リスク対応の手段
リスク分析によって得られた結果 (潜在的なリスク) を顕在化させないために、リスク回避、リスク低減 (最適化)、リスク移転、リスク保有などの手段が講じられる。これらを総称してリスク対応とよぶ。また、リスク回避とリスク低減はリスクコントロールともよばれる。リスク対応で重要なことは、リスクアセスメントの結果を確実に反映させることである。
リスク回避
リスク因子を排除してしまう措置がとられる。リスク因子をもつことによって得られるプロフィット (利益)に対して、リスクの方が大きすぎる場合などに採用される。例えば、Webサイトの運営を行うことでホームページ改ざんのリスク因子が発生している場合は、 Webサイトの運用をやめてしまう、というケースである。
リスク低減 (最適化)
リスクによる被害の発生を予防する措置をとったり、仮にリスクが顕在化してしまったりした場合でも被害を最小化するための措置である。バックアップの取得やアクセスコントロールの実施など、一般的にセキュリティ対策とよばれている行為が該当する。
リスク移転
業務運営上のリスクを他社に転嫁することでリスクに対応する方法である。リスクに対して保険をかける、リスク因子の業務をアウトソーシングするなどの手法がある。
リスク保有
リスクが受容水準内に収まる場合や、軽微なリスクで、対応コストの方が損失コストより大きくなる場合、あるいはリスクが大きすぎてどうしようもない場合 (戦争など)にはリスクをそのままにするケースが考えられる。意思決定のもとにリスクを保有するのは立派なリスク対応である。 リスクに気づかずに放置するケースとの違いに注意しよう。
リスク対応の選択
リスク対応には大きく分けて以上の4つの類型があるが、これを漫然と選択するわけではなく、あるリスクに対して最適な対応を考える必要がある。 その際、一つの目安として利用できるのが次の図である。
これは発生頻度も高く、その被害額も大きいリスクであれば回避する。 その逆であればリスク保有を選択する、ということを表している。 それぞれの選択肢の境界は確ではないが、覚えておくと役に立つだろう。 もちろん、これは大まかな目安であり企業ごとのポリシーによっても選択するリスク対応方法は変化する。
リスク対応のポイント
リスク対応を行ったことよって生じる問題にも対処しなければならない。
新たなリスクの発生
リスクに対応するということは、新たな業務手順が発生することでもある。そのことにより、 新しいリスクが発生する場合があるので注意が必要である。
例えば、入退室管理を実施するために入退室管理台帳を作成したら、入退室管理台帳の紛失リスクが発生した、などのケースである。
このようにリスク対応のプロセスにおいて発生した新 たなリスクを評価し忘れないようにすることが重要である。
業務継続性の視点
リスク対応を決定する場合は、 業務継続性の視点を取り入れることが最近のトレンドになっている。企業の多国籍展開や、ITによる経営の加速化が進んでいる現在、例えば、戦争やテロ、大規模災害などによる予測不可能な事象でも対応しなければならない場合がある。 それに対して迅速に業務が復旧できなかった企業は倒産などに至った事例が数多くある。そこで、従来は回避したり、保有したりしていた希有なリスクにもバックアッブセンタの開設などで対応する場合が増加している。こうしたバックアップセンターは中小企業にはコスト負担が大きくなるが、IDC(Internet Data Center)などの発展により徐々に導入が進んでいる。
(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社
コメント