リスク(Risk)の定義はさまざまに行われており、どの定義を採用するか自体で論点が変わってきますが、今回は経済活動をしている企業・団体等の事業運営上で問題となってくるような一般に使われている意味でのリスクを対象に考えることとします。この場合、重要なことは、リスク管理(Risk Management)を如何に行っているかという点に思われます。
これまでの原稿では、ISOマネジメントシステムを主に取扱ってきましたので今回もその路線で話を進めます。そうと決めれば、リスク管理の標準としてISO31000がありますが、今回はこれには触れません。このコラムで取上げてきた情報セキュリティマネジメントシステム(ISMS:ISO27001)や個人情報保護マネジメントシステム(PMS:JIS Q 15001)、或いは事業継続マネジメントシステム(BCMS:ISO22301)におけるリスク管理について考えてみたいと思います。
言うまでもなく、ISMSでは情報セキュリティを維持できない場合のリスクを対象に、PMSでは個人情報の保護を維持できない場合のリスクを対象に、BCMSでは事業中断におけるリスクを対象にして、それぞれに対策を講じることを要求し、そのPDCAサイクルの定着振りを問題にします。
一般的なリスク管理の考え方は、次のようなものです。
A.リスクの発生可能性を判断する。
B.リスクが発生した際に受ける損害の大きさを判定する。
C.例えば、Aを縦軸にとり、Bを横軸に取ったときに、個々のリスクがどの辺に位置するかを評価判定して、対策の方針を決める。
D.その結果、A=少、B=小なら、リスク保有と称して何もしない。
A=少、B=大なら、リスク移転と称して損害を他社に転嫁することを考える。外注委託するか、保険を掛けるとかで被害を逃れる。
A=大、B=大なら、リスク回避と称して、その業務をしないことにする。
A<大、B<=中なら、適切なリスクの低減策を適用して管理する。
しかし、上記3規格では、対象がそれぞれ異なりますから、リスクに関する考え方や講じる対策に関する考え方に違いが存在します。
ISMSでは、個々のリスクの評価(Risk Assessment)を求めています。具体的には、機密性、完全性、可用性の観点から情報資産の価値評価を行い、脅威と脆弱性の観点からリスク分析を行い、これを総合してリスクの大きさを算出して対策を講じるかどうか等を決めていきます。上に記載した一般的なリスク管理の手法が概ね適用できます。
一方、PMSではリスクの評価を求めていません。リスクを分析して対策を講じ残存リスクまでを認識するという、リスク分析(Risk Analysis)のみを要求しています。これは、取扱う対象が個人情報と言うセンシティブな性格のものであり、ISMSのようにアッサリと経済合理性のみで処理できないからとも言えます。
10万件の個人情報が漏えいすれば大事故ですが、1,000件の個人情報を漏えいした場合は問題はないのか、どちらも当該組織に対する社会的な信用失墜が等しく影響することを考えれば納得できると思います。この点で、上記の一般的なリスク管理手法は適用できないことが分かります。
また、BCMSにおいては事業中断による組織や事業経営への影響度合いを通して個々のリスクに対する対策を検討するわけですが、この場合、現実の財務状況等から対策を先延ばししなければならないケースや、事業遂行上で必須の自社業務のため一般的なリスクの移転や回避を選択できないケースがあります。
これも同様に、上記の一般的なリスク管理手法を適用できないことがあるわけです。
マクロ的に言えば、21世紀の昨今は地球環境の変化やグローバリゼーションによる経済社会的なリスクが高まっています。アジアの時代を迎えて、カントリーリスク(特に政治リスク)も高まっています。加えて、国内のほとんどの市場は飽和している状態です。中小企業にとっては、かなり厳しい経営環境になっていますので、経営リスクの観点からリスクを認識して、自社の経営戦略の中に適切な対策を反映しておきたいものです。
————————————————————————
■執筆者プロフィール
中村久吉(なかむらひさよし)
ITコーディネータ、ISO27001主任審査員
中小企業診断士、プライバシーマーク主任審査員
