みずほ証券の誤発注事件は、便乗して稼いだ証券会社が儲け分を返還することで決着するようです。
この事件、人によって感想は様々でしょうが、おいらは「警告メッセージってやっぱり怖いな」というのが第一の感想でした。
警告メッセージをどんなときに出すか、これはプログラムを作るときにセンスが問われる箇所です。出すべき警告を出さないと、事故が起こることがある。かといって不必要に出しすぎると、警告が無視されるようになり、出さないのと同じことになってしまう。ここが難しいんです。
警告メッセージがオオカミ少年になってしまうんですね。
みずほの担当者が警告を無視して注文を発行してしまったのも、日頃から警告がよく出ていたから。ルーチンでOKボタンを押してしまったんでしょう。
でもなにも、警告の出過ぎが事故の原因になったのは今に始まったことじゃありません。たまに医療事故であるでしょう、人工呼吸器の管がはずれていたのに気付かず、患者さんが亡くなったり脳障害を受けたりというのが。
呼吸器とか心電図モニタって、すごく頻繁にアラームを鳴らします。生体を計測していると体動とかですぐにノイズが入るから。病棟ではアラーム音なんてBGMみたいなものなんです。
だから、ああいう医療事故があって、「アラーム音が鳴っていたのに無視された」という報道をみると「でも無理もないよなあ」とも思うわけ。
警告を十分に出し、かつ無視されない方法を考える必要があります。おいらが有効だと思っているのは警告レベルに段階を付けること。「いいのかな？」「まずいだろ」「あり得ません！」みたいに警告の強さを変え、表示方法と解除方法も変えるようにする。特に最大レベルの警告を解除するときには解除者と解除理由も入力しないといけないようにする、そういうのがいいんじゃないかと思っています。
今回の証券会社のシステムなんかだと、注文内容が統計的にどの程度「あり得る」かを算出するような機構も必要になるけどね。