リスクマネジメントの手順
リスク評価シートの活用
「リスク評価シート」は、業務上の危険を特定し、
実効性のある対策(管理策)を立てるための羅針盤です。
リスク評価シートの位置付け
リスク評価シートは、資産とフローから得た情報を統合する「中心地」です。
評価されたリスクの内容によって、出口(対策の形)が異なります。
Core Evaluation
出口の使い分け:
- ● ICT継続計画: システム障害やクラウドサービスの停止など、「業務の停止」に直結する物理的・技術的リスクへの備えです。
- ● 独自の管理策: 誤操作、紛失、ルール違反など、「日々の運用の改善」が必要なリスクへの対策です。チェックリスト作成やマニュアル改訂などがこれにあたります。
活動の対象:2つのアプローチ
実際に発生してしまった事象。実害の有無にかかわらず、「起きてしまった事実」を対象とします。
幸い事故には至らなかったが、「一歩間違えれば危なかった」事象。放置すれば将来のミスに繋がります。
再リスクアセスメントの実施
情報セキュリティ事故・業務ミスが発生した場合に実施します。単に対策を打つだけでなく、「再リスクアセスメント」として、その資産のリスク値を再評価しなければなりません。
※反映結果は翌年の管理計画にも引き継がれます。
未然防止と品質向上
ヒヤリハットの蓄積や組織変更、新システムの導入など、「まだ起きていないが、課題が見えている」状態への取り組みです。
- ヒヤリハット情報の分析に基づく予防策
- 業務フロー刷新に伴う潜在リスクの特定
- チーム全体の生産性・安全性向上のための活動
★ 業務の効率化や品質向上に非常に有効な「攻め」のリスク管理です。
リスク低減活動の4ステップ
※前提として「最新の業務フロー」と「資産管理台帳」が整備されている必要があります。
リスクの転記
業務フローからリスク・番号を抽出
資産情報の転記
資産台帳から番号・資産名・重要度を抽出
シートへの記載
重要度・頻度からリスク値を算出
低減策の実施
対策の遂行とリスク再評価
業務フロー図から洗い出した「リスク内容」と、その「リスク番号」を、評価シートへ転記します。
| リスク(内容) | リスク番号 |
|---|---|
| DLデータの削除忘れ | R-01 |
| リスク番号 | 発生リスク | リスク発生頻度 |
|---|---|---|
| R-01 | DLデータの削除忘れ | 2 |
評価対象となる資産の「資産番号」「情報資産名」と、台帳であらかじめ評価した「重要度」を評価シートへ転記します。
| 資産番号 | 情報資産名 | 重要度 |
|---|---|---|
| A-00124 | CSIM_秋田音声データ | 4 |
| 資産番号 | 情報資産名 | 重要度 |
|---|---|---|
| A-00124 | CSIM_秋田音声データ | 4 |
STEP 01と02の情報を統合し、「すでに今実施している対策」を記載した上で、リスクの大きさを判定します。
| 管理項目 | リスク評価プロセス | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| リスク番号 | 情報資産名 | 資産番号 | 発生リスク | 重要度 | レベル | 発生頻度 | 実施している管理策 (現在実施済み) |
リスク値 | |
| R-01 | CSIM_秋田音声データ | A-00124 | DLデータの削除忘れ | 4 | 2 | 2 | 手順書による注意喚起 | 7 | |
STEP 3「管理策」と STEP 4「対応内容」の違い
STEP 3 : 実施している管理策
「すでに今、現場で動いている」対応内容です。過去に決めたルールや、現在標準的に行っている運用を記載します。
STEP 4 : 対応内容(是正策)
「STEP 3の現状対策では不足がある」と判断した場合に、新たに追加する改善策です。リスク値を下げるために、これから実行するアクションを指します。
現状の対策(STEP 03)だけではリスクを許容できない場合に、追加の是正策を講じます。
| 情報資産名 | 発生リスク | 対応内容(是正策) (不足分への追加対応) |
対応分類 | 対応目標日 | 対応完了日 | リスク再評価 |
|---|---|---|---|---|---|---|
| CSIM_秋田音声データ | DLデータの削除忘れ | 定期的(月1回)なフォルダチェックの自動化実施 | 低減 | 2024/7/1 | 2024/7/31 | 6 |
リスク評価シートに「新たな管理策を策定し実行している」と記載しているにもかかわらず、実際には運用が行われていない(形骸化している)場合、ISMS審査において不適合(重大)と判定されるリスクがあります。
「やること」として登録した対策は、必ず現場の運用ルール(マニュアルやチェックリスト)に落とし込み、実施記録を残す仕組みまで構築してください。
評価シート(記録)と実態(事実)が相違している状態は、客観的証拠に基づかない運用とみなされ、「不適合」となります。
リスク対策の4分類
低減(ていげん)
頻度や影響度を下げる
例:保管期間の過ぎた資産の削除、メール添付の廃止など
回避(かいひ)
要因そのものを取り除く
例:ノートPCの社外持出しを禁止にするなど
移転(いてん)
外部へリスクを転嫁する
例:損害補償保険への加入、情報管理の外注化など
保有(ほゆう)
リスクを受け入れる
注意:G責任者以上の承認が必須となります。
理解度チェック:フラッシュカード
カードをクリックして正解を確認しましょう。
リスク評価シートに転記する「発生リスク」は、どこから情報を得ますか?
業務フロー図の各工程の右側に洗い出された「リスク(失敗の例)」から情報を拾って転記します。
評価シートに記載する「重要度」は、どこから情報を得ますか?
あらかじめ評価・登録を完了させておいた「資産管理台帳」から、該当資産の数値を転記します。
評価シートに記載する「対応分類」の4種類をすべて挙げてください。
低減(ていげん)、回避(かいひ)、移転(いてん)、保有(ほゆう)の4種類です。
リスク対策の4分類のうち、「要因そのものを取り除く」のはどれ?
回避(かいひ)です。リスクが発生するシチュエーションそのものをなくす抜本的な対策を指します。
リスク低減活動が完了した後に、評価シート以外で更新・見直しすべきものは?
業務フロー上の「リスク発生頻度」および、資産管理台帳上の「資産評価値」を最新化(再点検)します。
対策完了後にシートへ入力する、状況再測定の結果を何と呼びますか?
「リスク再評価」の値と呼びます。この値が対策前に比べて低減していることが活動のゴールです。