（出典：Guide73 リスクマネジメント－用語 3.5.1.2より）

 

なお、ここで「リスク」とは、（良い・悪い関係なしに）組織の目的に対して、もたらされる影響およびその発生可能性のことです。このときの「目的に対して、もたらされる影響」を生み出す直接のきっかけとなるものが「事象」であり、「リスク源」は、言わばこの「事象」の発生要因にあたるものです。

例で考えてみましょう。「重要事業は何がなんでも中断させない」という目的に対し、「生産設備損壊により事業が3日間中断する」というリスクを考えたとします。「生産設備損壊」をもたらすものとして「地震が発生し送電線が断線した」「火災発生により設備が焼失した」「電力会社のオペミスが発生した」などが考えられます。こうした事象の発生要因にあたるものが「リスク源」です。この3つのケースでは、「地震多発地域である（地震）」、「火を使う行程がある（火災）」「要員のスキル不足」などがリスク源にあたります。

先の例のほかにもたとえば、為替の影響を受けやすいビジネス、遵守できなかったときに損害が発生するきっかけとなる契約条項や法規制の存在、激しい技術革新が起こる業界、過失をゼロにはできない人間の弱さなどが、リスク源に当てはまります。

「リスク源」と似た言葉に「ハザード」というものがあります。こちらは、「潜在的な危害の源」と定義されるものです（Guide73 3.5.1.4）。さらに規格によれば「ハザードはリスク源となることがある」とも書かれています。こうしたことからも両者が似た意味を持っていることは明らかです。

 

両者の違いは、「リスク源」が、「目的に良い影響をもたらす可能性のあるもの」あるいは「悪い影響をもたらす可能性のあるもの」の両方を対象にしているのに対し、ハザードは、基本的に「悪い影響をもたらすもの」であることを前提にしたものです。また、リスクはあくまでも「目的」を念頭においたものであるのに対し、ハザードはそうであるとは限らないという点で違いがあります。

リスクマネジメントの国際規格であるISO31000の中で、実際に「リスク源」という言葉が用いられています。

（出典：ISO31000:2009 5.5 リスク対応より）

 

上記に「c. リスク源を除去する」とありますが、これはリスクの根本原因を取り除くという意味です。たとえば、先の「地震」の例で言えば、「地震が発生しない地域に移転する」といった対策がそうですし、「人の限界からくる作業ミス」に対しては「人の作業をシステムに切り替える」といった対策が「リスク源を除去する」に該当します。