ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

リスク分析の「低減・共有・回避」とは?それぞれの定義と使い分けを教えてください。

公開日:2019/11/19
Pマークサンプル文書集.  1,401 views
※本記事は、ISM Web store が作成・検証したものです。

リスク分析という欄へ記載する項目として「低減、共有、回避」の3種があると記載されています。

この3つの項目のそれぞれの使い方がよく分かりません。
また表のどの部分に対して「低減、共有、回避」なのでしょうか。

補足解説いただけると助かります。

これらは「現状のリスクが許容できない場合に、どの方向性で対策を打つか」を決めるための分類となります。

サンプル文書の「PMSリスクマネジメント規程」の「7 リスクへの対応」に従い、実施されるリスクマネジメントの様式「リスクグループ分析対策表」への記載事項になります。

リスクアセスメントの実務において、抽出したリスクにどのような対策を割り当てるべきか、その判断基準について回答申し上げます。

1. リスク対応の4つの基本分類

抽出したリスクに対して、組織としてどのような態度をとるかを決定します。
実務上、リスクへの向き合い方は大きく以下の4つ(回避・低減・共有・保有)に分類されます。

  • 回避:
    リスクの原因となる活動を停止する(例:情報の持ち出しを禁止する)。
  • 低減:
    リスクの発生確率や影響度を下げる(例:マニュアル整備、バックアップ作成、データの暗号化)。
  • 共有・移転:
    他社とリスクを分担する(例:サイバー保険への加入、専門業者への業務委託)。
  • 保有・受容:
    リスクを認識した上で、追加対策をせず現状を許容する。(例:リスク評価値が設定した受容レベル(例:スコア12未満)を下回っている場合、現状維持とする。)

2. 「リスクグループ分析対策表」のどこに記載するか

ご質問の項目は、表内の「リスク対応(または対応策の選択)」という欄に記載します。

リスク分析のプロセスでは、特定したリスクに対して「現状の対策で十分か」を評価します。評価の結果、「受容レベル(許容できる範囲)を超えている」と判断されたリスクに対し、そのリスク値を下げるための「次の一手」として選択するのが、これらの対応項目です。

具体的には、特定したリスクに対して現在の管理状況を確認し、それでも残る「残留リスク」に対して、「これ以上下げるために低減を図るのか」「保険で共有するのか」といった組織としての意思決定を記載する箇所になります。

決定した分類に従い、「リスクグループ分析対策表」の「対策(実施すべき対策・対応)」および「リスク対応計画(対策・対応の実施計画)」の欄に記載することになります。

3. ISO31000に基づく7つの選択肢

最新のPマーク規格(JIS Q 15001:2023)では、リスク対応の考え方が国際標準であるISO 31000(JIS Q 31000)と整合するよう定義されています。これにより、従来よりも柔軟かつ戦略的なリスク管理が可能となっています。

これは、サイバー攻撃や国際情勢、ESG(環境・社会・ガバナンス)など、リスクが多様化し、従来の「回避・低減・移転・受容」という4つの単純な分類では対応しきれなくなったためです。

最新のサンプル文書では、JIS Q 15001:2023が推奨する国際標準(ISO 31000)に基づき、以下の7つの視点からリスクへの対処を検討するようになっています。

  • リスクの回避:(4つの選択肢「回避」と同じ)
    リスクの高い活動を中止する(例:USBメモリの利用廃止、高リスク事業からの撤退)。
  • リスクを取る・増加させる:
    戦略的な目的のためにあえてリスクを取る(例:新規事業への投資)。
  • リスク源の除去:
    リスクの根本原因を取り除く(例:業務自動化による人為的ミスの防止)。
  • 起こり易さを変える:(4つの選択肢「低減」を細分化)
    発生頻度を下げる(例:ダブルチェックの導入、マニュアルの策定)。
  • 結果を変える:(4つの選択肢「低減」を細分化)
    影響度を減らす(例:データの暗号化、バックアップの取得)。
  • リスクの共有:(4つの選択肢「共有・移転」と同じ)
    他者と分担する(例:サイバー保険への加入、専門業者への委託)。
  • リスクの保有:(4つの選択肢「保有・移転」と同じ)
    現状で許容する(例:リスク値が低いため、追加対策なしで運用する)。

先の4つの選択肢に、さらに詳細な選択肢(リスク源の除去、リスクを取る・増加させる等)が設けられているのは、以下のような理由です。

  • 「リスク源の除去」と「低減」の違い:
    例えば「モチベーション低下によるミス」というリスクに対し、教育(低減)ではなく、原因となる過重労働を解消する(源の除去)といった、より根本的な解決を図る考え方です。
  • 「リスクを取る・増加させる」の活用:
    新製品開発などのポジティブリスク(機会)において、あえてリスクを承知で投資を加速させる判断も、現代のリスクマネジメントには含まれます。

必ずしも、サンプル文書に規定している7つの選択肢を使う必要はありません。組織の使いやすい(分かりやすい)選択肢をお選びください。

3. 運用のポイント

様式番号(例:PMS-B02-XX)は「PMS-B02 リスクマネジメント規程」と紐付いています。まずは規程内の「4.1 リスク分析」をご一読ください。分析手法の根拠が明確になり、よりスムーズな運用が可能となります。

4. 実務的な使い分け

分析表を作成する際は、まず「起こり易さ」や「結果」(4つの分類であれば「低減」)を変えることでリスクを低減できないか検討してください。
それでもリスクが受容レベルまで下がらない場合、または対策コストが見合わない場合に、「回避」や「共有」を検討するというのが、実務的かつ審査上も評価されやすい論理展開です。

詳細は「PMSリスクマネジメント規程」に記載されております。各文書番号は「COM-B01 文書管理規程」に基づき体系化されていますので、関連付けてご確認いただけますと幸いです。

プライバシーマーク サンプル文書集

文書づくりにお困りなら『プライバシーマークサンプル文書集』

プライバシーマークサンプル文書集は、プライバシーマーク取得に必要なマニュアルおよび規程書、様式を具体的に示したサンプル文書集です。プライバシーマーク制度の審査基準への対応はもちろん、JISQ15001要求事項へ対応した作りとなっています。

詳しくはこちら

ISM Web store

執筆・監修: カスタマーサポート

ISMS、プライバシーマーク、ISO9001の取得・運用支援において、25年以上のコンサルティング実績を持つ専門チームが執筆しています。現場での指導経験と、数多くの審査対応ノウハウを凝縮して制作した文書・教育用テキストを販売しています。ご購入の有無にかかわらず、無料メールサポートにて専門家が直接お答えします。


プライバシーマーク サンプル文書集
プライバシーマーク サンプル文書集【更新情報】(2017.09.14 以前のもの)
2017/09/04 Pマークサンプル文書集,商品の更新情報 9,486 views
プライバシーマーク サンプル文書集
「力量認定要件表」の「必要力量」に、スタート時ではどのように記載すればよいか。
2020/06/30 Pマークサンプル文書集 5,512 views
プライバシーマーク サンプル文書集
苦情・相談窓口の設置(担当含)・責任者の任命は誰が行うのか。
2020/03/17 Pマークサンプル文書集 3,555 views
ISMSサンプル文書集
重要資産の基準「資産価値≧4」は規格の決まり?可用性が含まれない理由とは?
2019/10/29 ISMSサンプル文書集 2,305 views
ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

詳しくはこちら

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

詳しくはこちら

対訳ISO9001:2015品質マネジメントの国際規格

対訳ISO9001:2015品質マネジメントの国際規格

詳しくはこちら