リスクマネジメント。ISO9001品質マネジメントシステムでは、リスクアセスメントまでは要求されていませんが、リスクを洗い出し対応することは求められています。
ISO27001(ISMS)情報セキュリティマネジメントは、リスクマネジメントを含め付属書Aに管理目的と管理策の詳細が示されています。
しかし、実際にリスクマネジメントに取り組もうとすると、そもそも「リスクの意味が、立場の違いなどによって違う。」など意外に難しいものです。
ここでは、リスクマネジメントの方法(技法)についての以下のJIS規格について説明します。
JIS Q 31010:2022(IEC31010:2019)
リスクマネジメントー技法
Risk management - Risk assessment techniques
なお、「JIS Q 31000:2019 リスクマネジメントー指針」については、以下の記事にまとめています。
「JIS Q 31010:2022 リスクマネジメントー技法」の概要
「JIS Q 31010:2022 リスクマネジメントー技法」は、全部で79ページあり、リスクアセスメントのための様々なツールが紹介されています。
以下、私がポイントだと考えた部分について、規格を引用しながら説明します。
「序文」
「JIS Q 31010:2022 リスクマネジメントー技法」の位置づけや使用する場合、対象者について引用します。
この規格は、不確かさを考慮に入れる方法を改善し、リスクを理解する助けとして使用可能な様々な技法の選択及び適用の手引を提供する。
出典:「JIS Q 31010:2022 リスクマネジメントー技法」より
使用する場合については、以下の通りです。
これらの技法は、次の場合に使用する。
- どのようなリスクが存在するかについて、又は特定のリスクについて、更なる理解が必要な場合
- それぞれがリスクを含む一連の選択肢を比較又は最適化する必要があるか否かを決定する場合
- リスクに対応するための活動に至るリスクマネジメントプロセスにおいて
出典:「JIS Q 31010:2022 リスクマネジメントー技法」より
この規格の対象者については、以下の通りです。
この規格の潜在的対象者は、次のとおりである。
- リスクアセスメント又はリスクマネジメントの実施に関与する人々
- 特定の状況においてリスクをどのようにアセスメントするかについて規定する手引の作成に関与する人々
- 不確かさが存在する場合に決定を行う必要がある人々で、次を含む。
・リスクアセスメントを委託又は評価する人々
・リスクアセスメントの結果を理解する必要がある人々
・特定のニーズを満たすリスクアセスメント技法を選択する必要がある人々
出典:「JIS Q 31010:2022 リスクマネジメントー技法」より
「3 用語及び定義」
「3 用語及び定義」では、以下の5個の用語が定義されています。
- 起こりやすさ(likelihood)
- 機会(opportunity)
- 発生確率(probability)
- リスクドライバー(risk driver, driver of risk)
- 脅威(threat)
上記の用語の定義の部分のみ以下に引用します。
起こりやすさ(likelihood):
何かが起こる可能性
機会(opportunity):
目的に対して望ましいと予想される状況の組合せ
発生確率(probability):
“0”は可能性が全くなく“1”は絶対に確かな場合に、0と1との間の数字で表される発生の可能性の尺度
リスクドライバー(risk driver, driver of risk):
リスクに大きな影響をもつ要因
脅威(threat):
危険、危害、又はその他の望ましくない結果の潜在的な源
出典:「JIS Q 31010:2022 リスクマネジメントー技法」より
「4 中核的概念」
「4 中核的概念」として、「不確かさ」と「リスク」について説明されています。
不確かさ
「不確かさ」については、多くの基礎的概念を包含している用語であり、不確かさの形態や例を使って説明されています。
以下に引用した部分が、不確かさの曖昧さを説明していると考えています。
全ての不確かさが理解可能なわけではなく、不確かさの重大性を定義する又はそれに影響を与えることは、困難又は不可能であるかもしれない。
しかしながら、不確かさが特定の状況に存在することを認識することによって、変化を事前対応的かつ適時に検出し、予想しない状況に対処する回復力を構築する準備を整えるための早期警戒システムを適所に備えることが可能である。
出典:「JIS Q 31010:2022 リスクマネジメントー技法」より
リスク
リスクは不確かさとセットで捉えた方が理解しやすいと考えています。
リスクについて次の様な説明がありますが、不確かさ同様すっきりとした説明(定義)ができないことが分かる様な説明だと考えています。
- リスクは、不確かさが目的にある影響を含む。
- 不確かさは、望ましい結果、望ましくない結果、又はその両方の場合もある。
以下の、引用部分からは、リスクアセスメント技法は、リスクを知りマネジメントするために役立つものだと考えています。
リスクアセスメント技法は、情報に基づいたよりよい意思決定及び行動を支援する目的で、この広範複雑かつ多様な状況において、不確かさ及び関連するリスクを人々が理解する助けとなることを狙いとしている。
出典:「JIS Q 31010:2022 リスクマネジメントー技法」より
「6.1 アセスメントの計画」
「6.1 アセスメントの計画」の以下の項目は、プロジェクト管理(マネジメント)と同じ様なポイントとなっていると考えています。
以下に、「6.1 アセスメントの計画」のタイトルのみ列挙します。
6.1.1 アセスメントの目的及び適用範囲の定義
6.1.2 状況の理解
6.1.3 利害関係者の関与
6.1.4 目的の定義
6.1.5 人的要因、組織的要因及び社会的要因の考慮
6.1.6 決定の基準のレビュー
6.1.6.1 一般
6.1.6.2 リスクを受容可能かどうかを決定するための基準
6.1.6.3 リスクの重大性を評価するための基準
6.1.6.4 選択肢の間での決定の基準
リスクマネジメントもプロジェクトマネジメント同様、最初から全ての項目を完璧にしようとするのではなく、最初は小さいリスクから取り組んでいき段階的にレベルアップしていく進め方がよいと考えています。
付属書A(参考)技法の分類
「付属書A(参考)技法の分類」に、リスクマネジメントの様々な方法が紹介されています。
リスクマネジメントの技法の特性
下表は、リスクマネジメントの技法を選択するために技法の特性についてまとめたものです。
|
特性 |
説明 |
詳細(例えば、機能指標) |
|---|---|---|
|
適用 |
この技法がリスクアセスメントにおいてどのように使用されているか(B.1~B.10のタイトル参照)。 |
見解の導出,特定、原因分析,管理策分析など |
|
適用範囲 |
組織レベル、部若しくはプロジェクトレベル、又は個々のプロセス若しくは機器レベルでリスクに適用 |
1:組織 2:プロジェクト、部署 3:機器、親プロセス |
|
計画対象期間 |
短期,中期若しくは長期のリスクを対象とする、又は任意の計画対象期間に適用可能 |
短期、中期、長期、任意 |
|
決定レベル |
戦略的,戦術的又は作般的レベルでリスクに適用 |
1:戦略的 2:戦術的 3:作戦的 |
|
必要な開始時情報、データ |
必要な開始時の情報又はデータのレベル |
高、中、低 |
|
専門家の専門知識 |
正しく使用するために必要な専門知識のレベル |
低:直感的又は1日間~2日間のトレーニング 中:3日以上のトレーニングコース 高:かなりのトレーニング又は専門家の専門知識が必要 |
|
定性的、定量的 |
方法が定性的か、半定量的か又は定量的か |
定量 定性 半定量 |
|
適用の労力 |
技法を適用するために必要な時間及び費用 |
高、中、低 |
※表の出典:「JIS Q 31010:2022 リスクマネジメントー技法」より
リスクマネジメントのプロセスと技法
「JIS Q 31000 リスクマネジメント-指針」のリスクマネジメントのプロセスの図に、主な技法を当てはめると下図の様になります。
リスクマネジメントプロセスにおける技法の適用
図1 リスクマネジメントプロセスにおける技法の適用
※図の出典:「JIS Q 31010:2022 リスクマネジメントー技法」より
リスクマネジメントに取り組み始めたら、リスクマネジメントの全体を意識しながら、個別のリスクとリスクアセスメントの方法を見ていくような使い方がよいと考えています。
リスクマネジメントのプロセスへの技法の適用性
JIS Q 31000のプロセスと技法の適用性を当てはめると下図の様になります。
リスクアセスメントのプロセスは、
- リスクを特定する。
- 複数のリスクを分析する(取り組む優先順位を決める)。
- リスク対策をした結果を評価する。
ことになります。
リスクアセスメントの技法はあくまでも手段であることを忘れずにリスクに取り組んでいくことがポイントになると考えています。
「最大のリスクは、何もしないこと」とは何かのCMでも流れていましたが、少しづつでも進めていくこと、リスクについて共通の認識を持つ人を増やしていくことが重要だと考えています。
リスクマネジメントプロセスにおける技法の適用性
図2 リスクマネジメントプロセスにおける技法の適用性
※図の出典:「JIS Q 31010:2022 リスクマネジメントー技法」より
「JIS Q 31010:2022 リスクマネジメントー技法」の目次
JIS Q 31010:2022 リスクマネジメントー技法の目次を以下に示します。
序文
1 適用範囲
2 引用規格
3 用語及び定義
4 リスクアセスメントの概念
4.1 目的及び効用
4.2 リスクアセスメント及びリスクマネジメントの枠組み
4.3 リスクアセスメント及びリスクマネジメントプロセス
5 リスクアセスメントプロセス
5.1 概要
5.2 リスク特定
5.3 リスク分析
5.4 リスク評価
5.5 文書化
5.6 リスクアセスメントのモニタリング及びレビュー
5.7 ライフサイクルのフェーズでのリスクアセスメントの適用
6 リスクアセスメント技法の選択
6.1 一般
6.2 技法の選択
6.3 資源の可用性
6.4 不確かさの性質及び程度
6.5 複雑性
6.6 ライフサイクルのフェーズでのリスクアセスメントの適用
6.7 リスクアセスメント技法の種類
附属書A(参考)リスクアセスメント技法の比較
附属書B(参考)リスクアセスメント技法
参考:日本産業標準調査会の「JIS検索」
JIS規格は、ネットで見ることができます。
日本産業標準調査会(JISC)の「JIS検索」のリンク先を紹介します。
検索の仕方は、以下のリンク先を参照してください。
まとめ
ISO9001品質マネジメントシステムでは、リスクアセスメントまでは要求されていませんが、リスクを洗い出し対応することは求められています。
ISO27001(ISMS)情報セキュリティマネジメントは、リスクマネジメントを含め付属書Aに管理目的と管理策の詳細が示されています。
しかし、実際にリスクマネジメントに取り組もうとすると、そもそも「リスクの意味が、立場の違いなどによって違う。」など意外に難しいものです。
ここでは、リスクマネジメントの方法(技法)についての「JIS Q 31010:2022 リスクマネジメント-技法」について以下の項目で説明しました。
- 「JIS Q 31010:2022 リスクマネジメントー技法」の概要
- 「序文」
- 「3 用語及び定義」
- 「4 中核的概念」
- 不確かさ
- リスク
- 「6.1 アセスメントの計画」
- 付属書A(参考)技法の分類
- リスクマネジメントの技法の特性
- リスクマネジメントのプロセスと技法
- リスクマネジメントのプロセスへの技法の適用性
- 「JIS Q 31010:2022 リスクマネジメントー技法」の目次
- 参考:日本産業標準調査会の「JIS検索」
