DX時代の情報資産管理ポータルサイト

当サイトについて 運営会社 サイトマップ
カテゴリ
タグ
  1. TOP
  2. 電子文書管理の基礎知識
  3. リスクへの対応(Risk Treatment)
電子文書管理の基礎知識

リスクへの対応(Risk Treatment)

リスクマネジメント 電子文書 ISMS 情報セキュリティ 情報資産管理 情報セキュリティ対策
  • シェア
  • LINEで送る
  • このエントリーをはてなブックマークに追加
2026/01/05
リスクへの対応(Risk Treatment)
「リスク対応」では、リスク評価の作業で明確になったリスクに対して、どのような対応を、いつまでに行うかを明確にします。対応方法は大きく分けて、「リスク許容」、「リスク低減」、「リスク移転」、「リスク回避」の4通りがあり、リスクの大きさや影響度により選択します。

目次

リスク許容

「リスク許容」とは、リスク評価の結果、存在するリスクのうち影響の少ないものを許容することです。リスクを許容した場合、そのリスクについてそれ以上の管理策を講じないことも考えられます。

例えば、被害額や情報資産の価値が、対策にかかるコストと比較して低い、リスクの影響が小さい、現状において実施すべき管理策が見当たらない場合などは、許容を考慮します。
資産価値が最大の「4」であれば、発生頻度「2」の脅威に対してレベル「1」の強固な対策を講じる。(資産価値4×脅威2×脆弱性1=8)を許容可能なリスク値とすると、以下のマトリクスでのリスク値が「8」以下のものについては、現状の管理を許容し「残余リスク」として管理することになります。

資産価値 脅威(発生の頻度)
1 2 3
脆弱性
1 2 3 1 2 3 1 2 3
1 1 2 3 2 4 6 3 6 9
2 2 4 6 4 8 12 6 12 18
3 3 6 9 6 12 18 9 18 27
4 4 8 12 8 16 24 12 24 36

リスク低減

「リスク低減」とは、適切な管理策を講じることで、リスクの発生頻度や損害額を減少させることです。リスクへの対応で最も多く採用される方法です。

リスク評価の結果、リスク値が許容水準以上のものについては、可能な限りリスクを低減するよう、管理策の適用を検討します。

現実的には、リスクの完全な除去は不可能です。多くの場合、利便性の確保や対策に要する費用と効果の比較により、顕在化した時のリスクを「リスク許容」の水準に留められるように、対策を実施します。
例えば、ノートパソコンの紛失、盗難、情報漏えいなどに備えて保存する情報を暗号化しておく、サーバー室に不正侵入できないようにバイオメトリック認証技術を利用した入退室管理を行う、従業員に対する情報セキュリティ教育を実施する、誤操作や内部犯行を防止するために管理者を増やす、地震に備えてデータを地理的に分散して保管する、などの対策があります。

リスク移転

リスク移転とは、契約などによってリスクを他者(他社)に移すことです。ホスティングサービス会社や保険会社と契約することで、被害発生時の損失補てんや責任を外部に移転します。リスクを移転する方法は、大別すると2種類あります。

ISMS認証基準の管理策を適用できない場合や、適用してもリスク値が許容水準以上の場合に、リスク移転を検討します。

アウトソーシングの例

社内の情報資産を外部のデータセンターに預けるコロケーションサービスの利用や、運用を委託するといった方法があります。一般に、データセンター、インターネットサービスプロバイダー、アプリケーションサービスプロバイダー、マネジメントサービスプロバイダーといわれている事業者が、このようなリスクの移転先となります。

また、移転したリスクを明確にするために、情報セキュリティ対策に関する事項を契約書に織り込むことが重要です。

リスクファイナンスとして保険を採用する例

「地震などの不可避な脅威については、事業に与える影響は大きいが、比較的発生する可能性が低いので保険の利用を検討する」などが相当します。今日では、情報システム障害に対応するための保険が販売されています。例えば、顕在化したリスクの影響から復旧するために必要な費用や機器の買い替え費用が、保険により支払われます。

移転による対策の注意点

ホームページの作成や運用を外部に委託すれば、自社のセキュリティ対策は軽減できます。ウイルス被害や情報漏えいを対象とした保険に加入すれば、万が一リスクが発生しても、対応費用は保険会社が負担してくれます。
しかし、不正アクセスなどにより情報漏えいが発生したり、顧客に提供するサービスが停止したりした場合、信用の失墜は免れません。管理労力や金銭的なリスクは移転できても管理責任を移転する方法はありません。

リスク回避

リスク回避とは、脅威発生の要因を停止、あるいは全く別の方法に変更することにより、リスクが発生する可能性を取り去ることです。

例えば、業務プロセスAのリスク値が大きい場合、業務プロセスAを廃止すれば、業務プロセスAに関わるリスクは完全に除去したことになります。ネット経由でのウイルス感染や情報漏えいのリスクが大きい場合、インターネットの利用自体を取りやめればリスクをなくすことができます。

リスク管理上は、ISMS認証基準の管理策を適用できない場合や、適用してもリスク値が許容水準以上の場合、あるいはリスク移転ができない場合に、業務を廃止したり資産を廃棄したりするといったリスク回避を検討する必要があります。

リスク回避は、資産の価値よりも被害予測が極めて高い場合に選択する、究極の対応といえます。

まとめ

企業で適切な情報セキュリティ管理を実施するためには、ただ漠然とセキュリティシステムを導入するだけでなく、リスクアセスメントとリスク対応を最初に行うことが大切です。リスクアセスメントとリスク対応を事前に行うことで、保護しなければならない情報資産が明確になるため、セキュリティ対策への過剰投資を防ぎ、投資の適切な配分が可能となります。

日本レコードマネジメントでは、電子文書管理の専門知識と豊富な経験を活かし、お客様のニーズに合った電子文書管理の体制を構築、提供いたします。お気軽にお問い合わせください。

本記事は、当社広報室にて発信しています。

関連キーワード

リスクマネジメント 電子文書 ISMS 情報セキュリティ 情報資産管理 情報セキュリティ対策
電子文書管理の基礎知識

関連記事

 

おすすめ記事  

もっと見る

 

タグ

もっと見る