ヒューマンチェック」の3層を確保し、定期的に穴の状態を監視する仕組みを持つことが現実的な出発点だ。
Q. スイスチーズモデルの限界や批判はあるか?
リーズン自身も後の論文で、モデルの静的な図解が「チーズのスライスが固定された位置関係にある」という誤解を生みやすいと指摘している。実際の組織では、防護層は動的に変化し穴の位置も常に動いている。また、モデルが「なぜ事故が起きたか」の説明には優れている一方で、「どこを優先的に強化するか」の定量的指針には乏しいとする批判もある。FMEAなどの定量的手法と組み合わせることで補完できる。
まとめ
スイスチーズモデルが示す核心はシンプルだ。「事故は防護の連鎖的崩壊によって起きる」——それだけだ。しかしこの一文が安全管理のアプローチを根本から変える。
現場の誰かが個人的にミスをしたとき、そのミスが「最後の砦」であったとすれば、問題はその個人ではなく、砦が1枚しかなかった組織設計にある。
- 潜在的失敗を可視化するために、ヒヤリハットを集め続ける
- 各防護層の穴を定期的に監査し、弱いスライスを補強する
- 能動的失敗を個人責任で完結させず、組織的な原因に遡及する
この3点が、スイスチーズモデルを「知っている」から「使える」に変える実践の柱だ。
現場改善に役立つ関連アプリ
GenbaCompassでは、安全ポスト+以外にも現場のDXを支援するアプリを提供している。
| アプリ名 | 概要 | こんな課題に |
|---|---|---|
| 安全ポスト+ | QRコードで匿名ヒヤリハット報告、AIが4M自動分類 | 潜在的失敗を現場から可視化したい |
| WhyTrace Plus | AIなぜなぜ分析で根本原因を系統的に究明 | 防護層のどこに穴があるか深掘りしたい |
| AnzenAI | KY活動・リスクアセスメント・安全書類を効率化 | 多重防護の管理層を整備したい |
| PlantEar | 設備異音AIで予兆保全、機械層の穴を先手で塞ぐ | 設備に起因する潜在的失敗を防ぎたい |