ISO 31010(リスクマネジメント-リスクアセスメント技法)
掲載:2015年05月13日
ガイドライン
ISO31010は、正式名称IEC/ISO31010:2009(リスクマネジメント-リスクアセスメント技法)※であり、2009年11月に発行された国際規格です。リスクマネジメントに関して、より技術的な視点から、ISO31000:2009(リスクマネジメント-原則及び指針)(詳細は「ISO31000規格とは」のページをご参照ください)の補完を狙ったものです。なお、リスクアセスメントとは、リスクの洗い出しや、その大きさの算定、リスクへの対応優先度を評価する一連のプロセスのことですが、本規格は、このプロセスを実施するために実際に採用できるテクニックを解説するものです。
※2012年にJIS化(JIS Q 31010:2012)されています。
ISO31010の構成
おおよそ90頁 の分量からなる本規格は、8つの章立て(全6箇条および2つの付属書)から構成されています。
箇条1~3までは、適用範囲や用語の定義など、どのISOマネジメントシステム規格にも共通する一般的な内容について記載されています。箇条4は、ISO31000:2009で解説されているリスクマネジメントの枠組み及びプロセス全体(ISO31000:2009の箇条4および箇条5)を簡単におさらいしています。箇条5以降は、言わば本規格の中核とも言える部分です。リスクアセスメント実施上のポイントや、採用しうる技法について詳しく解説しています。
表1. ISO31010:2009の構成
| 箇条No | 項 目 |
|---|---|
| 箇条1 | 適用範囲 |
| 箇条2 | 引用規格 |
| 箇条3 | 用語及び定義 |
| 箇条4 | リスクアセスメントの概念 |
| 箇条5 | リスクアセスメントプロセス |
| 箇条6 | リスクアセスメント技法の選択 |
| 付属書A | リスクアセスメント技法の比較 |
| 付属書B | リスクアセスメント技法 |
【出典:IEC/ISO31010:2009の目次をもとに著者が編集】
箇条1~3までは、適用範囲や用語の定義など、どのISOマネジメントシステム規格にも共通する一般的な内容について記載されています。箇条4は、ISO31000:2009で解説されているリスクマネジメントの枠組み及びプロセス全体(ISO31000:2009の箇条4および箇条5)を簡単におさらいしています。箇条5以降は、言わば本規格の中核とも言える部分です。リスクアセスメント実施上のポイントや、採用しうる技法について詳しく解説しています。
ISO31010の中核(箇条5、箇条6よび付属書)の中身
《箇条5:リスクアセスメントプロセス》
リスクアセスメントを構成する一連の要素(リスク特定、リスク分析、リスク評価)ごとに、実施上のポイントを詳しく解説しています。ISO31000:2009では「何(WHAT)をすべきか」のみに終始していますが、この箇条5では「どうやって(HOW)実施すべきか」という観点から解説しています。
たとえば、ISO31000:2009では「リスク分析」としか言及していなかったものを、ISO31010:2009ではこれを更に「(既存)管理策アセスメント」「結果分析」「尤度分析及び発生確率の算定」「予備分析」「不確実性と感度」といった項目に分解し、より詳しく解説(下記参照)しています。
【箇条5の内容(例)】
5.3.5 予備分析
最も重大なリスク群を発見するために,又はあまり重大でないリスク若しくは軽微なリスク群を更なる分析から除外するために,リスクをふるいにかけてもよい。その目的は,最も重要なリスクに資源を集中させることである。 ・・(以下、省略)・・
【出典:IEC/ISO31010:2009 5.3.5予備分析】
《箇条6:リスクアセスメント技法の選択》
箇条6では、選択しうる全31のリスクアセスメント技法の一覧を掲載(下表参照)しています。
表2.箇条6で取り上げられているリスクアセスメント技法(一部)
《付属書A:リスクアセスメント技法の比較》
附属書 Aでは、箇条5で紹介されている技法一覧に基づき、各技法がリスクアセスメントのどの要素(リスク特定、リスク分析、リスク評価)に、強み・弱みを持っているかについて解説しています。これによればにたとえば、BCP策定時に行うとされる事業影響度分析(Business Impact Analysis: BIA)は、リスク特定、リスク分析、リスク評価のどの要素にも有益な手法になると紹介しつつ、特に影響度の算定に力を大きな効果を発揮する手法だと紹介しています。
《付属書B:リスクアセスメント技法》
附属書Bでは、箇条5で紹介されている技法一覧に基づき、各技法の実施要領および要点を解説しています。具体的には、技法ごとに、その概要、用途、インプット、プロセス、アウトプット、長所および短所について、ときに図解(下図例参照)を交えながら解説を行っています。
リスクアセスメントを構成する一連の要素(リスク特定、リスク分析、リスク評価)ごとに、実施上のポイントを詳しく解説しています。ISO31000:2009では「何(WHAT)をすべきか」のみに終始していますが、この箇条5では「どうやって(HOW)実施すべきか」という観点から解説しています。
たとえば、ISO31000:2009では「リスク分析」としか言及していなかったものを、ISO31010:2009ではこれを更に「(既存)管理策アセスメント」「結果分析」「尤度分析及び発生確率の算定」「予備分析」「不確実性と感度」といった項目に分解し、より詳しく解説(下記参照)しています。
【箇条5の内容(例)】
5.3.5 予備分析
最も重大なリスク群を発見するために,又はあまり重大でないリスク若しくは軽微なリスク群を更なる分析から除外するために,リスクをふるいにかけてもよい。その目的は,最も重要なリスクに資源を集中させることである。 ・・(以下、省略)・・
【出典:IEC/ISO31010:2009 5.3.5予備分析】
《箇条6:リスクアセスメント技法の選択》
箇条6では、選択しうる全31のリスクアセスメント技法の一覧を掲載(下表参照)しています。
| # | リスクアセスメント技法 |
|---|---|
| 1 | ブレーンストーミング |
| 2 | 構造化又は半構造化インタビュー |
| 3 | デルファイ法 |
| 4 | チェックリスト |
| 5 | 予備的ハザード分析(Preliminary hazard analysis: PHA) |
| 6 | HAZOP(Hazard and Operability)スタディーズ |
| 7 | ハザード分析及び必須管理点(Hazard analysis and critical control points: HACCP) |
| 8 | 環境リスクアセスメント(毒性アセスメント) |
| 9 | 構造化“What-if”技法(Structured “What-if” Technique: SWIFT) |
| 10 | シナリオ分析 |
| 11 | 事業影響度分析(Business impact analysis: BIA) |
| 12 | 根本原因分析(Root cause analysis: RCA) |
| 13 | 故障モード・影響解析(Failure mode and effects analysis: FMEA)並びに故障モード・影響及び致命度解析(Failure mode, effects and criticality analysis: FMECA) |
| 14 | 故障の木解析(Fault tree analysis: FTA) ・・・(以下、省略) |
《付属書A:リスクアセスメント技法の比較》
附属書 Aでは、箇条5で紹介されている技法一覧に基づき、各技法がリスクアセスメントのどの要素(リスク特定、リスク分析、リスク評価)に、強み・弱みを持っているかについて解説しています。これによればにたとえば、BCP策定時に行うとされる事業影響度分析(Business Impact Analysis: BIA)は、リスク特定、リスク分析、リスク評価のどの要素にも有益な手法になると紹介しつつ、特に影響度の算定に力を大きな効果を発揮する手法だと紹介しています。
《付属書B:リスクアセスメント技法》
附属書Bでは、箇条5で紹介されている技法一覧に基づき、各技法の実施要領および要点を解説しています。具体的には、技法ごとに、その概要、用途、インプット、プロセス、アウトプット、長所および短所について、ときに図解(下図例参照)を交えながら解説を行っています。
図1.故障の木解析(Fault Tree Analysis:FTA)例
出展:IEC/ISO 31010:2009(英和対訳版)を著者修正
ISO31010の使い方
リスクマネジメント実務担当者は、自組織において、組織の文化や、対象とするリスクの特性を勘案しながら、ベストのリスクアセスメント技法を選定するための参考書として活用することが、一番の活用方法だと思われます。
参考文献
- IEC/ISO 31010:2009 リスクマネジメント-リスクアセスメント技法
- JIS Q 31010:2012 リスクマネジメント―リスクアセスメント技法
