リスク(Risk)の定義はさまざまに行われており、どの定義を採用するか自体
で論点が変わってきますが、今回は経済活動をしている企業・団体等の事業運
営上で問題となってくるような一般に使われている意味でのリスクを対象に考
えることとします。この場合、重要なことは、リスク管理(Risk Management)を
如何に行っているかという点に思われます。
これまでの原稿では、ISOマネジメントシステムを主に取扱ってきましたので
今回もその路線で話を進めます。そうと決めれば、リスク管理の標準として
ISO31000がありますが、今回はこれには触れません。このコラムで取上げてき
た情報セキュリティマネジメントシステム(ISMS:ISO27001)や個人情報保護マ
ネジメントシステム(PMS:JIS Q 15001)、或いは事業継続マネジメントシステ
ム(BCMS:ISO22301)におけるリスク管理について考えてみたいと思います。
言うまでもなく、ISMSでは情報セキュリティを維持できない場合のリスクを
対象に、PMSでは個人情報の保護を維持できない場合のリスクを対象に、BCMSで
は事業中断におけるリスクを対象にして、それぞれに対策を講じることを要求
し、そのPDCAサイクルの定着振りを問題にします。
一般的なリスク管理の考え方は、次のようなものです。
A.リスクの発生可能性を判断する。
B.リスクが発生した際に受ける損害の大きさを判定する。
C.例えば、Aを縦軸にとり、Bを横軸に取ったときに、個々のリスクがどの辺
に位置するかを評価判定して、対策の方針を決める。
D.その結果、A=少、B=小なら、リスク保有と称して何もしない。
A=少、B=大なら、リスク移転と称して損害を他社に転嫁することを考え
る。外注委託するか、保険を掛けるとかで被害を逃れる。
A=大、B=大なら、リスク回避と称して、その業務をしないことにする。
A<大、B<=中なら、適切なリスクの低減策を適用して管理する。
しかし、上記3規格では、対象がそれぞれ異なりますから、リスクに関する
考え方や講じる対策に関する考え方に違いが存在します。
ISMSでは、個々のリスクの評価(Risk Assessment)を求めています。具体的に
は、機密性、完全性、可用性の観点から情報資産の価値評価を行い、脅威と脆
弱性の観点からリスク分析を行い、これを総合してリスクの大きさを算出して
対策を講じるかどうか等を決めていきます。上に記載した一般的なリスク管理
の手法が概ね適用できます。
一方、PMSではリスクの評価を求めていません。リスクを分析して対策を講じ
残存リスクまでを認識するという、リスク分析(Risk Analysis)のみを要求して
います。これは、取扱う対象が個人情報と言うセンシティブな性格のものであ
り、ISMSのようにアッサリと経済合理性のみで処理できないからとも言えます。
10万件の個人情報が漏えいすれば大事故ですが、1,000件の個人情報を漏えいし
た場合は問題はないのか、どちらも当該組織に対する社会的な信用失墜が等し
く影響することを考えれば納得できると思います。この点で、上記の一般的な
リスク管理手法は適用できないことが分かります。
また、BCMSにおいては事業中断による組織や事業経営への影響度合いを通し
て個々のリスクに対する対策を検討するわけですが、この場合、現実の財務状
況等から対策を先延ばししなければならないケースや、事業遂行上で必須の自
社業務のため一般的なリスクの移転や回避を選択できないケースがあります。
これも同様に、上記の一般的なリスク管理手法を適用できないことがあるわけ
です。
マクロ的に言えば、21世紀の昨今は地球環境の変化やグローバリゼーション
による経済社会的なリスクが高まっています。アジアの時代を迎えて、カント
リーリスク(特に政治リスク)も高まっています。加えて、国内のほとんどの市
場は飽和している状態です。中小企業にとっては、かなり厳しい経営環境にな
っていますので、経営リスクの観点からリスクを認識して、自社の経営戦略の
中に適切な対策を反映しておきたいものです。
------------------------------------------------------------------------
■執筆者プロフィール
中村久吉(なかむらひさよし)
ITコーディネータ、ISO27001主任審査員
中小企業診断士、プライバシーマーク主任審査員
コメントをお書きください
Damon Trueblood (月曜日, 23 1月 2017 14:38)
Wow, fantastic blog layout! How long have you been blogging for? you made blogging look easy. The overall look of your web site is fantastic, let alone the content!
Connie Avans (月曜日, 23 1月 2017 14:41)
After looking over a few of the blog posts on your web site, I truly like your way of writing a blog. I saved as a favorite it to my bookmark site list and will be checking back in the near future. Please visit my website as well and tell me how you feel.
Helena Ferrer (月曜日, 23 1月 2017 14:49)
As the admin of this web page is working, no hesitation very soon it will be well-known, due to its feature contents.
Marchelle Steve (月曜日, 23 1月 2017 14:50)
I visited several blogs except the audio quality for audio songs existing at this site is genuinely superb.
Clint Isaac (月曜日, 23 1月 2017 14:52)
Thanks for one's marvelous posting! I definitely enjoyed reading it, you're a great author. I will ensure that I bookmark your blog and definitely will come back from now on. I want to encourage continue your great writing, have a nice morning!
Spencer Mclane (月曜日, 23 1月 2017 14:54)
You should take part in a contest for one of the best websites on the web. I'm going to recommend this blog!
Madison Blanton (月曜日, 23 1月 2017 14:59)
I am now not sure where you're getting your information, however great topic. I must spend a while finding out more or working out more. Thanks for excellent information I used to be searching for this info for my mission.
Lindsey Napoli (月曜日, 23 1月 2017 15:02)
Hello there! This post couldn't be written any better! Reading this post reminds me of my old room mate! He always kept talking about this. I will forward this post to him. Fairly certain he will have a good read. Many thanks for sharing!
Hiram Gorgone (月曜日, 23 1月 2017 15:06)
WOW just what I was looking for. Came here by searching for %keyword%
Yuki Heins (月曜日, 23 1月 2017 15:07)
What's up Dear, are you in fact visiting this web page daily, if so then you will without doubt get pleasant knowledge.