リスクを洗い出し、その大きさを分析・評価する一連の活動。
リスクアセスメントとは、組織にとっての危険(リスク)を洗い出し、その大きさを分析・評価する一連の活動です。「どんな危険があり、どれにどれくらい注意すべきか」を整理するための作業だと考えると分かりやすいです。
身近な例で考えると、引っ越し前の家の点検に似ています。「雨漏りしそうな箇所はどこか」を見つけ(特定)、「もし漏れたらどれくらい困るか」を見積もり(分析)、「最優先で直すべき箇所はどこか」を判断する(評価)──この流れがリスクアセスメントです。
ポイントは、対策そのものではなく「どこに危険があり、どれが重大か」を見極める段階だということです。上の図解にあるとおり、特定・分析・評価の3ステップで進み、この後に実際の対策(リスク対応)へつなげます。
リスクアセスメントは、次の3つのステップを順番に進めます。
・① リスク特定:守るべき情報資産にどんな危険があるかを洗い出す段階。例「ノートPCの紛失」「不正アクセス」など、可能性を漏れなく挙げる
・② リスク分析:洗い出した危険それぞれについて、リスク = 発生確率 × 影響度 の考え方で大きさを見積もる段階
・③ リスク評価:分析した大きさを、あらかじめ決めた基準(許容できる水準)と比べ、どれから対応すべきかの優先順位を決める段階
順序が大切で、必ず「特定→分析→評価」の順に進みます。何があるかを洗い出さなければ大きさは測れず、大きさが分からなければ優先順位もつけられないからです。発生確率 × 影響度で測ると、「めったに起きないが起きたら致命的」「よく起きるが影響は小さい」といったタイプの違う危険も同じものさしで比較できます。
リスクアセスメントは、それ単体で完結するものではなく、リスクマネジメント(リスクを管理する活動全体)の一部です。リスクマネジメントは大きく「アセスメント」と「対応」に分かれます。
・リスクアセスメント:危険を特定・分析・評価し、「どれが重大か」を見極める前半部分
・リスク対応:評価結果をもとに実際に手を打つ後半部分。リスク回避・リスク低減・リスク移転・リスク受容の4つから選ぶ
病院の流れに例えると、診断(アセスメント)と治療(対応)の関係です。まず検査で何がどれだけ悪いかを調べ、その結果に応じて治療方針を決めます。リスクアセスメントで優先順位がはっきりするからこそ、限られた予算や人手を本当に重大なリスクへ集中できるのです。
リスクアセスメントで優先順位がついたあと、各リスクへの対応方針を決めます。対応は大きく4種類あります。
・リスク回避:そのリスクが生じる活動自体をやめる。例:インターネット公開をやめてイントラネット(社内だけのネットワーク)に限定する
・リスク低減(=リスク軽減):対策を施してリスクの発生確率や影響度を小さくする。例:ファイアウォール(=不正な通信を遮断する仕組み)を導入する
・リスク移転(=リスク共有):損害が出たときに別の組織が負担するよう備える。例:情報漏えい保険に加入して損害賠償の一部を保険会社に移す
・リスク受容(=リスク保有):リスクが小さい、または対策費用が損害より大きい場合に、あえてそのまま受け入れる
なぜ4択があるのか。すべてのリスクに同じ手を打つのは現実的ではありません。リスクの大きさ・対策コスト・業務への影響を比べて、最もバランスの良い対応を選ぶことが大切です。身近な例で言えば、自転車の盗難リスクに対し、「自転車をやめる(回避)」「鍵をかける(低減)」「盗難保険に入る(移転)」「安い自転車なので気にしない(受容)」の4択があるのと同じ考え方です。
リスク分析では、リスクの大きさ=発生確率 × 影響度という考え方を使います。発生確率(=どれくらいの頻度で起きるか)と影響度(=起きたときにどれくらい困るか)の2軸で、リスクを位置づけます。
上の表(リスクマトリクス=2軸で整理した表)を見ると、リスクを4つのパターンに分けられます。
・確率高・影響高:最優先で対応すべき最も危険なリスク
・確率低・影響高:めったに起きないが起きると致命的。保険や回避策が有効
・確率高・影響低:頻繁に起きるが被害は小さい。コストを抑えた低減策が合う
・確率低・影響低:今すぐ対応しなくてよい低優先リスク
なぜ掛け算なのか。たとえば「確率1(低)× 影響度10(高)=10」と「確率5(中)× 影響度2(低)=10」は同じ大きさになります。このように異なる種類の危険を同じ数値で並べて比較できるのが掛け算の利点です。足し算では「よく起きる・大きな影響」を過小評価しやすいため、掛け算を使います。