要約
2022年7月8日に起きた安倍元首相銃撃事件では、SPなどによる警護体制の不備が指摘されましたが、この事件を例にセキュリティリスクについてまとめます。まず、セキュリティリスクの定義を示し、事件後の責任論について心理学的な解説を行い、最後にリスク評価をベースとした対策について解説します。
本文:セキュリティリスク
2022年7月8日に起きた安倍晋三元首相の銃撃事件は非常に衝撃的な事件でした。犯人は3年の自衛官としての経験があり全くの素人とは言えませんが、単独犯で手製の銃を用いて警備をかいくぐって弾丸を命中させ元首相の命を奪うという攻撃を成功させてしまいました。
事件当初から警備の不備を指摘する声が多く、警察庁長官からも責任を認める異例の発言があったようです。
朝日新聞デジタル:中村警察庁長官、責任認める異例の発言 安倍元首相銃撃を受け会見で
以下のページから警備の不備について指摘された点を抜き出してみます(というかこのWikipediaの情報量すごすぎ!まだ事件から一週間も経ってない状況で参考資料が300件以上もある。)。
Wikipedia: 安倍晋三銃撃事件
・警察官が皆前を向いており、背後に目配りしていない
・犯人が安倍氏に近づいてから発砲するまでに9秒あり、その間警察官が誰も気が付いていない
・最初の発砲(命中せず)から次の発砲までに2.6秒あったが、その間に警察官が安倍氏の被弾を防ぐ行動をしていない
また、要人警護の専門家であるSP(セキュリティポリス)は一人しかついておらず、他は奈良県警の警察官が警護にあたっていましたが、この警護体制についても疑問が提示されました。SPは1975年に当時の三木首相が殴られ負傷した事件をきっかけに設立されており、非常時には身を挺して警護対象を守ることが求められる仕事です。
ただしその後も要人を狙った事件は結構起こっていますね:
1990年:本島等長崎市長狙撃事件
1992年:金丸信自民党副総裁狙撃事件
1995年:国松孝次警察庁長官狙撃事件
2007年:伊藤一長長崎市長狙撃事件(死亡)
2002年:石井紘基衆議院議員襲撃事件(死亡)
いずれもなぜ防げなかったのか?などと後付けで批判する人がたくさん出てくるのですが、事件を知ってからではなんとでも言えるのですね。逆に、事件が起こる前からリスクに応じた警護体制がちゃんとできていたかどうかをチェックしていたという話はほとんど聞きません。
本記事では、テロや犯罪などの悪意を持った意図的な攻撃のリスク(セキュリティリスク)について取り上げます。今回の銃撃事件を例に、まずはセキュリティリスクの定義を示し、次に事件後に後付けで批判する人が出てくる理由を心理学的に考察し、リスク評価をベースとしたセキュリティリスクの管理についても考えてみます。
セキュリティリスクの定義
安全にはsafetyとsecurityがあり、前者は環境リスクなどの非意図的なものや災害などの自然発生的なものを扱い、後者はテロやサイバー攻撃などの意図的で悪意がある攻撃を扱います。リスク学では前者を扱う場合が多いのですが、今回は後者を扱います。
DHS(Department of Homeland Security、米国国土安全保障省)のリスク用語集を見ると、リスクの拡張定義は以下のように書かれています:
potential for an adverse outcome assessed as a function of threats, vulnerabilities, and consequences associated with an incident, event, or occurrence
事件や事故に伴い、脅威(threat)、脆弱性(vulnerability)、帰結(consequense)の関数として評価される悪い結果の発生可能性
DHS: DHS RISK LEXICON
つまり、
セキュリティリスク=脅威×脆弱性×帰結
で示され、
脅威:攻撃力(攻撃の発生可能性)
脆弱性:防御力の低さ(攻撃の成功可能性)
帰結:攻撃が成功したときの被害の大きさ
のかけ算として評価されます。
今回の銃撃事件で説明すれば、脅威とは犯人の人数、銃撃のスキル、手製の銃の完成度、犯行動機の高さなどで示されるでしょう。脆弱性は警護の人数、警護にあたる警察官のスキルやモチベーション、周辺の広さ、聴衆の人数などで示されるでしょう。最後に帰結は、安倍元首相が銃撃され亡くなった場合の日本における損失の大きさ(もしくは波及する影響)ということになります。今回の場合脅威としては小さく、一方で脆弱性が大きく、帰結がさらに非常に大きい状態だったと言えますね。
日本ではテロなどの重大事件が少ないため、セキュリティといえばサイバーセキュリティのことを指すことが多いです。これも同様にセキュリティリスク=脅威×脆弱性×帰結で表現されます。脅威が攻撃者による攻撃の強さ、脆弱性はそれを防御できる体制の弱さ、帰結はデータが流出した場合の損害の大きさなどになります。
このように、セキュリティリスクの分野でもリスクの大きさが指標化されています。
セキュリティリスクの心理学
今回の銃撃事件後に、警護のあれがダメこれがダメなどと評論する人がわんさか湧いて出てきましたが、結果的に攻撃を成功させてしまったという視点の話ばかりであり、事件が起こる前において上記のようなリスクの大きさに応じた警護体制になっていたかどうか、というリスクベースの視点の話はほとんど聞きません。
人の記憶は結果がわかってから「俺は最初から警護が甘いと思っていた」というように都合よく置き換わるバイアスがあります。これは「俺は最初から知っていた効果(後知恵バイアス)」と呼ばれるものです。詳細は本ブログの過去記事にあります(リンクは補足の1)。
コロナ第1波で緊急事態宣言が出た後に、皆が外出を自粛して感染が収まると「ほらコロナはたいしたことない、緊急事態宣言は必要なかった」という論者が多数出てきました。
米国で起こった911テロの際も、事前に予測できなかったとして政府が批判されました。これも後からではなんとでも言える例ですね。事前に予測できた人など誰もいなかったのですから。
結果がどうだったかよりも、事前にリスク評価を行い、それに基づいてその時点においてベターな意思決定ができていたかどうかをより重視すべきでしょう。つまり今回の事件の例では、警護体制を決める際にどのようにリスク評価を行い、どのようなプロセスで決定したかを検証すべきです。帰結の大きさを過小に見積もっていたのではないでしょうか。
結果だけを見て判断すると誤った評価になりがちです。警護体制はしっかりしていたがたまたま事件が起こってしまった、もしくは警護体制はダメダメだったがたまたま事件が起こらず済んだ、などの場合に、
事件が起こった=ダメ
事件が起こっていない=良い
と判断すると、その後の対応を誤ってしまうでしょう。
ただし、人間は結果だけを見てその原因を断定しがちな傾向があります。株価の上昇や下落などはもっともらしい説明(その日に起こった出来事や事件の影響で上昇したor下落したなど)がニュースでよく流れますが、単に偶然その出来事と株価の上昇が重なっただけかもしれません。
これはわたしたちにとって非常に心地よいストーリー性があるため、信じ込みやすい性質があるのです。「農家は長寿命」みたいな説もよく聞きますが、農家の生活は自由で、ストレスがなく、よく体を動かし、いつも採れたての野菜をたっぷりと食べ、美味しい空気を吸っている、みたいなイメージがあり、そのような農的ライフスタイルは健康とつながりそうな気がします。なので農家はきっと長寿に違いない、というストーリーが(科学的な妥当性とは別に)すんなりと受け入れられます。この話も詳細は本ブログの過去記事にあります(リンクは補足の2)。
セキュリティリスクの管理
そんなこと言ったって結果が全てじゃないか!?警護対象を死なせてしまったらSPなんて何の意味もないよね!
当然ながら多くの人がこのように思うでしょう。ところが、SPの仕事は事件の未然防止なので、その効果というのはそもそも目に見えにくい性質を持っています。つまり、SPがいたおかげで多数の人の命が助かっているのかもしれないのに、それは可視化されていないのです。
実際に、今回の犯人は事件前日の岡山ではSPがいたおかげで銃撃できなかったことを供述しています。SPはその存在を目立たせることで攻撃そのものをあきらめさせる効果もあります。SPがいるおかげで未然に防げた事件もたくさんあることでしょう。
TBS NEWS DIG: 事件前日の岡山「周りにSPがいて何もできず」 山上徹也容疑者 安倍元総理銃撃事件
ワクチンなども同じで、ワクチンの副反応で苦しんだ人は可視化されますが、ワクチンのおかげで病気にならずに済んだ人は可視化されません(治験などは除く)。どうしても未然防止の効果というのは過小評価されがちなのです。これは「マンホールのふた問題」とも呼ばれ、詳細は本ブログの過去記事にあります(リンクは補足の3)。
さて、話は変わり、今後は(少なくとも一時的に)警護体制の強化に向かうことは間違いないでしょう。何か事故・事件が起こると、再発防止策として予算が増えてできることが増えます。
最近も同じような話はなかった?と思い出すと、知床観光船の沈没事故が思い出されます。詳細は本ブログの過去記事にありますが、この事故を例に2種類ある安全のカタチとして、事故後の規制強化と事前のリスク評価ベースの安全対策の違いについて説明しました(リンクは補足の4)。
前者のほうは目に見える事故・事件がありそれに対応するやり方なので、何かをやったというインパクトが強く残ります。一方で後者のほうは事故・事件の未然防止であり、起こっていないことを可視化しにくいため、世間のウケはあまりよくありません。
ただし、まだ事故・事件は起こっていないがセキュリティリスクの大きさはこれくらい、というリスク評価ベースの対策をしていかないと、事故・事件が長期間起こらない場合には対策費用が徐々に「ムダ」とみなされるようになり、予算が削られていきます。そうやってリスクが高くなったところに次の事故・事件が起こるのですね。
例えば、知事の高級な公用車が税金のムダと指摘されることが増えてきましたが、高級な公用車はただ贅沢なだけではなく、走行性能が高かったり(追っ手を振り切りやすい)、衝突に強かったり、車体が防弾仕様になっていたりなどのセキュリティ対策がされています。
このような観点から、事故・事件が起こったか否かではなく、事前のリスク評価をベースとした対策が必要となってきます。
まとめ:セキュリティリスク
安倍元首相銃撃事件を例に、セキュリティリスクについて整理しました。セキュリティリスクは脅威(攻撃の発生可能性)×脆弱性(攻撃の成功可能性)×帰結(攻撃が成功したときの被害の大きさ)で表現されます。何か事件が起こると後知恵バイアスが働いて当事者が批判されますが、それよりも事前の意思決定のプロセスを検証するべきです。また、警護などの未然防止対策はその効果が可視化されにくく、事件発生などの結果だけではく、事前のリスク評価をベースとした対策を実施すべきでしょう。
補足
本記事を書く上で参考にした本ブログの過去記事一覧
1.なぜコロナウイルスのリスクについて「俺は最初から知っていた」論者が後から湧いて出てくるのか?予測のリスク学その2
2.「農家は長寿命」説の検証その2:心理的要因や認知症との関係
3.ワクチンはなぜ嫌われるのか?メリットよりもデメリットに注目が集まる心理的要因
4.知床観光船事故から考える、事故が起こってからの規制強化と事前のリスク評価ベースの安全対策の違い
参考文献
高橋博 (2007) 自治体首長の警護体制. 東京海上日動リスクコンサルティング株式会社 TRC EYE 131, 1-4.
コメント