事象/イベント
掲載:2015年04月23日
執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
用語集
「事象」はイベント(Event)とも呼ばれ、国際規格では次のとおりに定義されています。
ある一連の周辺状況の出現又は変化
Occurrence or change of a particular set of circumstances
(出典:Guide73 リスクマネジメント-用語 3.5.1.3より)
国際規格による定義
つまり「事象」とは、組織が注目すべき”事故および事故につながりうる現象全ての総称※”であり、現象の始まりから、それがもたらすコトの顛末までのすべてを含めて指す言葉です。したがって、事象が、ヒヤリハットなど未遂で終わった場合のみならず、事態(インシデント)や事故(アクシデント)に発展した場合をも含みます。
なお、「事象」の中でも、事故(アクシデント)のように、組織の目的に影響をもたらす結末※のことを、ISO規格などでは特に「結果(Consequence)」と呼んでいます。
※厳密には、悪い影響をもたらすもの(例:事故など)と、良い影響(例:思いがけない幸運など)をもたらすものがあり、「事象」や「結果」という言葉には、その両方が含まれます。
【参考:インシデントに対する認識が、日本と欧米では異なる!?】
日本ではインシデントとアクシデントを”同義のもの”として使用する傾向があります。ところが欧米では、やや異なる意味を持つ用語として扱うケースが多々見られます。実はISO規格でもこうした欧米の考え方を色濃く反映しています。ISO規格は、インシデント「事業中断(混乱),損失,非常事態,または危機である可能性のある,又はそれらを引き起こす可能性のある状況」(ISO22301:2012用語の定義より)と定義しています。すなわち、インシデントは、あくまでも深刻な事態を引き起こす“可能性”あるいは、深刻な事態を引き起こす一歩手前の状況を指しているのです。「深刻な事態が起きてしまった状況」をアクシデントと呼び、インシデントとは明確な使い分けをしています。日本では「結果的には同じようなものだろう」という理由で、アクシデントをも含めた意味でインシデントという言葉に統一して使ってらっしゃる組織も多いと思われます。 こうした背景に鑑みると、もし自らの組織がインシデントとアクシデントを同義で使っている場合には、先述した「結果(Consequence)」には、「アクシデント」のみならず「インシデント」をも含まれることになります。
リスクとの違い・関連性は?
リスクとは「目的に対する、”(事象におけるコトの顛末)結果”がもたらす影響およびその発生可能性」である
まとめると、全ての「リスク」は「(事象)における結果」から認識されるものだが、全ての「事象」が「リスク」として認識されるとは限らない・・・このように、違い・関係性を見いだすことができます。
規格要求事項において実際に「事象」が登場する場面
情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO27001の中で、実際に「事象」という言葉が用いられています。
情報セキュリティ事象は,適切な管理者への連絡経路を通して、できるだけ速やかに報告しなければならない。
(出典:ISO27001:2013 付属書A16.1.2より)