リスク管理Naviリスクマネジメントのワンストップ情報サイト

用語集

残留リスク(residual risk)

2014年10月04日

残留リスクとは、あるリスクに対して組織が何らかの対応をした結果、残るリスクの大きさのことです。ちなみに、2009年に国際標準規格として発行された「ISO Guide 73」(リスクマネジメント-用語)では、「リスク対応後に残るリスク」と定義されています。

「出張中にノート型パソコンを紛失し情報が漏洩してしまうというリスク」を例にとってみましょう。このリスクに対して、「パスワードをかけて悪意ある第三者が勝手にログインできないようにしておく」という対策をとったとします。これにより情報漏洩リスクは軽減されます。ですが、リスクがゼロになったとは言えません。なぜなら、悪意ある第三者が他の手段で情報を盗みとる可能性が残されているからです。パスワードを推察され技術的な壁を破られてしまうこともあるでしょうし、あるいは物理的に記憶媒体を直接のぞき見られてしまうこともあるでしょう。このように、対策実施後もなおも残る可能性や影響の大きさを指して、残留リスクと呼ぶのです。

残留リスクの重要性

残留リスクを明確にする意義は2つあります。

1つ目の意義は、対策の効果の見える化を促進させることにあります。一般的にリスクマネジメントでは「リスクの特定」→「リスクの大きさの算定」→「その大きさの評価」→「対策の導入」という流れを踏みます。このとき、対策を導入した結果、どの程度のリスクが残るのかを見ないと、費用対効果を認識することができません。認識できなければマネジメントもその対策導入が良いのか悪いのか判断ができなくなってしまいます。

残留リスクを明確にするもう1つの意義は、効果的・効率的なモニタリング導入を促進することにあります。対策導入後に、どの程度のリスクが残るのかを算定した結果、そのときに残るリスクが大きければ大きいほど、導入後にどれだけの力を入れて、そのリスクをモニタリングすべきかの判断ができるようになります。

国際規格が『残留リスク』に求める要件

それでは次に、情報セキュリティの国際規格であるISO27001など、リスクを強く意識する各種ISO規格では「残留リスク」について具体的にどのような要求を課しているのか、見てみましょう。
※出典:上記各規格および項番より引用
  • ISO27001:2013(情報セキュリティマネジメントシステム)
    • 6.1.3 f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について、リスク所有者の承認を得る。
  • ISO31000:2009(リスクマネジメントシステム)
    • 5.5.1 リスク対応には,次の循環プロセスが含まれる。
      • あるリスク対応のアセスメントの実施
      • 残留リスクレベルが許容可能かの判断
      • 許容できない場合の,新たなリスク対応の策定
      • その対応の有効性のアセスメントの実施
  • ISO 10006:2003(プロジェクトにおける品質マネジメントの指針)
    • 7.7.4 特定したリスクの解決策の提案がされたら,それを実行することによってもたらされる好ましくない影響又は新たなリスクが皆無であることを検証し,また,結果として起こる残留リスクに対処していることを検証するとよい。

残留リスクの算定方法

以下は、残留リスクの典型的な算定方法です。

残留リスク(1~16点)=対策導入後の脅威の発生可能性(1~4点)×影響(1~4点)

実は、先の規格要件でおわかりいただけますように、残留リスクの算定方法については、何ら定めはありません。何よりも重要なことは、先に触れた残留リスクを明確にする2つの意義を果たせる方法であるかどうかです。すなわち、残留リスクの「残されるリスクが大きいのかどうかを明確化させること」という目的さえ達成できるのであれば、定量的・定性的・・・どのような手段を用いても構わないのです。

(文責:石上 良夫

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

新着コンサルタントコラム