ITパスポート試験 用語辞典
【Risk Management】
JIS Q 31000:2010「リスクマネジメント-原則及び指針」では、「リスクについて,組織を指揮統制するための調整された活動」と定義されている。
(Wikipedia リスクマネジメントより)
リスクマネジメント(risk management)とは、リスクを組織的に管理(マネジメント)し、損失などの回避または低減をはかるプロセスをいう。リスクマネジメントは、主にリスクアセスメントとリスク対応とから成る(JIS Q 31000 「リスクマネジメント―原則及び指針」による)。さらに、リスクアセスメントは、リスク特定、リスク分析、リスク評価から成る。リスクマネジメントは、各種の危険による不測の損害を最小の費用で効果的に処理するための経営管理手法である。
背景
近年、リスクマネジメントは経営上で脚光を浴びており、「コンプライアンスからリスクマネジメントの時代へ」とも言われている。背景には、次の要因があった。
- 2006年の会社法の施行により、株式会社では「損失の危険の管理に関する体制」を整備する必要ができた。
- 2008年度から日本版SOX法が施行され、財務においてリスク管理体制の整備が求められている。
どの会社でも、意思決定を行う際は、当然、リスクマネジメントを暗黙的に行っていたと思われるが、近年、リスクマネジメントに対する意識の高まりを受け、明示的に行われるようになった。民間企業では、例えば、環境リスクに特化したり、不正リスクに特化したりして、様々な種類のリスク因子を使って、より高度なリスクマネジメントを行うところが増えてきた。また、これに伴い、従来の危機管理部門を発展させ、リスクマネジメントに特化した専門部署を置くところも多くなってきた。
概要
リスクマネジメントとは、リスクを特定することから始まり、特定したリスクを分析して、発生頻度(発生確率、possibility)と影響度(ひどさ、severity)の観点から評価した後、発生頻度と影響度の積として求まるリスクレベルに応じて対策を講じる一連のプロセスをいう。また、リスクが実際に発生した際に、リスクによる被害を最小限に抑える活動を含む。
大まかなプロセス:リスク分析によりリスク因子を評価し、リスク管理パフォーマンスを測定し、改善する(例えば、リスクの発生頻度や、リスク顕在化による被害を最小化するための新たな対策を取る)。保険などのリスク共有によって、リスク顕在化に備えることもある。これらのプロセスはPDCAサイクルを採る。
リスク対応
リスク対応の種類には、リスクの回避、低減、共有、保有などがある。
- リスク共有
- リスクを他社と分割すること。リスクの転嫁、分散などがある。
- * リスク転嫁
- *: リスクが顕在化した場合の損失補償を準備すること。保険が掛けられる場合には、有効な対策の一つとなる。この場合、リスクを保険会社に転嫁(または移転)するともいう。
- リスク保有
- 対策を何もしないこと。リスクを受容するともいう。発生頻度が低く、損害も小さいリスクに対して用いる。
事例
リスクマネジメントの甘さが指摘される事例とその対処例。
- 社員管理の不徹底で顧客情報の漏洩が危惧される場合。
- :リシーの策定、組織への徹底。
- 大地震が想定される地域に、組織の重要な情報システム・意思決定機構が集中している場合。
- :リスク分散(国家で言えば首都機能分散)。ディザスタリカバリ対処の検討準備。
- 事故が予想される現場における、安全措置の不徹底。
- :現場安全マニュアルの策定・遵守。
- 緊急事態において、迅速な情報伝達・意思決定を行なう機構と訓練が不足している場合。
- :緊急事態における迅速な対処および対処責任者の明確化、訓練の徹底。
- :緊急事態対処訓練。身近な例では避難訓練などがある。
- 製造業におけるリコール発生時の事前のマスコミ対策。
- :常日頃から大量に広告を打ちマスコミが自主的に報道しないよう誘導する。
- :改善後の品質向上を大きく取り扱ってもらう。
よい例:ジャパネットたかた個人情報漏洩事件。悪い例:雪印集団食中毒事件。
出題例
- 移転
- 回避
- 低減
- 保有
正解
- リスクマネジメント
- リスクアセスメント
- リスク対応
- 情報セキュリティポリシ
- 機密性
- 完全性
- 可用性
- 真正性
- 責任追跡性
- 否認防止
- 信頼性
- プライバシーマーク制度
- プライバシーポリシ
- サイバー保険
- 情報セキュリティ委員会
- CSIRT
- SOC
- コンピュータ不正アクセス届出制度
- コンピュータウイルス届出制度
- ソフトウェア等の脆弱性関連情報に関する届出制度
- J-CSIP
- J-CRAT
- SECURITY ACTION
- 基礎理論(23)
- アルゴリズムとプログラミング(27)
- コンピュータ構成要素(32)
- システム構成要素(29)
- ソフトウェア(17)
- ハードウェア(14)
- 情報デザイン(21)
- 情報メディア(28)
- データベース(19)
- ネットワーク(71)
- セキュリティ(121)
このページのWikipediaよりの記事は、ウィキペディアの「リスクマネジメント」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。