JP2011095876A - ヒューマンエラー分析支援システムおよびヒューマンエラー分析支援方法 - Google Patents

ヒューマンエラー分析支援システムおよびヒューマンエラー分析支援方法 Download PDF

Info

Publication number
JP2011095876A
JP2011095876A JP2009247291A JP2009247291A JP2011095876A JP 2011095876 A JP2011095876 A JP 2011095876A JP 2009247291 A JP2009247291 A JP 2009247291A JP 2009247291 A JP2009247291 A JP 2009247291A JP 2011095876 A JP2011095876 A JP 2011095876A
Authority
JP
Japan
Prior art keywords
event
accident
factor
analysis
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009247291A
Other languages
English (en)
Inventor
Yumiko Togashi
由美子 冨樫
Yoshinori Sato
嘉則 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2009247291A priority Critical patent/JP2011095876A/ja
Publication of JP2011095876A publication Critical patent/JP2011095876A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】情報セキュリティの非専門家であっても情報セキュリティ事故の要因を容易かつ網羅的に分析できるようにする。
【解決手段】ヒューマンエラー分析支援装置110は、基本情報入力部111により、事故の基本情報の入力を実行し、事象整理部112により、その事故に関わる事象の整理を実行し、なぜなぜ分析部113により、事故の背後要因の分析を実行し、対策立案部114により、事故の根本要因に対する対策案を立案して、情報セキュリティの非専門家である分析者によるヒューマンエラー分析作業を支援する。事象の整理においては、乖離ノード判定部112cにより、事故において特定した事象が乖離事象であったか否かを判定することで、なぜなぜ分析を行うべき事象を絞り込む。なぜなぜ分析においては、サンプル表示部113aにより、背後要因の入力に応じて、過去に分析した事故事例のうち分析経過に似通ったものをサンプルとして提示する。
【選択図】図1

Description

本発明は、ヒューマンエラーの分析を支援する技術、特に情報セキュリティにおけるヒューマンエラーの分析を支援する技術に関する。
各種調査によれば、情報セキュリティ事故(以下、単に「事故」と称する場合がある。)の大半はヒューマンエラーに起因するものである。ヒューマンエラーの再発防止のためには、エラーに対する合理的な対策を立案し、実施することが望ましい。合理的な対策の立案のためには、事故の経緯を把握し、事故が発生した根本的な要因を分析することが重要となる。
ヒューマンエラーの分析には一般的に心理学や人間工学等の専門的知識が必要になる。これらの専門的知識が少ない分析者にも高度な原因分析を行うことが可能なように分析者を支援するシステムが提案されている。
例えば、特許文献1では、あるn次原因(n:自然数)と該n次原因が発生する原因であるn+1次原因との関連付け情報を保持するヒューマンエラー樹形図DBを備え、分析者の入力した逸脱事象のn次原因がヒューマンエラー樹形図DBの情報と一致する場合にはn+1次原因の候補を提示する分析支援システムを提供している。
特開2004−287649号公報
しかしながら、特許文献1のシステムは、分析者の入力情報とヒューマンエラー樹形図DBの情報がマッチした場合には分析者に支援情報を提示するが、入力情報がヒューマンエラー樹形図DBの情報とマッチしない場合、分析者は支援がない状態で原因を探ることになる。情報セキュリティを考えると、セキュリティの専門知識を持たない人が情報を取り扱う場合が多い。そのため、特許文献1に記載のシステムを情報セキュリティ事故に適用する場合、分析に抜け漏れが生じる可能性が考えられる。
また、特許文献1のシステムは、分析者の入力情報とヒューマンエラー樹形図DBの情報がマッチした場合には次の入力候補が提示されるが、非専門家が分析を行う場合、入力候補に発想が限定されたり、誤った方向に分析が誘導されたりする可能性が考えられる。特許文献1に記載のシステムを情報セキュリティ事故に適用する場合、分析者がセキュリティの専門知識を持たないために、分析を進める過程で正しい情報を取捨選択することは困難であると考えられる。
事故の分析においては、事故の状況を正確に把握していることが必要であり、事故を起こした当事者による分析が必要である。そこで、情報セキュリティの専門知識を持たない人の分析を支援するシステムが必要となる。
そこで、前記事情を鑑みて、本発明の目的は、情報セキュリティの非専門家であっても情報セキュリティ事故の要因を容易かつ網羅的に分析できるようにすることである。
本発明は、事故の基本情報の入力、事故に関わる事象整理、事故の背後要因の分析、事故の根本要因に対する対策立案といったヒューマンエラー分析作業を支援するシステムを提供する。
基本情報の入力においては、分析者は、事故の内容および対象を特定した基本情報を入力して事故事例を分類する。
事象整理の支援においては、事象の当事者が前記分析者にとって対策可能な関係者かそれとも対策困難な関係者かの情報を保持する。分析者が入力した事例の当事者が分析者にとって対策可能な関係者の場合には、当該事象が本来望ましいとされる作業との乖離または通常の作業との乖離があったかどうかを判定する乖離ノード判定を行い、分析者が入力した事例の当事者が分析者にとって対策困難な関係者の場合には、前記乖離ノード判定を行わないようにする。乖離ノードをこのように取り扱うことにより、対策可能な範囲での分析や対策立案を可能にすることを特徴とする。
背後要因の分析においては、前記乖離ノード判定において乖離ノードであると判定された事象の一覧を保持し、時刻の新しい乖離ノードから順に分析対象として提示して背後要因情報を入力させるとともに、背後要因分析済の乖離ノードか否かの情報を保持する。これにより、背後要因分析を実施しない乖離ノードの発生と、背後要因分析済の乖離ノードの再分析を防止することを特徴とする。
また、背後要因の分析において、分析の発想手順と着眼点とを提示するとともに、事故の基本情報と背後要因情報から、分析者が新しい要因を入力するたびに、分析経過に似通った事故事例を分析サンプルとして提示することを特徴とする。
対策立案においては、分析者が対策立案対象として選択した事故の根本要因に対して、予め定めた対策方針にしたがって、適切な対策対象の発想を促すことを特徴とする。
詳細は、後記する。
本発明によれば、情報セキュリティの非専門家であっても情報セキュリティ事故の要因を容易かつ網羅的に分析できるようにすることができる。
ヒューマンエラー分析支援システムの全体構成図である。 ヒューマンエラー分析支援装置および事故事例DBのハードウェア構成を示す図である。 基本情報データのデータ構造の一例である。 関係者データのデータ構造の一例である。 事象データのデータ構造の一例である。 乖離ノードデータのデータ構造の一例である。 背後要因データのデータ構造の一例である。 根本要因データのデータ構造の一例である。 対策案データのデータ構造の一例である。 ヒューマンエラー分析支援システムにおける処理の全体の概要を示すフローチャートである。 基本情報入力を行うためのインタフェース画面の一例である。 基本情報入力の処理を示すフローチャートである。 事象整理の処理を示すフローチャートである。 関係者入力を行うためのインタフェース画面の一例である。 関係者入力の処理を示すフローチャートである。 事象入力を行うためのインタフェース画面の一例である。 事象入力の処理を示すフローチャートである。 乖離ノード判定結果入力を行うためのインタフェース画面の一例である。 乖離ノード判定の処理を示すフローチャートである。 なぜなぜ分析における乖離ノードの背後要因を入力するためのインタフェース画面の一例である。 なぜなぜ分析サンプルを表示するためのインタフェース画面の一例である。 なぜなぜ分析の処理全体を示すフローチャートである。 作業の背後要因分析の処理を示すフローチャートである。 認知の背後要因分析の処理を示すフローチャートである。 根本要因分析の処理を示すフローチャートである。 サンプル更新の処理を示すフローチャートである。 対策立案するためのインタフェース画面の一例である。 対策立案の処理を示すフローチャートである。 ヒューマンエラー管理システムの全体構成図である。 ヒューマンエラー管理システムにおける処理の全体の概要を示すフローチャートである。 事例選択を行うためのインタフェース画面の一例である。 事例選択の処理を示すフローチャートである。 事象整理の処理を示すフローチャートである。 事故関係者の対策可能/困難変更を行うためのインタフェース画面の一例である。 事故関係者の対策可能/困難変更の処理を示すフローチャートである。 乖離ノード判定の処理を示すフローチャートである。 なぜなぜ分析の処理を示すフローチャートである。 対策立案の処理を示すフローチャートである。 定義データのデータ構造の一例である。 定義データのデータ構造の一例である。
次に、本発明を実施するための形態(以下、「実施形態」という。)について、適宜図面を参照しながら説明する。
≪実施形態1≫
実施形態1として、まずヒューマンエラー分析支援システムの全体構成を、図1を用いて説明する。ヒューマンエラー分析支援システム100は、ヒューマンエラー分析支援装置110と、事故事例DB(Database)120とを含んで構成される。これらは、通信媒体(ネットワークまたはネットワークを伝播するデジタル信号や搬送波)を介して接続される。
ヒューマンエラー分析支援装置110は、基本情報入力部111と、事象整理部112と、なぜなぜ分析部113と、対策立案部114と、定義データ115とを含む。ヒューマンエラー分析支援装置110において、基本情報入力部111と、事象整理部112と、なぜなぜ分析部113と、対策立案部114とは、図2に示すメモリ203またはストレージ202に備えられる。また、定義データ115は、図2に示すストレージ202に格納される。事象整理部112は、関係者入力部112aと、事象入力部112bと、乖離ノード判定部112cとを含む。また、なぜなぜ分析部113はサンプル表示部113aを含む。
事故事例DB120は、基本情報データ121と、関係者データ122と、事象データ123と、乖離ノードデータ124と、背後要因データ125と、根本要因データ126と、対策案データ127とを含んで構成される。事故事例DB120は、後述する基本情報の事故事例の分類ごとに専門家が分析した事故事例サンプルデータを予め蓄える。事故事例DB120の一例はRDB(Relational Database)により構成される。
図2は、ヒューマンエラー分析支援装置および事故事例DBのハードウェア構成を示す図である。このハードウェア構成200(以下、単に「コンピュータ」と称する場合がある。)は、CPU(Central Processing Unit:制御部)201、ストレージ(記憶部)202、メモリ(記憶部)203、入力装置(入力部)204、出力装置(表示部)205、通信装置206等を有する。CPU201、ストレージ202、メモリ203、入力装置204、出力装置205、通信装置206等はバスなどの内部通信線207によって互いに接続されている。ヒューマンエラー分析支援装置110や事故事例DB120等は、1台のコンピュータで構成しても良いし、2台以上のコンピュータで構成しても良い。2台以上のときは、例えば、あるコンピュータでヒューマンエラー分析支援装置110を構成し、別のコンピュータで事故事例DB120を構成することが可能であるが、これに限定しない。
CPU201がストレージ202やメモリ203に格納されているプログラム(例:ヒューマンエラー分析支援プログラム)を実行することにより、通信装置206は、前記通信媒体を介してデータのやり取りを行う。また、そのプログラムの実行により、基本情報入力部111と、事象整理部112と、なぜなぜ分析部113と、対策立案部114等、といった処理部による機能が実現される。
図3は、基本情報データのデータ構造の一例を示す。本実施形態では、基本情報データ121をテーブル300として示す。図3において、テーブル300の各レコードは、一件の情報セキュリティ事故の基本情報を記録したデータであり、フィールド301、302、303、304、305を有する。
フィールド301は、事故番号を表す。フィールド302は、メール誤送信、紛失、盗難といった、事故の大分類(種別_大分類)を表す。フィールド303は、事故の中分類(種別_中分類)、つまり、フィールド302の詳細な分類を表す。例えば、メール誤送信の場合、フィールド303は、宛先(アドレス)のミス、添付ファイルのミス、件名・本文のミス等が該当する。フィールド304は、事故の小分類(種別_小分類)、つまり、フィールド303のさらに詳細な分類を表す。例えば、アドレスのミスによるメール誤送信の場合、フィールド304は、アドレス帳への登録時の誤入力、To/Bccの誤入力、宛先の誤入力、不要なアドレスの追加などが該当する。フィールド305は、事故の対象となった情報媒体(事故対象)を表す。例えば、紛失の事故の場合、PC(Personal Computer)、外部記憶媒体、携帯電話、書類などが入力される。テーブル300は、事故の小分類ごとに専門家が分析したサンプル事例のレコードを予め有し、新たに分析が行われるたびにレコードが追加される。このレコードの追加、変更、削除等の修正は、例えば入力装置204による入力から行われる。他のテーブルのレコードについても、分析者からの入力が必要なものについては同様である。
図4は、関係者データのデータ構造の一例を示す。本実施形態では、関係者データ122をテーブル400として示す。関係者データ122は、事故事例一件ごとに一つのテーブルを有する。図4において、テーブル400の各レコードは、一件の情報セキュリティ事故における関係者一人一人の情報を記録したデータであり、フィールド401、402を有する。
フィールド401は、事故に関与した関係者を表す。フィールド402は、分析者にとって、前記関係者が対策可能な関係者かそれとも対策困難な関係者かを表す(対策可能/困難)。ここで、「対策可能」とは、分析者が立案した対策を関係者に実施させることができるということを意味し、「対策困難」とは、対策を関係者に実施させることが困難であることを意味する。例えば、ある事業部のAさんが事故を起こしたとすると、同事業部内の関係者は、その事故の分析を行うのに十分な知識を備えていると考えられることから対策可能であると判断して、フィールド402には“可能”という値を登録する。一方、前記関係者としてのお客様は、基本的には事故の分析を行うのに十分な知識を備えていないばかりでなく、たとえ知識を備えていたとしても、お客様という立場上、後に立案する対策案に関わらせるべきではないという理由から対策困難と判断して、フィールド402には“困難”という値を登録する。
関係者データ122は、専門家が分析したサンプル事例のテーブルを予め有する。テーブル400は、テーブル300にレコードが追加されるたびに新たに生成され、レコードが追加される。
図5は、事象データのデータ構造の一例を示す。本実施形態では、事象データ123をテーブル500として示す。事象データ123は、事故事例一件ごとに一つのテーブルを有する。図5において、テーブル500の各レコードは、一件の情報セキュリティ事故に関する事象一つを記録したデータであり、フィールド501、502、503、504、505、506を有する。ここで、「事象」とは、主に関係者が行った作業や関係者の周りの状態を意味する。
フィールド501は、各事象を行った当事者(関係者)を表す。フィールド502は、事象の発生した時刻を表す。なお、例えばヒューマンエラー分析支援装置110は、時刻の値を登録することができるように、計時機能を備えるタイマを含んでいる。フィールド503は、事象の内容(説明)を表す。フィールド504は、時系列事象関連図において、当該事象がどの事象とつながるかを表す(つながる次の事象)。時系列事象関連図において、各事象は例えば、有向グラフのノードとして表される。フィールド505は、当該事象の当事者が分析者にとって対策可能な関係者かそれとも対策困難な関係者かを表す(対策可/困難;対策可能性フラグ)。フィールド505は、フィールド402に対応する。フィールド506は、当該事象が、乖離ノードであるかどうかを表す(乖離ノード判定結果;乖離事象判定フラグ)。ここで、乖離ノード(乖離事象)とは、前記ノードのうち、本来望ましいとされる作業あるいは状態との乖離がある、または、普段の作業あるいは状況との乖離があるノードを示す。後記する乖離ノード判定により乖離ノードであると判定されれば、フィールド506には“YES”という値が登録され、乖離ノードでないと判定されれば“NO”という値が登録される。乖離ノード判定がされるまではブランクである。
事象データ123は前記事故の小分類(フィールド304参照)ごとに専門家が分析したサンプル事例のテーブルを予め有する。テーブル500は、テーブル300にレコードが追加されるたびに新たに生成され、レコードが追加される。
図6は、乖離ノードデータのデータ構造の一例を示す。本実施形態では、乖離ノードデータ124をテーブル600として示す。乖離ノードデータ124は、事故事例一件ごとに一つのテーブルを有する。図6において、テーブル600の各レコードは、一件の情報セキュリティ事故の乖離ノードの一つを記録したデータであり、フィールド601、602、603、604、605を有する。
フィールド601は、乖離ノード番号を表す。フィールド602、603、604は、それぞれ当事者、時刻、事象の説明を表し、テーブル500のフィールド501、502、503に対応する。フィールド605は、なぜなぜ分析が行われたかどうかを示す分析実施を表す。「なぜなぜ分析」とは、「なぜ」を繰り返しながら、発生している事象の原因を論理的に追究していき、根本的な要因を導くための分析手法である(要因分析)。なお、なぜなぜ分析については、小倉仁志著「なぜなぜ分析10則」(日科技連出版社、2009)に詳細に説明されている。分析実施がされればフィールド605には“YES”という値が登録され、そうでなければ、つまりなぜなぜ分析がされるまでは“NO”という値が登録される。
乖離ノードデータ124は前記事故の小分類ごとに専門家が分析したサンプル事例のテーブルを予め有する。テーブル600は、テーブル300にレコードが追加されるたびに新たに生成され、レコードが追加される。乖離ノード判定結果により乖離ノードであると判定され、フィールド506に“YES”という値が登録されたレコード(事象)について、テーブル600のレコードが追加される。
図7は、背後要因データのデータ構造の一例を示す。本実施形態では、背後要因データ125をテーブル700として示す。背後要因データ125は、事故事例一件ごとに一つのテーブルを有する。図7において、テーブル700の各レコードは、ある一件の情報セキュリティ事故の複数の背後要因の一つを記録したデータであり、フィールド701、702、703、704を有する。
フィールド701は情報セキュリティ事故が発生する原因となった問題点の分類を表す。フィールド702は情報セキュリティ事故が発生する原因となった問題点を表す。フィールド703は、フィールド702の問題点の背後要因の分類を表す。フィールド704は、フィールド702の問題点の背後要因を表す。「背後要因」とは、事象を直接的に引き起こした要因またはある背後要因を直接的に引き起こした要因といえる。なお、前記問題点の分類および前記背後要因の分類については後記する。
背後要因データ125は前記事故の小分類(フィールド304参照)ごとに専門家が分析したサンプル事例のテーブルを予め有する。テーブル700は、テーブル300にレコードが追加されるたびに新たに生成され、レコードが追加される。
図8は、根本要因データのデータ構造の一例を示す。本実施形態では、根本要因データ126をテーブル800として示す。根本要因データ126は、事故事例一件ごとに一つのテーブルを有する。図8において、テーブル800の各レコードは、一件の情報セキュリティ事故の根本要因の一つを記録したデータであり、フィールド801、802、803、804を有する。「根本要因」とは、当該根本要因に対する背後要因が存在しない背後要因であり、事象の根本的な要因といえる。
フィールド801は、根本要因番号を表す。フィールド802は、根本要因の分類を表す。本実施形態では根本要因の分類に後述のセキュリティ版のm−SHELLを用いる。フィールド803は、根本要因の内容を表す。フィールド802、803は、テーブル700のフィールド703、704に対応する。フィールド804は、対策立案が行われたかどうかを表す(対策立案実施)。対策立案が実施されればフィールド804には“YES”という値が登録され、実施されなければ“NO”という値が登録される。
根本要因データ126は前記事故の小分類(フィールド304参照)ごとに専門家が分析したサンプル事例のテーブルを予め有する。テーブル800は、テーブル300にレコードが追加されるたびに新たに生成され、レコードが追加される。
ここで、セキュリティ版m−SHELLについて説明する。m−SHELLは電力分野で開発された作業する人間とその周りにある要素を表した概念モデルである。m−SHELLの詳細は河野龍太郎著「ヒューマンエラーを防ぐ技術」(日本能率マネジメントセンター、2006)に説明されている。セキュリティ版m−SHELLは、m−SHELLモデルをセキュリティ分野に対応させたものであり、作業者とその周りにある要素を、ソフトウェア(マニュアルや手順に問題があった:「S」)、ハードウェア(操作対象となるシステムに問題があった:「H」)、環境(業務目標や就労状況に問題があった:「E」)、周りの人(当事者の周囲の人に問題があった:「L」)、本人(当事者に問題があった:「L」)、マネジメント(管理)(業務要件や規則に問題があった:「m」)に分類している。
図9は、対策案データのデータ構造の一例を示す。本実施形態では、対策案データ127をテーブル900として示す。対策案データ127は、事故事例一件ごとに一つのテーブルを有する。図9において、テーブル900の各レコードは、ある一件の情報セキュリティ事故に関する複数の対策案の一つを記録したデータであり、フィールド901、902、903、904、905を有する。
フィールド901、902、903はそれぞれ、根本要因番号、根本要因の分類、根本要因を表し、テーブル800のフィールド801、802、803に対応する。フィールド904は、フィールド903の根本要因に対して4STEP/Mのどの段階(STEP1〜STEP4の4段階)でエラーを防ぐ対策かを表す。4STEP/Mについては後述する。なお、フィールド904には「1」〜「4」までの値が登録され、それぞれの値は、STEP1〜STEP4を意味する。フィールド905は、フィールド903の根本要因に対する対策案を表す。分析者は、例えば入力装置204からフィールド905に登録する値、つまり対策案を対策立案の処理(後記)のときに入力する。
対策案データ126は前記事故の小分類(フィールド304参照)ごとに専門家が分析したサンプル事例のテーブルを予め有する。テーブル900は、テーブル300にレコードが追加されるたびに新たに生成され、レコードが追加される。
また、「4STEP/M」とは、事故が起きる様子を時間軸で追い、「どの時点で対策を考えるか」というエラー対策を発想する方針を示したものであり、Minimum encounter(エラーを伴う作業を減らす:STEP1)、Minimum probability(エラーする確率を低減する:STEP2)、Multiple detection(多重のエラー検出策を設ける:STEP3)、Minimum damage(エラーに備える:STEP4)の4つのステップからなる。4STEP/Mの詳細は河野龍太郎著「ヒューマンエラーを防ぐ技術」(日本能率マネジメントセンター、2006)に説明されている。
図36A、図36Bは、定義データのデータ構造の一例を示す。本実施形態では、定義データ115は、予め定められた事故種別定義テーブル3600、事故対象定義テーブル3601、なぜなぜ分析着眼点定義テーブル(着眼点用定義データ)3602、対策方針定義テーブル(対策案用定義データ)3603、対策対象定義テーブル(対策案用定義データ)3604を有する。
前記事故種別定義テーブル3600は、事故の大分類、事故の中分類、事故の小分類を表すフィールド3600a、3600b、3600cで構成される。前記事故対象テーブル3601は、事故対象を表すフィールド3601aを有する。前記なぜなぜ分析着眼点定義テーブル3602は、着眼点の分類と着眼点の詳細とをそれぞれ表すフィールド3602aと、3602bとで構成される。前記対策方針定義テーブル3603は、4STEP/Mに基づく対策方針を表すフィールド3603aを有する。前記対策対象定義テーブル3604は、セキュリティ版m−SHELLに基づく対策対象を表すフィールド3604aを有する。定義データ115の各テーブルは、後述する処理において、出力装置205によるインタフェース画面表示に用いる。
次に、図面を用いて本実施形態の処理の詳細を説明する。
図10は、ヒューマンエラー分析支援システムにおける処理の全体の概要を示すフローチャートである。本実施形態に係る事故分析は大別すると、基本情報入力部111による基本情報入力S1001、事象整理部112による事象整理S1002、なぜなぜ分析部113によるなぜなぜ分析S1003、対策立案部114による対策立案S1004の4つの処理からなる。本実施形態の処理は、情報セキュリティ事故の分析者がヒューマンエラー分析支援システム100を起動することにより、開始する。典型的には、セキュリティ事故を起こした当事者により、事故発生後にヒューマンエラー分析支援システム100が起動される。
〔基本情報入力〕
図11は、S1001において、分析者が、入力装置204を用いて、事故の基本情報入力を行うためのインタフェース画面の一例である。
インタフェース1100は、事故の基本情報を入力するための基本情報入力領域1101と、基本情報入力作業を終了するための基本情報入力終了ボタン1102とを有する。
基本情報入力領域1101はさらに、事故の大分類を入力するための事故大分類入力領域1101aと、事故の中分類を入力するための事故中分類入力領域1101bと、事故の小分類を入力するための事故小分類入力領域1101cと、事故対象を入力するための事故対象入力領域1101dとで構成される。1101a、1101b、1101c、1101dはそれぞれ、複数のチェックボックスを持つ。
分析者は、事故大分類入力領域1101aの複数のチェックボックスの中から一つを選択することができる。また、分析者は、事故中分類入力領域1101bの複数のチェックボックスの中から、事故大分類入力領域1101aで選択した分類に含まれるチェックボックスを一つ選択することができる。事故小分類入力領域1101cについても同様に、分析者は、事故小分類入力領域1101cの複数のチェックボックスの中から、事故中分類入力領域1101bで選択した分類に含まれるチェックボックスを一つ選択することができる。事故対象入力領域1101dにおいて、分析者は、複数のチェックボックスの中から一つを選択することができる。
図12を用いて、基本情報入力S1001の処理を説明する。
S1201において、ヒューマンエラー分析支援装置110が、前記インタフェース1100である基本情報入力画面を出力装置205に表示する。ここで、インタフェース1100の1101a、1101b、1101cにはそれぞれ、定義データ115の事故種別定義テーブル3600のフィールド3600a、3600b、3600cを、1101dには事故対象定義テーブル3601のフィールド3601aの情報を読み込み、読み込んだ情報を選択肢として表示する。
S1202において、分析者が、前記インタフェース1100の1101a、1101b、1101c、1101dの該当するチェックボックスを選択して基本情報の入力を行う。
S1203において、分析者が、前記インタフェース1100の基本情報入力終了ボタン1102を選択して入力を終了する。
S1204において、ヒューマンエラー分析支援装置110が、S1202において分析者が入力した事故の基本情報を基本情報データ121に格納する。具体的にはまず、テーブル300のフィールド301を参照して、最も大きな事故番号Nを判定する。次に、S1202で分析者が入力した事故の基本情報に対してN+1を事故番号として与え、新たなレコードをテーブル300に追加する。インタフェース1100の1101a、1101b、1101c、1101dで選択された項目はそれぞれ、テーブル300のフィールド302、303、304、305に格納する。さらに、ヒューマンエラー分析支援装置110は、関係者データ122、事象データ123、乖離ノードデータ124、背後要因データ125、根本要因データ126、対策案データ127にそれぞれ新たなテーブルを用意する。
以上が、基本情報入力S1001の処理である。基本情報入力S1001において、事故種別や事故対象選択肢を1101a、1101b、1101c、1101dに表示し、分析者に選択させることにより、後述するなぜなぜ分析S1003の際に類似の事例サンプルを表示することによる発想支援が可能になる。
〔事象整理〕
次に、事象整理S1002について、図13を用いて説明する。S1002は図13に示すように、関係者入力部112aによる関係者入力S1301、事象入力部112bによる事象入力S1302、乖離ノード判定部112cによる乖離ノード判定S1303の3つの処理からなり、この順番で処理が進行する。
図14は、関係者入力S1301において、分析者が、入力装置204を用いて、事故の関係者入力を行うためのインタフェース画面の一例である。
インタフェース1400は、分析者が、事故の関係者の情報を入力するための関係者入力領域1401と、関係者入力を終了するための関係者入力終了ボタン1402とで構成される。
前記関係者入力領域1401は、さらに、事故の関係者の名称を入力するための名称入力領域1401aと、前記名称入力領域1401aに入力された関係者が、分析者にとって対策可能な関係者かそれとも対策困難な関係者かを入力するための対策可能/困難入力領域1401bとで構成される。対策可能/困難入力領域1401bでは、関係者毎に対策可能と対策困難のうちどちらかをラジオボタンにより選択することができる。
図15を用いて、関係者入力S1301の処理を説明する。
S1501において、ヒューマンエラー分析支援装置110が、前記インタフェース1400である関係者入力画面を出力装置205に表示する。
S1502において、分析者が、入力装置204を用いて、インタフェース1400の名称入力領域1401aと対策可能/困難入力領域1401bに、該当する情報を関係者情報として入力する。
S1503において、分析者が、入力装置204を用いて、インタフェース1400の関係者入力終了ボタン1402を選択して入力を終了する。
S1504において、ヒューマンエラー分析支援装置110は、S1502で分析者が入力したデータを関係者データ122に格納する。具体的には、ヒューマンエラー分析支援装置110が、インタフェース1400の名称入力領域1401aと、対策可能/困難領域1401bとを上から順に参照し、入力された関係者情報が存在する場合には、新たなレコードをテーブル400の最終行に追加する。このとき、名称入力領域1401aのデータをフィールド401に、対策可能/困難領域1401bの情報をフィールド402にそれぞれ格納する。
図16は、事象入力S1302において、分析者が、入力装置204を用いて、事故に関わる事象入力を行うためのインタフェース画面の一例である。
インタフェース1600は、事象の情報を分析者が入力するための事象入力領域1601と、前記事象入力領域1601に入力した情報を更新するための事象追加ボタン1602と、分析者が事象入力を終了するための事象入力終了ボタン1603と、時系列事象関連図を表示するための時系列事象関連図表示領域1604とで構成される。
前記事象入力領域1601は、さらに、事象の当事者を選択するための当事者入力領域1601aと、事象の時刻を入力するための時刻入力領域1601bと、事象の説明を入力するための事象内容入力領域1601cと、当該事象の次の事象を入力するための次事象入力領域1601dとで構成される。当事者入力領域1601aは、関係者情報を入力したことにより表示された関係者の中から一人をラジオボタンにより選択することができる。
前記時系列事象関連図表示領域1604は、対策可能と対策困難な関係者を明確に分類するための対策可能範囲表示1604aと、対策困難範囲表示1604bとを有する。時系列事象関連図では、時系列事象関連図表示領域1604の上から下に向かって新しく生じた事象内容を記したブロックが、関係者ごとに時刻とともに配置される。
図17を用いて、事象入力S1302の処理を説明する。
S1701において、ヒューマンエラー分析支援装置110が、前記インタフェース1600である事象入力画面を出力装置205に表示する。ここで、当事者入力領域1601aには、関係者データ122のテーブル400のフィールド401、402の情報を参照し、対策可能な関係者、対策困難な関係者を別々に列挙する。また、時系列事象関連図領域1604には、前記テーブル400のフィールド401の情報を用いて横軸に関係者を配置し、前記テーブル400のフィールド402の情報を用いて対策可能範囲表示1604aおよび対策困難範囲表示1604bを、例えば破線の枠を用いて描画する。
S1702において、分析者が、インタフェース1600の事象入力領域1601の当事者入力領域1601a、時刻入力領域1601b、事象内容入力領域1601c、次事象入力領域1601dに該当する情報を事象情報として入力する。
S1703において、分析者が、インタフェース1600の事象追加ボタン1602を選択し、事象を追加する。なお、追加する事象がもはや無い場合には、この処理は省略することができる。
S1704において、ヒューマンエラー分析支援装置110が、S1702で入力された事象情報をテーブル500に時系列に格納されるように追加して事象データ500を更新する。具体的には、ヒューマンエラー分析支援装置110は、インタフェース1600の時刻入力領域1601bに入力された時刻と、テーブル500の各レコードのフィールド502とを参照することにより、S1702で入力された事象情報をテーブル500に時系列になるように格納する。ここで、インタフェース1600の当事者入力領域1601a、時刻入力領域1601b、事象内容入力領域1601c、次事象入力領域1601dに入力されたデータは、前記テーブル500のフィールド501、502、503、504にそれぞれ格納される。また、ヒューマンエラー分析支援装置110は、当事者入力領域1601aとテーブル400のフィールド401、402を参照して、フィールド505に“可能”または“困難”のいずれかの値を格納する。
S1705において、ヒューマンエラー分析支援装置110は、時系列事象関連図表示領域1604に時系列事象関連図を描画して更新する。具体的にはまず、時系列事象関連図領域1604に、前記テーブル400のフィールド401の情報を用いて横軸に関係者を配置し、前記テーブル400のフィールド402の情報を用いて対策可能範囲表示1604aおよび対策困難範囲表示1604bを、例えば破線の枠を用いて描画する。次に、テーブル500に格納された事象を描画する。まず、フィールド501のデータを用いて事象の横方向の配置、フィールド502のデータを用いて縦方向の配置をそれぞれ決定し、フィールド503のデータを配置する。次に、フィールド504のデータを用いて、次の事象と線を結ぶ。矢印の方向は、原因から結果に向かう方向である。これらの2つの処理をテーブル500に格納された全ての事象に対して繰り返す。
S1706において、ヒューマンエラー分析支援装置110は、分析者が事象入力終了ボタン1603を選択したかどうか、つまり事象入力終了を受け付けたか否かを判定する。S1302は、分析者によってインタフェース1600の事象入力終了ボタン1603が選択されることにより、終了する。S1706において、判定結果がNoの場合はS1702へ戻り、Yesの場合はS1302の処理を終了する。
図18は、乖離ノード判定S1303において、分析者が、入力装置204を用いて、乖離ノードの判定結果入力を行うためのインタフェース画面の一例である。
インタフェース1800は、事象情報を表示し乖離ノード判定結果を入力するための乖離ノード判定情報領域1801と、前記時系列事象関連図表示領域1604とで構成される。
前記乖離ノード判定情報領域1801はさらに、事象の当事者を表示するための当事者表示領域1801aと、事象の時刻を表示するための時刻表示領域1801bと、事象の内容を表示するための事象表示領域1801cと、分析者が乖離ノード判定結果を入力するための乖離ノード判定結果入力領域1801dとで構成される。乖離ノード判定入力領域1801dでは、YESかNOのどちらか一方をラジオボタンで選択することができる。
図19を用いて、S1303の乖離ノード判定の詳細な処理を説明する。乖離ノード判定は、テーブル500に対策可能な事象として格納された事象(以降、「対策可能事象」と呼ぶ場合がある)に対して行う。
まず、S1901において、ヒューマンエラー分析支援装置110が、インタフェース1800である乖離ノード判定画面を出力装置205に表示する。ここで、ヒューマンエラー分析支援装置110は、時系列事象関連図表示領域1604に時系列事象関連図を描画する。時系列事象関連図の描画方法は前記S1705と同様である。
S1902において、ループ変数iを0に初期化する。
S1903において、テーブル500のi行目の事象が、対策可能事象かどうかを判定する。具体的には、ヒューマンエラー分析支援装置110が、テーブル500のi行目のフィールド505に格納されている値を参照し、格納されている値が“可能”の場合は(S1903でYes)、対策可能事象であると判定してS1904に進み、格納されている値が“困難”の場合は(S1903でNo)、対策可能事象でないと判定してS1910に進む。
S1904において、ヒューマンエラー分析支援装置110は、インタフェース1800の乖離ノード判定情報領域1801に、分析者が乖離ノード判定を行う事象の情報を乖離ノード判定対象として提示する。具体的には、ヒューマンエラー分析支援装置110が、テーブル500のi行目のフィールド501、502、503の値を参照し、インタフェース1800の当事者表示領域1801a、時刻表示領域1801b、事象表示領域1801cに、それぞれ参照した値を表示する。
S1905において、分析者が、入力装置204を用いて、インタフェース1800の乖離ノード判定結果入力領域1801dに乖離ノード判定結果(“YES”/“NO”)を入力する。
S1906において、ヒューマンエラー分析支援装置110が、S1905で入力された乖離ノード判定結果をテーブル500のi行目のフィールド506に格納して事象データ500を更新する。具体的には、S1905において、分析者が、乖離ノード判定結果入力領域1801dのYESを選択した場合は“YES”を、NOを選択した場合は“NO”をテーブル500のi行目のフィールド506に格納する。
S1907において、ヒューマンエラー分析支援装置110は、前記乖離ノード判定結果から対策可能事象が乖離ノードと判定されたか否かを判定する。具体的には、テーブル500のi行目のフィールド506を参照し、“YES”が格納されていた場合は(S1907でYes)、乖離ノードであると判定してS1908へ進み、“NO”が格納されていた場合は(S1907でNo)、乖離ノードでないと判定してS1910へ進む。
S1908において、ヒューマンエラー分析支援装置110は、インタフェース1800の時系列事象関連図表示領域1604に時系列事象関連図を描画して更新する。具体的にはまず、前記テーブル400を参照し、時系列事象関連図領域1604に、横方向に関係者を配置し、さらに対策可能/困難な関係者であるかの枠(破線)を描画する。次に、テーブル500に格納された事象を描画する。まず、フィールド501のデータを用いて事象の横方向の配置、フィールド502のデータを用いて縦方向の配置をそれぞれ決定し、フィールド503のデータを配置する。なお、乖離ノード判定情報領域1801にまさに提示されている事象(フィールド503のデータ)については、時系列事象関連図領域1604において太枠で囲まれている(図18参照)。次に、フィールド506にYESが格納されているかどうかを判定し、YESが格納されている場合は、配置した事象を示すブロックの右上に乖離ノードであることを示す、例えば丸印を配置する。最後に、フィールド504のデータを用いて、次の事象と線を結ぶ。矢印の方向は、原因から結果に向かう方向である。これらの3つの処理をテーブル500に格納された全ての事象に対して繰り返す。
S1909において、ヒューマンエラー分析支援装置110が、S1907で乖離ノードであると判定された事象を、テーブル600に追加して乖離ノードデータを作成する。具体的には、乖離ノード番号601を参照し、最も数字の大きいものをNとすると、N+1を乖離ノード番号として与え、また、この時点ではなぜなぜ分析を行っていないのでフィールド605のデータとして“NO”を与え、テーブル500のi行目のフィールド501、502、503のデータをフィールド602、603、604へそれぞれ格納する。
S1910において、ヒューマンエラー分析支援装置110が、ループ変数iの値を1増やす。
S1911において、ヒューマンエラー分析支援装置110が、ループ変数iがN未満であるかどうかを判定する。ここで、Nはテーブル500に格納された事象の数を表す。S1911において、ループ変数iがN未満であると判断された場合は(S1911でYes)、S1903に戻り、ループ変数iがN以上であると判断された場合は(S1911でNo)、S1303の処理を終了する。
以上が、事象整理S1002の処理である。関係者入力S1301において、インタフェース1400の対策可能/困難入力領域1401bで関係者が分析者にとって対策可能な関係者かそれとも対策困難な関係者かを選択させることにより、事象入力S1302および乖離ノード判定S1303で対策可能な範囲を分析者にわかりやすく表示可能になるとともに、乖離ノード判定S1303で乖離ノード判定を行う事象の中から分析者が分析すべき事象を絞り込むことが可能になる。
〔なぜなぜ分析〕
図20Aは、なぜなぜ分析S1003において、分析者が、入力装置204を用いて、事象整理S1002で選別した乖離ノードの背後要因を入力するためのインタフェース画面の一例である。
インタフェース2000aは、前記事象整理S1002で得られた乖離ノードを表示するための乖離ノード一覧表示領域2001と、分析者が入力したなぜなぜ分析の結果を表示するためのなぜなぜ分析結果表示領域2002と、分析者が要因を入力するための入力領域2003と、なぜなぜ分析の着眼点を表示するなぜなぜ分析発想支援表示領域2004とで構成される。
入力領域2003はさらに、分析対象とする乖離ノードあるいは背後要因とそれらの分類を表示するための分析対象表示領域2003b、分析対象分類表示領域2003aと、前記分析対象表示領域2003bに表示された問題点に対する背後要因とその分類を入力するための背後要因入力領域2003d、背後要因分類入力領域2003cと、入力されたデータを登録するためのOKボタン2003eとで構成される。
なぜなぜ分析発想支援表示領域2004はさらに、なぜなぜ分析を行う上での着眼点を表示するための着眼点表示領域2004aと、次の着眼点へと表示を切り替えるための次の着眼点表示ボタン2004bとで構成される。着眼点表示領域2004aには、エラーにいたるまでの作業過程([作業])、作業を実施するまでの認知的過程([認知])、作業者とその周りの環境([環境])、のいずれかの着眼点の一覧が表示される。
図20Bは、なぜなぜ分析S1003において、なぜなぜ分析の発想を支援するサンプルをなぜなぜ分析サンプルとして表示するインタフェース画面の一例である。
インタフェース2000bは、サンプルにおけるなぜなぜ分析の結果を表示するためのなぜなぜ分析サンプル表示領域2005で構成される。なぜなぜ分析サンプル表示領域2005に表示されている一つ一つのブロックは、なぜなぜ分析の分析対象であり、その上段には、分析対象とする乖離ノードあるいは背後要因とそれらの分類が表示され、その下段には、分析対象における事象の内容または問題点が表示される。ある分析対象が他の分析対象の背後要因となるときは、その分析対象から他の分析対象に向かう矢印が描画される。
図21を用いて、なぜなぜ分析S1003の処理全体を説明する。
まず、S2101において、ヒューマンエラー分析支援装置110が、インタフェース2000aをなぜなぜ分析画面として出力装置205に表示する。ここで、ヒューマンエラー分析支援装置110は、乖離ノード一覧表示領域2001にテーブル600のフィールド601、602、603、604の情報を表示する。また、ヒューマンエラー分析支援装置110は、なぜなぜ分析着眼点定義テーブル3602のフィールド3602a、3602bを読み込み、読み込んだなぜなぜ分析着眼点定義テーブル3602を着眼点表示領域2004aに表示する。
S2102において、ヒューマンエラー分析支援装置110が、インタフェース2000bをなぜなぜ分析サンプルとして出力装置205にインタフェース2000aと並べて表示(サンプル表示)する。具体的には、S1001で分析者が入力した事故の基本情報データを用いてテーブル300を検索し、事故種別の分類ごとに情報セキュリティの専門家が分析した事例サンプルの中から、事故種別の分類(フィールド302,303,304参照)が等しい事例を選出する。次に、背後要因データ125中の選出された事例のテーブル700のレコードを用いて、前記選出した事例の背後要因も選出することで、なぜなぜ分析の実施結果をなぜなぜ分析サンプル表示領域2005に表示する。なお、事故種別の分類が等しい事例が複数存在すれば、インタフェース2000bになぜなぜ分析サンプルを複数表示することもできる。
S2103において、ヒューマンエラー分析支援装置110は、ループ変数iを0に初期化する。
S2104において、ヒューマンエラー分析支援装置110は、なぜなぜ分析の対象となる乖離ノード(分析対象乖離ノード)を提示する。具体的には、ヒューマンエラー分析支援装置110はまず、テーブル600のフィールド605を最終行から順(つまり、時刻が新しい順)に参照し、“NO”と格納されているレコードを探索する。k行目のフィールド605のデータが“NO”であったとすると、k行目に格納された乖離ノードをなぜなぜ分析の対象として、なぜなぜ分析結果表示領域2002に表示する。そして、k行目のフィールド605のデータを“NO”から“YES”に変更する。
S2105において、ヒューマンエラー分析支援装置110が、S2104でなぜなぜ分析の対象となった乖離ノードに該当する乖離ノード一覧表示領域2001の領域を更新する。例えば、フィールド605のデータが“YES”に変更した乖離ノードをグレー表示にする等し、以降のステップで乖離ノードとして選択されないように変更する(図20Aの乖離ノード番号「4」「5」参照)。
S2106において、ヒューマンエラー分析支援装置110が、ループ変数iの値を1増やす。
S2107、S2108、S2109において、分析者が、乖離ノードに対する種々の背後要因を入力して分析(作業の背後要因分析、認知過程の背後要因分析、根本要因分析)する。S2107、S2108、S2109の詳細は後述する。
S2110において、ヒューマンエラー分析支援装置110が、ループ変数iがN未満であるかを判定する。ここでNはテーブル600に格納された乖離ノードの数を表す。S2110において、ループ変数iがN未満であると判断された場合は(S2110でYes)、S2104に戻り、ループ変数iがN以上であると判断された場合は(S2110でNo)、S1003の処理を終了する。
次に、S2107、S2108、S2109の詳細な処理を、図22A、図22B、図22Cを用いて説明する。S2107、S2108、S2109はそれぞれ作業の背後要因分析、認知過程の背後要因分析、根本要因分析についての処理を対象とする。
まず、S2107の作業の背後要因分析の詳細な処理を、図22Aを用いて説明する。
S2201において、着眼点表示領域2004aを更新する。具体的には、インタフェース2000aの着眼点表示領域2004aにおいて、エラーにいたるまでの作業過程に対する着眼点を強調表示する(例:太枠化。図20A参照)。
S2202において、分析者が、入力装置204を用いて、インタフェース2000aのなぜなぜ分析結果表示領域2002から分析対象を一つ選択する。ヒューマンエラー分析支援装置110は、分析者によって選択された分析対象を読み込み、インタフェース2000aの分析対象分類表示領域2003a、分析対象表示領域2003bに、該当するデータ(前記読み込んだ分析対象)を表示する。
S2203において、分析者が、入力装置204を用いて、インタフェース2000aの背後要因分類入力領域2003c、背後要因入力領域2003dに、背後要因の分類と背後要因とを入力する。ここで、背後要因の分類は乖離ノードまたはエラーにいたるまでの作業過程に対する着眼点の分類のいずれかを選択することができる。このとき、乖離ノードを選択するときは、例えば、乖離ノード一覧表示領域2001において、分析対象となっている乖離ノードの番号よりも1小さい番号の乖離ノードを選択する。また、エラーにいたるまでの作業過程に対する着眼点の分類を選択するときは、例えば、着眼点表示領域2004aにおいて、所望の分類(具体的には、作業‐1〜作業‐3のうち一つ。図20A参照)を選択する。
S2204において、ヒューマンエラー分析支援装置110は、S2203において分析者が入力した背後要因の情報を背後要因データ123に格納して更新する。S2204は、分析者が入力装置204を用いて、インタフェース2000aのOKボタン2003eを選択することにより実行される。分析者によってOKボタン2003eが選択されると、ヒューマンエラー分析支援装置110はインタフェース2000aの分析対象分類表示領域2003a、分析対象表示領域2003b、背後要因分類入力領域2003c、背後要因入力領域2003dのデータをそれぞれ、前記テーブル700のフィールド701、702、703、704に新しいレコードとして格納する。
S2205において、ヒューマンエラー分析支援装置110が、インタフェース2000aの背後要因分類入力領域2003cのデータを参照し、背後要因が乖離ノードと入力されたかどうか、つまり背後要因の分類が乖離ノードであるか否かを判定する。判定結果がYesの場合は、つまり乖離ノードである場合はS2206へ、Noの場合は、つまり乖離ノードでない場合はS2208へ進む。
S2206において、ヒューマンエラー分析支援装置110が、インタフェース2000aの乖離ノード一覧表示領域2001を更新する。具体的には、S2203で分析者が入力した乖離ノード(背後要因となり得る乖離ノード)に該当する領域を、例えばグレー表示にする等し、以降のステップで乖離ノードとして選択されないように変更する。このように変更することで、なぜなぜ分析漏れの乖離ノードの発生を防ぐとともに、なぜなぜ分析済みの乖離ノードが再度なぜなぜ分析されることを防ぐことができる。
S2207において、ヒューマンエラー分析支援装置110が、ループ変数iの値(図21参照)を1増やす。
S2208において、ヒューマンエラー分析支援装置110が、インタフェース2000aのなぜなぜ分析結果表示領域2002を更新することでなぜなぜ分析結果を更新する。具体的には、S2202において分析者が選択した分析対象の右側に、S2203において分析者が入力した背後要因とその分類をなぜなぜ分析結果表示領域2002に追加表示し、背後要因から分析対象に向かう矢印を描画する。ここで、同じ分析対象に対する背後要因がすでに表示されている場合は、すでに表示されている背後要因の下に新しい背後要因を表示する。
S2209において、ヒューマンエラー分析支援装置110が、サンプルを更新する。S2209の詳細は後述する。
S2210において、ヒューマンエラー分析支援装置110が、分析者が次の着眼点表示ボタン2004bを選択したかどうか、つまり次の着眼点表示を受け付けたか否かを判定する。作業の背後要因分析S2107の処理は、分析者がインタフェース2000aの次の着眼点表示ボタン2004bを選択することにより終了する。判定結果がYesの場合はS2107の処理を終了し、Noの場合はS2202へ戻る。
次に、S2108の認知の背後要因分析の詳細な処理を、図22Bを用いて説明する。なお、すでにした説明と重複する説明は、省略する場合がある(他のフローにおいても同様)。
S2211において、着眼点表示領域2004aを更新する。具体的には、インタフェース2000aの着眼点表示領域2004aにおいて、作業を実施するまでの認知的過程に対する着眼点を強調表示する。
S2202は、作業の背後要因分析S2107のS2202と同じである。
S2212において、分析者が、入力装置204を用いて、インタフェース2000aの背後要因分類入力領域2003c、背後要因入力領域2003dに、背後要因の分類と背後要因とを入力する。ここで、背後要因の分類は作業を実施するまでの認知過程に対する着眼点の分類のいずれかを選択することができる。
S2204、S2208、S2209は作業の背後要因分析S2107のS2204、S2208,S2209と同じである。
S2213において、ヒューマンエラー分析支援装置110が、分析者が次の着眼点表示ボタン2004bを選択したかどうか、つまり次の着眼点表示を受け付けたか否かを判定する。認知の背後要因分析S2108の処理は、分析者がインタフェース2000aの次の着眼点表示ボタン2004bを選択することにより終了する。判定結果がYesの場合は認知の背後要因分析S2108の処理を終了し、Noの場合はS2202へ戻る。
S2109の根本要因分析の詳細な処理を、図22Cを用いて説明する。
S2214において、着眼点表示領域2004aを更新する。具体的には、インタフェース2000aの着眼点表示領域2004aにおいて、作業者とその周りの環境に対する着眼点を強調表示する。
S2202は、作業の背後要因分析S2107のS2202と同じである。
S2215において、分析者が、入力装置204を用いて、インタフェース2000aの背後要因分類入力領域2003c、背後要因入力領域2003dに、背後要因の分類と背後要因とを、根本要因の分類と根本要因として入力する。ここで、根本要因の分類は作業者とその周りの環境の分類のいずれかを選択することができる。
S2204は作業の背後要因分析S2107のS2204と同じである。
S2216において、ヒューマンエラー分析支援装置110が、根本要因データを格納して更新する。具体的には、ヒューマンエラー分析支援装置110が、インタフェース2000aの分析対象分類表示領域2003a、分析対象表示領域2003b、背後要因分類入力領域2003c、背後要因入力領域2003dを参照し、該当するデータを根本要因データ126のテーブル800に新しいレコードとして格納する。背後要因分類入力領域2003c、背後要因入力領域2003dのデータは、それぞれフィールド802、803のデータとして格納される。
S2208、S2209は作業の背後要因分析S2107のS2208,S2209と同じである。
S2217において、ヒューマンエラー分析支援装置110が、分析者が次の着眼点表示ボタン2004bを選択したかどうか、つまり次の着眼点表示を受け付けたか否かを判定する。根本要因分析S2109の処理は、分析者がインタフェース2000aの次の着眼点表示ボタン2004bを選択することにより終了する。判定結果がYesの場合は根本要因分析S2109の処理を終了し、Noの場合はS2202へ戻る。
次に、S2209のサンプル更新の詳細な処理について図23を用いて説明する。このサンプル更新では、S2102のサンプル表示で用いた事故の基本情報に加え、分析者がそれまでの処理で入力した全ての背後要因の情報を用いて、分析者のなぜなぜ分析経過により近いサンプルを表示する。本実施形態では、テーブル700に格納された乖離ノードおよび背後要因を、乖離ノード、作業の分類、認知過程の分類、環境の分類の4種類に大別し、比較に用いる。
分析中の(現在の)事例を事例X、S2102でサンプル表示に用いた事例を事例Yとすると、まず、S2301において、ヒューマンエラー分析支援装置110が、事例Xの分析経過と事例Yの分析結果に差異がないか(一致するか)否か判定する。具体的には、ヒューマンエラー分析支援装置110が、テーブル700に格納された各レコードを参照して、事例Xの各レコードと同じ構造で同じ分類をもつレコードが事例Yのテーブル700に存在するか否か判定する。テーブル700の全てのレコードに対して、一致するレコードが存在する場合は(S2301でYes)、サンプルの更新が不要なため、S2209を終了し、一致するレコードが存在しないレコードがテーブル700に存在する場合は(S2301でNo)、S2302へ進む。
S2302において、ヒューマンエラー分析支援装置110が、ループ変数jを1に初期化する。
S2303において、ヒューマンエラー分析支援装置110が、基本情報データ121の事故番号jの基本情報データと事例Xの基本情報データとが等しい(一致)かどうか判定する。判定結果がYesの場合は、S2304へ進み、判定結果がNoの場合はS2306へ進む。
S2304において、ヒューマンエラー分析支援装置110が、事例Xの分析経過と基本情報データ121の事故番号jに該当する事例の分析結果に食い違いがないか(一致するか)否か判定する。具体的には、基本情報121の事故番号jに該当する事例の背後要因テーブルを背後要因データ125から読み込み、事例Xの背後要因テーブルと比較する。比較の方法は、S2301と同様である。テーブル700の全てのレコードに対して、構造と分類が一致するレコードが存在する場合は(S2304でYes)、S2305へ進み、構造と分類が一致するレコードが存在しないレコードがテーブル700に存在する場合は(S2304でNo)、S2306へ進む。
S2305において、ヒューマンエラー分析支援装置110は、基本情報データ121の事故番号jに該当する事例の背後要因テーブルを参照して、前記参照した背後要因テーブルからなるなぜなぜ分析結果をインタフェース2000bになぜなぜ分析サンプルとして表示するようにして、サンプルを更新し、S2209を終了する。説明を繰り返すが、このサンプルの更新は、乖離ノード、作業の分類、認知過程の分類、環境の分類の4種類について実行することになる(図22AのS2209、図22BのS2209、図22CのS2209参照)。
S2306において、ヒューマンエラー分析支援装置110は、ループ変数jを1増やす。
S2307において、ヒューマンエラー分析支援装置110は、jがNより小さいかどうかを判定する。ここで、Nは基本情報データ121に格納されているレコードの数を表す。判定結果がYesの場合はS2303へ戻り、判定結果がNoの場合はS2209を終了する。
以上がなぜなぜ分析S1003の処理である。S1003において、事象の時刻が新しい乖離ノードをなぜなぜ分析対象として表示することで、分析者が効率よく分析することが可能になる。複数の事象を経て事故が発生しているとき、時刻が新しい事象は時刻が古い事象を受けて起きた事象、つまり、古い事象が新しい事象の背後要因になっている場合がある。時刻が新しい乖離ノードを分析対象として提示することで、時刻が古い乖離ノードを背後要因としてとらえやすくなるという効果がある。
また、作業の背後要因、認知の背後要因、環境の背後要因を分析者に順番に提示し、背後要因を入力させることで、分析者が背後要因を抜けもれなく、容易に発想することを支援する。
さらに、分析者が入力した背後要因データにあわせてサンプル事例を提示することで、分析者が抜けもれなく、容易に背後要因を発想することを支援する。
〔対策立案〕
図24は、S1004において、入力装置204を用いて、対策案を入力して対策立案するためのインタフェース画面の一例である。
インタフェース2400は、前記なぜなぜ分析S1003で得られた根本要因データ一覧を表示するための根本要因表示領域2401と、分析者が立案した対策を入力し一覧表示するための対策案表示領域2402と、分析者が次のステップへ進むための選択ボタン2403とで構成される。
前記根本要因表示領域2401はさらに、根本要因番号表示領域2401aと、根本要因分類表示領域2401bと、根本要因表示領域2401cとで構成される。
対策案表示領域2402はさらに4STEP/M表示領域2402aと、m−SHELL表示領域2402bと、分析者が対策を入力するための対策入力領域2402cとで構成される。
図25を用いて、対策立案S1004の詳細な処理を説明する。
S2501において、ヒューマンエラー分析支援装置110が、インタフェース2400を対策立案画面として出力装置205へ表示する。ここで、ヒューマンエラー分析支援装置110は、根本要因データ126のテーブル800のレコードを参照し、フィールド801、802、803の情報を根本要因表示領域2401の根本要因番号表示領域2401a、根本要因分類表示領域2401b、根本要因表示領域2401cに、それぞれ表示する。また、定義データ115の対策方針定義テーブル3603のフィールド3603aと、対策対象定義テーブル3604のフィールド3604aを読み込み、それぞれ対策案表示領域2402の4STEP/M表示領域2402a、m−SHELL表示領域2402bへ表示する。
S2502において、ヒューマンエラー分析支援装置110が、ループ変数jを0に初期化する。
S2503において、分析者が、入力装置204を用いて、根本要因表示領域2401の中から根本要因を一つ選択する。
S2504において、ヒューマンエラー分析支援装置110が、分析者が選択した根本要因を根本要因表示領域2401において、色づけなどにより強調表示して根本要因表示領域2401を更新する(図24の根本要因表示領域2401における、根本要因番号表示領域2401aの根本要因番号が「1」のレコードを参照)。
S2505において、ヒューマンエラー分析支援装置110が、ループ変数iを1に初期化する。
S2506において、ヒューマンエラー分析支援装置110が、入力箇所を対策案一覧表示領域2402で強調表示して対策立案表示領域2402を更新する。具体的には、インタフェース2400の4STEP/M表示領域2402aではSTEPiの領域を強調表示し(図24の4STEP/M表示領域2402aが「STEP1」のレコードを参照)、m−SHELL表示領域2402bと対策入力領域2402cではSTEPiの中の分析者がS2504において選択した根本要因のm−SHELLの区分と同じ領域(根本要因分類表示領域2401bに入力された値を含むm−SHELLの区分)を入力箇所として強調表示する(図24のm−SHELL表示領域2402bが「E:業務目標、就労条件」のレコードを参照)。
S2507において、ヒューマンエラー分析支援装置110が、次のステップへ進むという入力を受け付けたかどうか、つまり選択ボタン2403を押して次のステップを選択したか否かを判定する。分析者が、インタフェース2400の次のステップへ進むための選択ボタン2403を押して入力を受け付けた場合には(S2507でYes)、S2510へ進み、入力を受け付けていない場合には(S2507でNo)、S2508へ進む。
S2508において、分析者が、例えば入力装置204を用いて、前記強調表示された領域(対策入力領域2402cの該当領域)に対策案を入力する。
S2509において、分析者が、S2508で入力された対策案を含む情報を対策案データ127に格納して更新する。具体的には、S2504において分析者が選択した根本要因番号と、根本要因の分類と、根本要因と、S2508で分析者が入力した際のi(4STEP/MのSTEPi)と、入力した対策案とをそれぞれフィールド901、902、903、904、905へ新しいレコードとして格納する。S2509において対策案データ127の更新を終えたら、S2507へ戻る。
S2510において、ヒューマンエラー分析支援装置110はループ変数iを1増やす。
S2511において、ヒューマンエラー分析支援装置110は、ループ変数iが4より大きいかどうか判定する。iが4よりも大きいときは(S2511でYes)S2512へ進む。iが4以下の場合は(S2511でNo)S2506へ戻り、4STEP/Mの次のSTEPについてS2506〜S2510の処理を実行する。結果的に、STEP1〜STEP4まで順番にm−SHELLの該当区分の対策案を入力することになる。
S2512において、ヒューマンエラー分析支援装置110が、ループ変数jを1増やす。
S2513において、ヒューマンエラー分析支援装置110が、ループ変数jがNより小さいかどうかを判定する。ここで、Nは根本要因の数(根本要因表示領域2401に表示されているレコード数)を表す。判定結果がYesの場合はS2503へ戻り、次の根本要因についてS2503〜S2513の処理を実行する。一方、前記判定結果がNoの場合はS1004の処理を終了する。
以上が、対策立案S1004の処理である。対策立案S1004において、分析者に対策戦略に則って対策立案すべき箇所を提示することにより、抜けもれない対策立案を支援する。また、分析者が選択した根本要因に合わせて対策立案すべき箇所を提示することにより、分析者が必要な箇所に対して効率よく対策立案を行うことを支援する。
本実施形態によれば、S1001において分析者に対策可能な事象を定義させることにより、S1002において、乖離ノードの判定を行う事象を絞り込みさせ、必要な分析箇所に対して分析を行うことを支援する。また、S1003において時刻の新しい乖離ノードから順になぜなぜ分析対象として提示することにより、手戻りすることなく、効率的になぜなぜ分析を行うことを支援する。さらに、S1003において、分析者が発想を支援するための発想手順と背後要因分類と、分析者によって入力された背後要因のデータをもとに類似したサンプル分析結果とを提示することにより、分析者が抜けもれなく、容易になぜなぜ分析を行うことを支援する。また、S1004において、分析者が選択した根本要因に合わせて、対策立案すべき箇所を対策戦略に則り提示することにより、分析者が必要な箇所に対して抜けもれなくかつ効率よく対策立案を行うことを支援する。
以上のことから、情報セキュリティの分野の専門家でない分析者が、対策可能な事象について容易かつ抜けもれなく要因を分析し、対策を立案することが期待できる。ひいては、対策可能な事象に対してヒューマンエラーの根本要因の分析を容易かつ網羅的に行うことで合理的な対策案の立案が可能となる。合理的な対策を実施することで、情報セキュリティにおけるヒューマンエラーの再発防止に高い効果を期待できる。
≪実施形態2≫
実施形態2として、報告された分析結果を用いて事例を再分析するヒューマンエラー管理システムの全体構成を、図26等を用いて説明する。
実施形態2は、例えば、所属する部内を対策可能範囲と判断してヒューマンエラー分析を実施した分析者が、分析結果を分析者の所属する事業部や会社のセキュリティの取りまとめ部署等に報告することで、対策可能な関係者の範囲を広げた再分析を上の組織や専門家が実施することを想定している。
ヒューマンエラー管理システム2600は、ヒューマンエラー分析支援装置110と、事故事例DB120と、ヒューマンエラー再分析支援装置2610とで構成される。実施形態1と同様に、これらは通信媒体(ネットワークまたはネットワークを伝播するデジタル信号や搬送波)を介して接続される。ヒューマンエラー分析装置110および事故事例DB120の概要構成は実施形態1と同様である。
ヒューマンエラー再分析支援装置2610は、事例選択部2611と、事象整理部2612と、なぜなぜ分析部2613と、対策立案部2614と、定義データ2615とを含む。ヒューマンエラー再分析支援装置2610において、事例選択部2611と、事象整理部2612と、なぜなぜ分析部2613と、対策立案部2614は、例えば図2に示すメモリまたはストレージに備えられる。また、定義データ2615は、例えば図2に示すストレージに格納される。事象整理部2612は、関係者入力部2612aと、乖離ノード判定部2612cとを含む。また、なぜなぜ分析部2613はサンプル表示部2613aを含む。
事象整理部2612と、なぜなぜ分析部2613と、対策立案部2614は、それぞれ事象整理部112と、なぜなぜ分析部113と、対策立案部114と同等の機能を有する。また、関係者入力部2612aと、乖離ノード判定部2612c、サンプル表示部2613aは、それぞれ関係者入力部112aと、乖離ノード判定部112c、サンプル表示部113aと同等の機能を有する。定義データ2615は、定義データ115と同等の機能を有する。実施形態2を行うときに、実施形態1と相違する点は、再分析を行うことに起因するものであるが、詳細は、後記する処理の説明において併せて説明する。
次に図面を用いて実施形態2の処理を説明する。
図27は、ヒューマンエラー管理システムにおける処理の全体の概要を示すフローチャートである。実施形態2の処理は分析者がヒューマンエラー管理システム2600を起動することにより開始される。
まず、S2701において、分析者が、例えば入力装置204から、新しい事例の分析を行うか、事例の再分析を行うかを選択する(この選択に要するインタフェースの図示省略)。新事例の分析を選択した場合は(S2701で「新事例の分析を選択」)、実施形態1で説明したS1001、S1002、S1003、S1004の処理を行う。事例の再分析を選択した場合は(S2701で「事例の再分析を選択」)、事例選択S2702、事象整理S2703、なぜなぜ分析S2704、対策立案S2705の処理を順に行う。
図28は、事例選択S2702において、分析者が、入力装置204を用いて、再分析をするための事例選択を行うためのインタフェース画面の一例である。
インタフェース2800は、再分析可能な事例を表示するための再分析対象事例表示領域2801と、分析者が再分析を開始するための再分析開始ボタン2802とで構成される。
再分析対象事例表示領域2801はさらに、事例選択領域2801aと、事故種別事故対象表示領域2801bと、事故関係者表示領域2801cとで構成される。
図29を用いて、事例選択S2702の処理を説明する。
S2901において、ヒューマンエラー再分析支援装置2610が、出力装置205にインタフェース2800を事例選択画面として表示する。ここで、ヒューマンエラー再分析支援装置2610は、事故種別事故対象表示領域2801bに、基本情報データ121のテーブル300のフィールド302、303、304のデータを表示する。また、ヒューマンエラー再分析支援装置2610は、事故関係者表示領域2801cに関係者データ122のテーブル400のフィールド401、402のデータを表示する。
S2902において、分析者が、例えば入力装置204を用いて、再分析対象事例表示領域2801の中から再分析する事例選択領域2801aのチェックボックスを選択し、再分析用の事例選択を行う。
S2903において、分析者が、例えば入力装置204を用いて、インタフェース2800の再分析開始ボタン2802を選択する。
S2904において、ヒューマンエラー再分析支援装置2610が、事故事例DB120中の関係者データ122、事象データ123、乖離ノードデータ124、背後要因データ125、根本要因データ126、対策案データ127を参照し、S2902で分析者が選択した事例のテーブルのコピー(データテーブル)をそれぞれ新たに作成する。
以上で、S2702の処理が終了する。
次に、事象整理S2703について図30を用いて説明する。事象整理S2703は、関係者入力部2612aによる事故関係者の対策可能/困難変更S3001、乖離ノード判定部2612cによる乖離ノード判定S3002の二つの処理からなり、この順番で処理が進行する。
図31は、事故関係者の対策可能/困難変更S3001において、分析者が、入力装置204を用いて、事故関係者の対策可能/困難変更を行うためのインタフェースの一例である。
インタフェース3100は、事故の関係者の対策可能/困難を選択するための対策可能範囲選択領域3101と、対策可能/困難の変更を終了するための変更決定ボタン3102と、再分析前の時系列事象関連図を表示するための時系列事象関連図表示領域3103とで構成される。対策可能範囲選択領域3101では、事故の関係者毎に対策可能と対策困難のうちどちらかをラジオボタンにより選択することができる。
図32を用いて、事故関係者の対策可能/困難変更S3001の処理を説明する。
S3201において、ヒューマンエラー再分析支援装置2610が、インタフェース3100を関係者変更画面として出力装置205に表示する。ここで、ヒューマンエラー再分析支援装置2610は、インタフェース3100の対策可能範囲選択領域3101と時系列事象関連図表示領域3103とに、S2904で新たに作成されたテーブル400の関係者データ122と、テーブル500の事象データ123を用いた時系列事象関連図とをそれぞれ表示する。時系列事象関連図の描画方法は実施形態1のS1908と同様である。
S3202において、分析者が、入力装置204を用いて、対策可能範囲選択領域3101で対策可能な関係者の変更を入力する(対策可能/困難選択)。
S3203において、分析者が、入力装置204を用いて、変更決定ボタン3102を選択して変更内容を決定する。
S3204において、ヒューマンエラー再分析支援装置2610が、テーブル400の関係者データ122と対策可能範囲選択領域3101の選択結果とを比較し、変更がある場合は、テーブル400のフィールド402を更新するとともに、フィールド401のデータを、例えばメモリ203に記録(格納)する。
S3205において、ヒューマンエラー再分析支援装置2610が、テーブル500を更新する。具体的には、S3202で対策可能/困難が変更になった関係者を、例えばメモリ203に格納された情報(つまり、関係者データ122)を用いて探索し、該当する関係者のフィールド505を“困難”から“可能” (またはその逆)に変更する。
以上で、S3001の処理が終了する。
図33を用いて、乖離ノード判定S3002の処理を説明する。
S1901、S1902は実施形態1で説明の通りである。
S3301において、当事者が新たに対策可能になった関係者の事象に対して、乖離ノード判定を行う。具体的には、ヒューマンエラー再分析支援装置2610が、テーブル500のフィールド505、506を参照し、フィールド505が“可能”かつフィールド506にデータが入っていない(ブランク)、という条件を満たすかどうかを判定する。条件を満たす場合は(S3301でYes)S1904へ進み、条件を満たさない場合は(S3301でNo)S1910へ進む。
S1904、S1905、S1906、S1907、S1908、S1909、S1910、S1911は実施形態1で説明の通りである。
以上で、S3002の処理が終了する。
図34を用いて、なぜなぜ分析S2704の処理を説明する。
S3401において、ヒューマンエラー再分析支援装置2610がインタフェース2000aをなぜなぜ分析画面として出力装置205に表示する。ここで、ヒューマンエラー再分析支援装置2610は、乖離ノード一覧表示領域2001にテーブル600のフィールド601、602、603、604の情報を表示する。また、なぜなぜ分析結果表示領域2002に、S2904で新たに作成されたテーブル700の情報を用いて、再分析前のなぜなぜ分析結果を表示する。さらに、なぜなぜ分析着眼点定義データ3602のフィールド3602a、3602bを読み込み、読み込んだなぜなぜ分析着眼点定義テーブル3602を着眼点表示領域2004aに表示する。
S3402において、ヒューマンエラー再分析支援装置2610が、インタフェース2000bをなぜなぜ分析サンプルとして出力装置205に表示する(サンプル表示)。具体的には、S2702で分析者が選択した事故の基本情報データを用いてテーブル300を検索し、事故種別の分類ごとに情報セキュリティの専門家が分析した事例サンプルの中から、事故種別の分類(フィールド302,303,304参照)が等しい事例を選出する。次に、背後要因データ125中の選出された事例のテーブル700のレコードを用いて、前記選出した事例の背後要因も選出することで、なぜなぜ分析の実施結果をなぜなぜ分析サンプル表示領域2005に表示する。なお、事故種別の分類が等しい事例が複数存在すれば、インタフェース2000bになぜなぜ分析サンプルを複数表示することもできる。
S3403において、ヒューマンエラー再分析支援装置2610が、S3002で新しく乖離ノードと判定された乖離ノード数を分析が必要な乖離ノード数としてカウントする。
S2103、S2104、S2105、S2106、S2107、S2108、S2109の処理は実施形態1で説明の通りである。
S3404において、ヒューマンエラー再分析支援装置2610が、ループ変数iがM未満であるかを判定する。ここでMはS3403でカウントして新しく乖離ノードと判定された乖離ノード数を表す。S3404において、ループ変数iがM未満であると判断された場合は(S3404でYes)、S2104に戻り、ループ変数iがM以上であると判断された場合は(S3404でNo)、S2704の処理を終了する。
以上で、S2704の処理が終了する。
図35を用いて、対策立案S2705の処理を説明する。
S3501において、ヒューマンエラー再分析支援装置2610が、インタフェース2400を対策立案画面として出力装置205に表示する。このとき、根本要因表示領域2401の根本要因番号表示領域2401a、根本要因分類表示領域2401b、根本要因表示領域2401cに、根本要因データのフィールド801、802、803の情報をそれぞれ表示する。また、定義データ115の対策方針定義テーブル3603のフィールド3603aと、対策対象定義テーブル3604のフィールド3603bを読み込み、対策案表示領域2402の4STEP/M表示領域2402a、m−SHELL表示領域2402bへ表示する。さらに、対策案データ127のテーブル900のフィールド902、904、905のデータを用いて、再分析前の対策案を対策入力領域2402cに表示する。
S2502、S2503、S2504、S2505は、実施形態1で説明の通りである。
S3502において、ヒューマンエラー再分析支援装置2610が、対策立案表示領域2402の表示を更新する。具体的には、ヒューマンエラー再分析支援装置2610はまず、対策案データ127のテーブル900のフィールド901を探索し、S2503で分析者が選択した根本要因番号と一致するレコードが存在する場合には、対策立案表示領域2402の該当領域を強調表示する。つまり、インタフェース2400の4STEP/M表示領域2402aではSTEPiの領域を強調表示し、m−SHELL表示領域2402bと対策立案表示領域2402cではSTEPiの中の分析者がS2504において選択した根本要因のm−SHELLの区分と同じ領域(根本要因分類表示領域2401bに入力された値を含むm−SHELLの区分)を入力箇所として強調表示する。また、強調表示したSTEPiの領域およびm−SHELLの区分の領域に対応する対策立案表示領域2402cの該当領域も強調表示する。
S2507、S2508、S2509、S2510、S2511、S2512、S2513は、実施形態1で説明の通りである。
以上で、S2705の処理が終了する。
本実施形態によれば、S2702において、再分析前の関係者の対策可能/困難を示す情報(つまり、関係者データ122)を変更することで、新たな関係者への分析を可能にする。さらにS2702において新たに対策可能となった関係者の事象を乖離ノード判定し、新たに乖離ノードと判定された事象に対してなぜなぜ分析を行い、なぜなぜ分析の結果、新たに得られた根本要因に対する対策を立案することにより、より深い分析が可能になる。
以上のことから、情報セキュリティの分野の専門家でない分析者が分析した結果について、一般的にはより広い範囲に亘って関係者を対策可能とすることで、幅広く、かつ、深い分析が可能になることが期待できる。
なお、前記した実施形態は、本発明を実施するための好適なものであるが、その実施形式はこれらに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変形することが可能である。
例えば、本実施形態では、関係者データ122を設けて事故ごとに、関係者が対策可能であるか対策困難であるかを設定するようにした。しかし、事故ごとではなく、事象ごとにこの設定を行うように処理することができる。例えば、事象データ123のテーブル500において(図5参照)、フィールド501に登録される当事者が同じであっても、フィールド505に登録される値(“可能”/“困難”)は異なるように設定しても良い。
また、本実施形態では再分析を行う際、事故の関係者の対策可能/困難を変更するように選択する場合について説明した(図31等参照)。しかし、前記再分析を行うときには、例えば、関係者そのものを追加、変更、削除等しても良い。
また、本実施形態では、乖離ノードの判定を、事象が乖離ノードである、または乖離ノードでないという2値で行った。しかし、例えば、定義データ115に事象の乖離性を決定するテーブルを備え、そのテーブルに基づいて、事象の乖離度を決定するようにして前記乖離ノードの判定を行うようにしても良い。決定した乖離度は、例えば、フィールド506に登録される。前記乖離度が記憶部に記憶された所定値以上となる事象を乖離ノードとみなし、なぜなぜ分析や対策立案を行うように処理しても良い。
前記テーブルには、事象の内容を特徴付けるキーワードと、そのキーワードに対応する点数が対応付けられており、フィールド503に登録されている事象の説明に含まれる文章において、前記キーワードが含まれていれば、そのキーワードに対応する点数を加算(他の演算でも良い)し、加算したときの合計値を前記乖離度としても良い。前記加算において、所定の重み付けを行っても良い。
その他、ハードウェア、ソフトウェア、データベース、各フローチャート等の具体的な構成について、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
100 ヒューマンエラー分析支援システム
110 ヒューマンエラー分析支援装置
111 基本情報入力部
112 事象整理部
112a 関係者入力部
112b 事象入力部
112c 乖離ノード判定部
113 なぜなぜ分析部
113a サンプル表示部
114 対策立案部
115 定義データ
120 事故事例DB
121 基本情報データ
122 関係者データ
123 事象データ
124 乖離ノードデータ
125 背後要因データ
126 根本要因データ
127 対策案データ
201 CPU(制御部)
202 ストレージ(記憶部)
203 メモリ(記憶部)
204 入力装置(入力部)
205 出力装置(表示部)
206 通信装置
207 内部通信線

Claims (7)

  1. 情報セキュリティの事故におけるヒューマンエラーの分析支援を行うヒューマンエラー分析支援システムにおいて、
    前記事故の種別と、前記事故の対象とを含む事故の基本情報と、
    前記事故において生じた1以上の事象において、前記事象が生じる要因となる背後要因を特定するときの着眼点、および前記背後要因が生じる根本的な要因となる根本要因を特定するときの着眼点を定義する着眼点用定義データと、
    前記根本要因に対する対策案の形式を定義する対策案用定義データと、を記憶する記憶部を備え、
    入力部が受け付けた入力により、前記事故について前記事象ごとに、前記事象に関わった関係者と、前記事象の内容と、前記関係者による事故の対策の可能性を示す対策可能性フラグと、前記対策可能性フラグが当該関係者による事故の対策を可能とすることを示す事象が乖離事象であるか否かを示す乖離事象判定フラグとを含む事象データを特定する制御と、
    前記入力部が受け付けた入力により、前記乖離事象判定フラグが乖離事象であることを示す事象について、別の乖離事象または前記着眼点用定義データにより定義された着眼点に基づいて定める1以上の要因の少なくとも一方を前記背後要因として特定するとともに、前記着眼点用定義データにより定義された着眼点に基づいて定める1以上の要因を前記根本要因として特定する要因分析をする制御と、
    前記入力部が受け付けた入力により、前記要因分析で特定した根本要因について、前記対策案用定義データにより定義された形式にしたがった対策案を特定する制御と、を実行する制御部を備える
    ことを特徴とするヒューマンエラー分析支援システム。
  2. 前記制御部は、
    前記入力部が受け付けた入力により、前記事故について前記事象ごとに、前記事象が生じた時刻を含む前記事象データを特定する制御と、
    表示部において、前記事象データが含む時刻に基づいて前記乖離事象を時刻の新しい順に表示する制御と、を実行する
    ことを特徴とする請求項1に記載のヒューマンエラー分析支援システム。
  3. 前記制御部は、
    前記入力部から前記背後要因および前記根本要因を特定する入力を受け付ける際、表示部において、前記背後要因または前記根本要因を特定した乖離事象を強調表示する制御、を実行する
    ことを特徴とする請求項1に記載のヒューマンエラー分析支援システム。
  4. 前記制御部は、
    前記入力部から前記対策案を特定する入力を受け付ける際、表示部において、前記根本要因を特定したときに用いられた前記着眼点に対応する入力欄を強調表示する制御、を実行する
    ことを特徴とする請求項1に記載のヒューマンエラー分析支援システム。
  5. 前記記憶部は、
    前記対策案を特定した過去の事故について、前記背後要因および前記根本要因を特定したときの前記要因分析の分析結果を記憶しており、
    前記制御部は、
    前記要因分析をする事故に対し、前記基本情報に含まれる前記事故の種別と、前記事故の対象とが同じである事故のうち、前記入力部が受け付けた入力により特定した背後要因および根本要因が共通する事故の前記分析結果を前記記憶部から読み出し、前記読み出した分析結果を表示部に表示する制御、を実行する
    ことを特徴とする請求項1に記載のヒューマンエラー分析支援システム。
  6. 前記制御部は、
    前記入力部が受け付けた入力により、前記対策案を特定した後において、前記事象データに含まれる前記関係者と、前記対策可能性フラグが示す値とを変更することにより、前記乖離事象判定フラグが示す値を変更する制御と、
    前記入力部が受け付けた入力により、前記乖離事象判定フラグが示す値を変更したことにより新たに乖離事象であると示された事象について、前記要因分析をする制御と、
    前記入力部が受け付けた入力により、前記要因分析で新たに特定した根本要因について、前記対策案を特定する制御と、を実行する
    ことを特徴とする請求項1から請求項5のいずれかに記載のヒューマンエラー分析支援システム。
  7. 情報セキュリティの事故におけるヒューマンエラーの分析支援を行うヒューマンエラー分析支援システムにおけるヒューマンエラー分析支援方法において、
    前記ヒューマンエラー分析支援システムの記憶部は、
    前記事故の種別と、前記事故の対象とを含む事故の基本情報と、
    前記事故において生じた1以上の事象において、前記事象が生じる要因となる背後要因を特定するときの着眼点、および前記背後要因が生じる根本的な要因となる根本要因を特定するときの着眼点を定義する着眼点用定義データと、
    前記根本要因に対する対策案の形式を定義する対策案用定義データと、を記憶しており、
    前記ヒューマンエラー分析支援システムの制御部は、
    入力部が受け付けた入力により、前記事故について前記事象ごとに、前記事象に関わった関係者と、前記事象の内容と、前記関係者による事故の対策の可能性を示す対策可能性フラグと、前記対策可能性フラグが当該関係者による事故の対策を可能とすることを示す事象が乖離事象であるか否かを示す乖離事象判定フラグとを含む事象データを特定するステップと、
    前記入力部が受け付けた入力により、前記乖離事象判定フラグが乖離事象であることを示す事象について、別の乖離事象または前記着眼点用定義データにより定義された着眼点に基づいて定める1以上の要因の少なくとも一方を前記背後要因として特定するとともに、前記着眼点用定義データにより定義された着眼点に基づいて定める1以上の要因を前記根本要因として特定する要因分析をするステップと、
    前記入力部が受け付けた入力により、前記要因分析で特定した根本要因について、前記対策案用定義データにより定義された形式にしたがった対策案を特定するステップと、を実行する
    ことを特徴とするヒューマンエラー分析支援方法。
JP2009247291A 2009-10-28 2009-10-28 ヒューマンエラー分析支援システムおよびヒューマンエラー分析支援方法 Pending JP2011095876A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009247291A JP2011095876A (ja) 2009-10-28 2009-10-28 ヒューマンエラー分析支援システムおよびヒューマンエラー分析支援方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009247291A JP2011095876A (ja) 2009-10-28 2009-10-28 ヒューマンエラー分析支援システムおよびヒューマンエラー分析支援方法

Publications (1)

Publication Number Publication Date
JP2011095876A true JP2011095876A (ja) 2011-05-12

Family

ID=44112732

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009247291A Pending JP2011095876A (ja) 2009-10-28 2009-10-28 ヒューマンエラー分析支援システムおよびヒューマンエラー分析支援方法

Country Status (1)

Country Link
JP (1) JP2011095876A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6362796B1 (ja) * 2017-05-25 2018-07-25 三菱電機株式会社 評価装置、評価方法および評価プログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6362796B1 (ja) * 2017-05-25 2018-07-25 三菱電機株式会社 評価装置、評価方法および評価プログラム
WO2018216175A1 (ja) * 2017-05-25 2018-11-29 三菱電機株式会社 評価装置、評価方法および評価プログラム

Similar Documents

Publication Publication Date Title
Santos-Neto et al. Enterprise maturity models: a systematic literature review
Verdecchia et al. Architectural technical debt identification: The research landscape
Villamizar et al. Requirements engineering for machine learning: A systematic mapping study
Rabii et al. Information and cyber security maturity models: a systematic literature review
Oberländer et al. Taxonomy research in information systems: A systematic assessment
Lavalle et al. Visualization requirements for business intelligence analytics: a goal-based, iterative framework
CN106327002A (zh) 需求预测方法和需求预测装置
Centobelli et al. The future of sustainable supply chains: a novel tertiary-systematic methodology
Barreiros et al. A systematic mapping study on software engineering testbeds
Umayaparvathi et al. Attribute selection and customer churn prediction in telecom industry
Ji et al. Complexity analysis approach for prefabricated construction products using uncertain data clustering
Zhong et al. ARSCA: a computer tool for tracing the cognitive processes of cyber-attack analysis
Kozłowska Methods of multi-criteria analysis in technology selection and technology assessment: a systematic literature review
Hollmann et al. Large language models for automated data science: Introducing caafe for context-aware automated feature engineering
Burmeister et al. Towards an extended enterprise architecture meta-model for Big Data-A literature-based approach
Priyadarshini et al. Mapping and visualizing flexible manufacturing system in business and management: a systematic review and future agenda
JP2011095876A (ja) ヒューマンエラー分析支援システムおよびヒューマンエラー分析支援方法
Faizan et al. Challenges and use cases of process discovery in process mining
Valença et al. Construction of a software measurement tool using systematic literature review
Sullivan et al. A systematic literature review of changeability in engineering systems along the life cycle
Farshidi et al. FAIRSECO: An Extensible Framework for Impact Measurement of Research Software
Cafiero Datafying diplomacy: How to enable the computational analysis and support of international negotiations
Shoga et al. Recent trends in software quality interrelationships: A systematic mapping study
Rincón et al. Project portfolio risk management. Bibliometry and collaboration Scientometric domain analysis
Chenail et al. Utilizing qualitative meta synthesis to conduct systematic reviews of primary healthcare research