リスクアセスメントの見直し

リスクアセスメントとは、単純和訳するとリスクの分析であり、リスクマネジメントの一部です。リスクアセスメント＋アセスメント結果をふまえたリスク対応がリスクマネジメントの基本概念とお考えください。リスクアセスメントは、適切なリスク対応をするために必須の準備です。

ISO27001におけるリスクアセスメントの要求は、おおまかに（細かい要求は別として）以下の2点です。

1. リスクを特定、分析、評価するための手順、基準を設けること
2. リスクを特定し分析、評価すること

つまり、リスクアセスメントに特定の手法を要求しているというわけではありません。

リスクアセスメントの手法によって、ISMSの運用負荷は大きく変動します。すなわち、運用負荷を下げるためには、リスクアセスメント手法を見直すことが近道です。

審査を受け続けていると、「この手法では新たなリスクを特定するのは難しいのでは？」といったような指摘が出てくることがあります。新たなリスクを特定しにくい手法もありますので、工夫が必要です。

リスクアセスメントの負荷や限界を軽減する方法

リスクアセスメントの手法には、行き詰まりやすい手法と、変化をつけやすい手法があります。手法によって、ISMSの運用負荷を低く抑えることもできますし、リスク特定の限界も解消することができます。

当社には、ISO27001更新時にリスクアセスメントで行き詰まった会社様からご相談を受けることがありますが、その場合には、リスクアセスメントの手法そのものを変える提案をさせていただくことがございます。

リスク対応について

リスク対応とは、リスクアセスメントの結果に基づいたリスクの取り扱いのことです。

一般的にはリスクを低減することがリスクへの対応と考えられることが多いですが、それが全てではありません。

リスクは無くなることに越したことはありませんが、リスクを軽減することと、事業経営での効率化などのメリットは、相反することがあります。単純な例を挙げると、メールにファイルを添付して送る際にパスワードを設定すると、送り先を誤った際に開封されるリスクが低減されますが、単純にパスワードを設定する手間がかかったり、設定したパスワードを管理する手間がかかります。

この例のように、リスクを受け入れて手間を省くメリットを取るという選択肢もあります。会社経営では、様々な場面でリスクを受容しているはずです。

また、上記のリスクの低減、受け入れ（受容）以外にもリスク対応は存在するので、まずは複数のリスク対応が存在することをご認識ください。