残留リスクの考え方
リスク低減をどんなに行っても、リスクをゼロにすることはできません。最低限のリスクは存在することになります。どうしても残ってしまうリスクを残留リスクと呼びます。
Point① 残留リスクとは
残留リスクとは、対策を講じた後にも残っているリスクです。また、対策が講じられず、残ってしまうリスクも残留リスクと呼ばれる場合もあります。
Point② 残留リスクへの対応
残留リスクが存在する場合、残ったリスクが組織にどの程度の影響を及ぼすかを検討する必要があります。リスク分析を改めて行うなどの対応が必要です。残留リスクがある場合には、大きく2つの対応パターンがあります。
追加のリスク低減の対策を実施
リスクに対して対策を行った結果、まだ対策が必要な場合には、さらに低減の対策を実施します。例えば、技術的な対策で添付ファイルの監視を行ったが、従業員がファイルを開く可能性があるので、教育を行うなど、複数の対策を組み合わせていきます。
リスクが受容できるレベルまで対策を繰り返し行う
リスク受容し、対策を終了する
リスク低減の取り組みをどんなにしてもリスクは残りますが、そのリスクが受容できるレベルと判断し、受け入れるという選択をすることができます。ただし、受容できるかどうかは会社によって違いが出ます。各社に合わせたリスク分析が重要です。
リスクが受容できるレベルまで対策ができているので、これ以上の対策は行わない
こんな事例も
ある会社では、残留リスクに対しての検討が疎かになっていました。すでにリスク対応しているという意識があったため、追加の対応が必要とは夢にも思っていなかったとのことです。支援に入り、残留リスクに対して検討を行ったところ、リスクが顕在化した場合の影響は事業継続を圧迫する可能性があるほどでした。急いで追加の対策を立案・実行する運びとなりました。
リスクに対して対策をしているということが重要ではなく、リスクが受容できるレベルまで対策が取られていることが本来のあるべき姿と担当者は感じたそうです。