リスク管理Naviリスクマネジメントの情報サイト

固有リスク/残留リスク

掲載:2014年10月04日

改訂:2021年11月18日

改訂者:シニアコンサルタント 日下 茜

用語集

リスクの大きさは、対策を打つ前と後では異なります。平たく言うと、対策を打つ前のリスクの大きさが「固有リスク」で、対策を打った後でも残るリスクの大きさが「残留リスク」です。

         

固有リスクとは?

固有リスクとは、対策を導入していない状態のリスクの大きさを言います。「対策を導入していない状態」とは、大きく2つの考え方があり、「何の対策も導入していない状態(まっさらな状態)」と捉える場合と、「現状の対策以外の追加対策を導入しない状態」と捉える場合があります。どちらの定義を採用するかは組織の判断で決められます。

工場などの火災リスクを例にとって考えてみます。消防法などで消防計画の策定や消火設備の設置などが求められているため、どの組織もそれらを遵守しているでしょう。「まっさらな状態」とは、これらの対策を整備する前の状態を指します。一方、「現状の対策以外の追加対策を導入しない状態」とは、既存の対策、すなわち消防計画や消火設備は織り込んだ上で、それ以外の対策を打たない状態を言います。

残留リスクとは?

残留リスクとは、固有リスクに対して何らかの対策を打った後に残るリスクの大きさのことを言います。なお、2009年に国際標準規格として発行された「ISO Guide 73」(リスクマネジメント-用語)では、「リスク対応後に残るリスク」と定義されています。残留リスクは、残余リスク、残存リスク、保有リスクという言葉で表現される場合もあります。

ノート型パソコンの情報が漏洩してしまうリスクを例にとってみましょう。前述の通り、このリスクに対して、何も対策をとらない場合のリスクの大きさが固有リスクです。そこで対策として、起動するためのパスワードを設定したとします。これにより情報漏洩リスクは軽減されます。ですが、リスクがゼロになったとは言えません。この時のリスクの大きさが残留リスクです。なお、リスクがゼロにならない理由は、悪意ある第三者が他の手段で情報を盗みとる可能性が残されているからです。安易なパスワードであれば推察され破られるでしょうし、あるいは作業中にノート型パソコンを直接のぞき見られてしまうかもしれません。

固有リスクおよび残留リスクの重要性

固有リスクと残留リスクを明確にする意義は、2つあります。1つ目の意義は、リスク対応(対策)に期待できる効果の可視化が、経営層による投資の意思決定を手助けするからです。固有リスクと残留リスクという概念を使えば、両者の大きさの違いを見ることで、対策の効果を測ることができます。対策の効果が分かれば、あとはその対策導入にかかるコストを検討することで、その対策導入を進めるべきかどうかの経営判断ができます。

固有リスクと残留リスクを明確にするもう1つの意義は、対策導入後のモニタリング計画策定の手助けになるからです。対策導入後、その全てをモニタリングしようとするのは現実的ではありません。どの対策を入念にモニタリングするかメリハリをつける必要があります。この時、先に測定した対策の効果が有益な情報源となります。期待できる対策の効果が大きければ大きいほど、その対策が不発に終わった時の影響も大きくなる、と捉えることができます。つまり、導入する対策への期待値の大きさは、そのままモニタリングの優先順位になります。

国際規格が「残留リスク」に求める要件

それでは次に、情報セキュリティマネジメントシステムの国際規格であるISO27001など、リスク管理プロセスを適用する各種ISO規格では「残留リスク」について具体的にどのような要求を課しているのか、見てみましょう。

● ISO31000:2018

  • 6.5.1 リスク対応には、次の事項の反復的プロセスが含まれる:
    • リスク対応の選択肢の策定及び選定
    • リスク対応の計画及び実施
    • その対応の有効性の評価
    • 残留リスクが許容可能かどうかの判断
    • 許容できない場合は、更なる対応の実施

● ISO27001:2013(情報セキュリティマネジメントシステムー要求事項)

  • 6.1.3 f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について、リスク所有者の承認を得る。

※出典:上記各規格および項番より引用

固有リスクと残留リスクの差異を算定する方法

一般的にリスクの大きさは影響度と発生可能性の2軸で算出します。例えば、同じリスクで固有/残留リスクの大きさを比較する場合は、以下のように考えることができます。便宜的に影響度は固有リスクが「3」、残留リスクは「1」、発生可能性は固有リスクが「3」、残留リスクが「2」としましょう。

大きさの違い=固有リスク(発生可能性:3点×影響度:3点)ー残留リスク(発生可能性:2点×影響度1点)

【図:リスクマップ(固有リスクと残留リスクの比較)】

残留リスクの算定について何よりも重要なことは、先に触れた固有リスク・残留リスクを明確にする2つの意義を果たせる方法であるかどうかです。すなわち、残留リスクの「残されるリスクが大きいのかどうかを明確化させる」という目的さえ達成できるのであれば、定量的・定性的・・・どのような手段を用いても構わないのです。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる