ETTO原則入門

効率のみを求めて失敗しないための ETTO原則入門 （効率-徹底性トレードオフ原則） 2025年6月 氏名：滝澤隆史

ETTO原則入門 アジェンダ ETTO原則とは何かを説明する 題材として次の例を示す ITシステムの運用における作業手順書作成の例を示し、効率性と徹底性 のバランスを考える必要があることを示す 根本原因分析の例を示し、根本原因分析を徹底的に行うのが難しいとい うことを示す TAKIZAWA, Takashi 2

ETTO原則入門 ETTO原則とは TAKIZAWA, Takashi 3

ETTO原則入門 ETTO原則とは 「ETTO原則」は「The ETTO Principle」の邦訳 ETTO Efficiency-Thoroughness Trade-Offの略 効率-徹底性トレードオフ 効率性（Efficiency）と徹底性（Thoroughness）はトレードオフの関係に あるというもの レジリエンス・エンジニアリングで著名なエリック・ホルナゲル氏（Erik Hollnagel）が提唱した 備考：Thoroughnessは「完全性」と略されることがあるが、ITの分野で 「完全性」というと「Integrity」のことを示すので、ここでは「徹底性」と訳す TAKIZAWA, Takashi 4

ETTO原則入門 ETTO原則の定義 https://erikhollnagel.com/ideas/etto-principle/ ETTO原則とは、人や組織が活動する際に、「効率性（Efficiency）」と「徹底性 （Thoroughness）」の間で必ずトレードオフ（両立不可能な選択）を迫られるこ とを指す。 効率性は、目標達成に必要なリソース（時間、労力、コストなど）を最小限に抑 えること 徹底性は、活動が目的を確実に達成し、かつ副作用を生まないために必要な 条件を十分に整えること この原則から導かれる重要な点は、効率性と徹底性を同時に最大化することは不 可能であり、最低限の効率性と徹底性がなければ活動は成功しないということ。 TAKIZAWA, Takashi 5

• https://erikhollnagel.com/ideas/etto-principle/

ETTO原則入門 効率性と徹底性がトレードオフの関係にある なぜトレードオフになるのか リソース（時間、労力、コストなど）は有限であるため その結果 効率を求めるとリソースが足らずに徹底できない 徹底させるとリソースがかかって効率が悪い TAKIZAWA, Takashi 6

ETTO原則入門 書籍 The ETTO principle: Why things that go right sometimes go wrong. TAKIZAWA, Takashi 7

• https://erikhollnagel.com/books/the-etto-principle-2009

ETTO原則入門 ETTO TAKIZAWA, Takashi 8

ETTO原則入門 効率性が求められる理由 書籍“The ETTO Principle” Chapter 1より 必要なリソース、特に限られた時間や利用可能な時間の不確実性による制約 必要以上の努力をしないという自然な傾向、あるいは人間の本質的な性向 予期せぬ事態に備えて、リソースや時間などの予備を確保しておく必要性 （多くの場合、暗黙的または明示されない） 上司、同僚、部下などからの社会的圧力（例：あるやり方や期限で物事を進め るよう求められる） 組織的な圧力（例：「安全第一」という公式の優先順位と「時間内に準備せよ」 という実際の慣行との間の矛盾、またはリソース不足） 個人的な優先事項、作業習慣、野心など TAKIZAWA, Takashi 9

ETTO原則入門 効率性と徹底性をトレードオフする 効率性を求めるケースが多い 効率性を求めて効率性と徹底性をトレードオフすることをETTOingと呼ぶ 日々の業務をこなすために、効率性を求めてETTOingを行うことは必要な こと ちなみに、徹底性を求めて効率性と徹底性をトレードオフすることを TETOingと呼ぶ TAKIZAWA, Takashi 10

ETTO原則入門 作業に関連したETTO規則 https://erikhollnagel.com/ideas/etto-principle/work-relatedetto-rules.html より It looks fine. / 問題なさそう。 It is not really important. / それほど重要ではない。 It is normally OK, there is no need to check. / 通常は大丈夫だ から確認の必要はない。 It is good enough for now. / 今のところは十分だ。 It is not my/our responsibility. / 私/私たちの責任ではない。 TAKIZAWA, Takashi 11

• https://erikhollnagel.com/ideas/etto-principle/work-related-etto-rules.html

ETTO原則入門 作業に関連したETTO規則 It will be checked, or done, by someone else later. / 後で誰か が確認あるいは実行するだろう。 It has been checked, or done, by someone else before. / 以 前に誰かが確認あるいは実行した。 TAKIZAWA, Takashi 12

ETTO原則入門 効率性を求めるETTOingだけを行う 事故や障害を引き起こすリスクが増える その事故や障害の対応のためにかえって効率性が下がる TAKIZAWA, Takashi 13

ETTO原則入門 効率性と徹底性 エリック・ホルナゲル氏は、現在の効率性は過去の徹底性を前提としており、 現在の徹底性が将来の効率性に必要だと述べている 現在の効率性は 過去の徹底性を 必要とする TAKIZAWA, Takashi 効率性 過去 現在 徹底性 徹底性 将来の効率性は 現在の徹底性を 必要とする 効率性 未来 14

ETTO原則入門 効率性と徹底性 ETTOing（効率性を求めること）とTETOing（徹底性を求めること）をバラ ンスよく行う必要がある TAKIZAWA, Takashi 15

ETTO原則入門 題材：作業手順書の作成 TAKIZAWA, Takashi 16

ETTO原則入門 作業手順書の作成 作業手順書の作成を題材として効率性と徹底性の関係性を考えてみる TAKIZAWA, Takashi 17

ETTO原則入門 作業手順書を作成せずに作業を行う 効率性を求める（ETTOing） 作業手順書を作成する時間を省く リスク ヒューマンエラーによる作業の失敗や作業に伴うシステム障害の発生の リスクが常にある TAKIZAWA, Takashi 18

ETTO原則入門 作業手順書を作成せずに作業を行う うまくいく 何も問題が生じなければ、結果としては効率性が良かったということに なる うまくいかない 作業に失敗したり、システム障害が発生したりしたら、その対応に時間と 労力を費やすために、総合的には効率性が悪かったという結果になる TAKIZAWA, Takashi 19

ETTO原則入門 作業手順書を作成してから作業を行う 徹底性を求める（TETOing） 作業手順書の作成に時間をかける リスク ヒューマンエラーによる作業の失敗や作業に伴うシステム障害が発生す るリスクは小さい TAKIZAWA, Takashi 20

ETTO原則入門 作業手順書を作成してから作業を行う うまくいく 何も問題が起きなくても、作業手順書作成の手間が発生するため、効率 性は良くない 作業手順書を再利用できるのであれば、長期的な視点で見ると、将来に 対しては効率性が良いということになる うまくいかない 問題が生じたら、その対応に時間と労力を費やすために、作業手順書作 成の手間がかかっている分だけさらに効率性が悪いという結果になる しかし、失敗や障害が発生するリスクは小さいため、期待値としてはそこ まで効率性は悪くない TAKIZAWA, Takashi 21

ETTO原則入門 作業手順書の再利用 一度、作業手順書の作成という徹底性を実施していれば、その手順書を再利 用することにより、将来の効率性に結びつく 現在の効率性は 過去の徹底性を 必要とする TAKIZAWA, Takashi 効率性 過去 現在 徹底性 徹底性 将来の効率性は 現在の徹底性を 必要とする 効率性 未来 22

ETTO原則入門 ETTOingとTETOingのバランスを考える 更新系の作業 ヒューマンエラーによる作業に伴うシステムへの影響が生じるリスクが 高いため、作業手順書を作成するというTETOingを行う 参照系（非更新系）の作業 ヒューマンエラーによる作業に伴うシステムへの影響が生じるリスクが 低いため、作業手順書を作成しないというETTOingを行う ただし、簡易でない作業については作業の漏れを防ぐために作業手順 書を作成するというTETOingを行う （更新系・参照系を問わず）定型作業 作業手順書を作ることはTETOingではあるが、同じ手順書を再利用で 23 TAKIZAWA, Takashi きるため、将来の効率性の向上になる

ETTO原則入門 技術スキルへの依存 作業するエンジニアの技術スキル次第でもバランスを調整可能である ヒューマンエラーの発生は作業当日のエンジニア自身の身体的・精神的状況 にも影響されるため、技術スキルへの高い依存はしないほうがよい 深夜に障害対応をしていて徹夜明けかもしれないですし、家族が風邪を引い ていて頭が心配事でいっぱいかもしれません TAKIZAWA, Takashi 24

ETTO原則入門 題材：根本原因分析 TAKIZAWA, Takashi 25

ETTO原則入門 根本原因分析 ITシステムを運用していて、どうしても発生してしまうのがシステム障害 システム障害が発生したら、その対応を行い、システムを正常化させようとす る 一連の対応が終わったら、その振り返りとして、組織によってはポストモーテ ム（postmortem）を作成する ポストモーテムでは原因究明のために根本原因分析（RCA, Root Cause Analysis）を行うことがある 根本原因分析を題材として効率性と徹底性の関係性を考えてみる TAKIZAWA, Takashi 26

ETTO原則入門 ポストモーテム 以下のGoogleのSRE(Site Reliability Engineering)本に掲載されてい る。日本語訳の書籍もある。 Site Reliability Engineering: Chapter 15 - Postmortem Culture: Learning from Failure https://landing.google.com/sre/srebook/chapters/postmortem-culture/ The Site Reliability Workbook: Chapter 10 - Postmortem Culture: Learning from Failure https://landing.google.com/sre/workbook/chapters/pos tmortem-culture/ TAKIZAWA, Takashi 27

• https://landing.google.com/sre/sre-book/chapters/postmortem-culture/
• https://landing.google.com/sre/workbook/chapters/postmortem-culture/

ETTO原則入門 ポストモーテムの特徴 learning（学びがあること） 先の書籍の章のタイトルにも“Learning from Failure”（失敗からの 学び）とあることからも学びが重要視されているのがわかる blamelessness（非難しないこと） 原因を究明していると、個人やチームに対して責任を追及して非難しが ちになり、その結果として問題が隠蔽されかねない これは決して建設的ではないし、改善する方向に物事が動いていかない 非難しないことはとても重要なこと TAKIZAWA, Takashi 28

ETTO原則入門 失敗の要因となる潜在的な条件がある トッド・コンクリン氏（Todd Conklin）の言葉で次のものがある。 Worker’s don’t cause failures. Worker’s trigger latent conditions that lie dormant in organizations waiting for this specific moment in time. 作業者が失敗を引き起こすのではない。作業者は組織の中の潜在的な条件 の引き金を引くだけだ。その条件はこの特定の瞬間を待っているのだ 失敗の要因となる潜在的な条件がもともとあって、人はその発動条件を踏んでし まうだけなので、個人やチームを避難しても意味がない。 TAKIZAWA, Takashi 29

• https://ppsa.memberclicks.net/assets/18Conference/Presentations/Conklin Presentation.pdf

ETTO原則入門 根本原因分析 根本原因分析の手法の1つとして、日本では「なぜなぜ分析」が、海外では「な ぜなぜ分析」を元にした「5 Whys」がよく用いられている 「なぜなぜ分析」は、問題の事象を引き起こした要因を「なぜ」を繰り返して掘 り下げて、問題に対する対策を導き出す手法 TAKIZAWA, Takashi 30

ETTO原則入門 根本原因分析と停止ルール 書籍“The ETTO Principle”では、事故調査の原因分析の際にどこで分析を止 めるかという“The Stop Rule”（停止ルール）について述べている。 階層や分類の最下層に到達したとき その説明が望まれる心理的な安心を提供した 一般的に受け入れられる原因（「ヒューマンエラー」など）を特定した その説明が政治的（または制度的）に便利である 分析を続ける時間（または人手、資金）がない その説明が道徳的または政治的価値観に合致している 探索を続けると未知の領域につながる TAKIZAWA, Takashi 31

ETTO原則入門 根本原因分析と停止ルール 多くの場合は1つ目の「階層や分類の最下層に到達したとき」に分析を止めること を目指している。これは徹底性を求めてTETOingを行っている。 階層や分類の最下層に到達したとき その説明が望まれる心理的な安心を提供した 一般的に受け入れられる原因（「ヒューマンエラー」など）を特定した その説明が政治的（または制度的）に便利である 分析を続ける時間（または人手、資金）がない その説明が道徳的または政治的価値観に合致している 探索を続けると未知の領域につながる TAKIZAWA, Takashi 32

ETTO原則入門 根本原因分析と停止ルール 実際の問題として、原因と結果の間に線形な因果関係が明確にあるような単純な ケースだけではなく、複雑な要因が絡み合っているケースもあるため、徹底的な 分析は難しい。 これを分析するために多くの時間と人材を費やすのは効率が悪い。 TAKIZAWA, Takashi 33

ETTO原則入門 根本原因分析と停止ルール 分析に費やす時間や人材は有限であるため、2つ目以降のような効率性を求める ETTOingが行われることになる。 階層や分類の最下層に到達したとき その説明が望まれる心理的な安心を提供した 一般的に受け入れられる原因（「ヒューマンエラー」など）を特定した その説明が政治的（または制度的）に便利である 分析を続ける時間（または人手、資金）がない その説明が道徳的または政治的価値観に合致している 探索を続けると未知の領域につながる TAKIZAWA, Takashi 34

ETTO原則入門 効率性と徹底性のバランス 徹底性を求め過ぎる 時間やコストがかかり過ぎて対応が非常に遅れてしまう 効率性を求め過ぎる 間違った分析結果による間違った対応を行うことになる TAKIZAWA, Takashi 35

ETTO原則入門 効率性と徹底性のバランス 効率性と徹底性のバランスを取る必要がある 効率性 徹底性 間違った対応 対応の遅れ TAKIZAWA, Takashi 36

ETTO原則入門 作業による障害と根本原因分析 作業手順書を作成して作業したのにシステム障害が発生した場合には、どの ような要因だったのかを考えてみる TAKIZAWA, Takashi 37

ETTO原則入門 作業による障害と根本原因分析 事象の例 作業手順書どおりに手順を実行しなかった 根本原因分析のケース この要因の1つとしてダブルチェックしながら作業するのが運用規則だ ったのに1人で作業したとしたら、どうして1人で作業することになった のかという話になる 根本原因分析の結果として、組織的な要因が入ってくるかもしれない TAKIZAWA, Takashi 38

ETTO原則入門 作業による障害と根本原因分析 事象の例 作業手順書どおりに作業したのにシステム障害を引き起こしてしまった 根本原因分析のケース 想定外のケースが発生することもある 複数の特定の条件が組み合わさったときのみ問題が生じる場合は事前 に想定するのが難しい 根本原因分析の結果として、時間をかけて要因を特定できたとしても、 問題が生じる条件をすべて洗い出して対応するのにさらに時間がかか る TAKIZAWA, Takashi 39

ETTO原則入門 根本原因分析がうまくいかない 根本原因分析のスキル システム障害というのは頻繁に発生するものではないため、たいていの 人は根本原因分析をやり慣れていない 根本原因分析のトレーニングを受けている人も多くはない そのため、根本原因分析がうまくできずに、適切な要因を分析できない ケースもある TAKIZAWA, Takashi 40

ETTO原則入門 根本原因分析がうまくいかない 原因の思い込み “What-You-Look-For-Is-What-You-Find (WYLFIWYF) principle”（「人間は自分が探そうとしているものしか見出せない」原 則） 自身が思い込んでいる要因や説明しやすい要因のみを示し、適切な要因 を導き出せない TAKIZAWA, Takashi 41

ETTO原則入門 根本原因分析がうまくいかない 原因の思い込み 例えば、作業ミスは説明しやすい要因ではあるが、潜在的な要因がいく つかあって作業ミス自体はそのトリガーを引いているだけであり、作業 ミス自体は根本的な要因ではない 作業するホストを間違えた ×作業ミスが発生した ○作業するホストを確認する手順が無かった TAKIZAWA, Takashi 42

ETTO原則入門 根本原因分析がうまくいかない 根本原因を調べて対応することはとても重要なこと しかし、ETTO原則があるため、根本原因分析の要因のように「うまくいかな いこと」のみに注目して対応することには限界がある エリック・ホルナゲル氏が提唱した「レジリエンス・エンジニアリング」では「うま くいくこと」にも着目して、組織が様々な変化に対してうまくいくように調整 していくことを考える TAKIZAWA, Takashi 43

ETTO原則入門 レジリエンス・エンジニアリング レジリエンス・エンジニアリングについては本資料では説明しないが、次の資料は 概要がよくまとまっているので紹介する。 Safety-IからSafety-IIへ―レジリエンス工学入門―（オペレーションズ・リ サーチ 2014年8月号） https://orsj.org/wp-content/corsj/or598/or59_8_435.pdf また、エリック・ホルナゲル氏の著作を本資料の最後の参考資料に掲載する。 TAKIZAWA, Takashi 44

• https://orsj.org/wp-content/corsj/or59-8/or59_8_435.pdf

ETTO原則入門 まとめ TAKIZAWA, Takashi 45

ETTO原則入門 まとめ ETTO原則により効率性と徹底性はトレードオフの関係にある 題材として次の例を示した ITシステムの運用における作業手順書作成の例を示し、効率性と徹底性 のバランスを考える必要があることを示す 根本原因分析の例を示し、根本原因分析を徹底的に行うのが難しいとい うことを示す TAKIZAWA, Takashi 46

ETTO原則入門 参考資料 The ETTO principle: Why things that go right sometimes go wrong. (Book) The ETTO Principle - Efficiency-Thoroughness Trade-Off Work-related ETTO rules Safety-IからSafety-IIへ―レジリエンス工学入門―（オペレーションズ・リ サーチ 2014年8月号） Safety-Ⅰ& Safety-Ⅱ ―安全マネジメントの過去と未来 Safety-IIの実践 ―レジリエンスポテンシャルを強化する TAKIZAWA, Takashi 47

• https://erikhollnagel.com/books/the-etto-principle-2009
• https://erikhollnagel.com/ideas/etto-principle/
• https://erikhollnagel.com/ideas/etto-principle/work-related-etto-rules.html
• https://orsj.org/wp-content/corsj/or59-8/or59_8_435.pdf
• https://www.kaibundo.jp/2015/11/72985/
• https://www.kaibundo.jp/2019/02/72986/