リスク受容の検討ポイント
リスク受容は、存在するリスクや残留リスクを受け入れるという考えです。どんなにリスク低減を行っても、最終的に残留リスクが発生します。その際にはリスクを受容していくという判断をする場合があります。
リスク受容の特徴は以下の通りです。
リスク受容の特徴と例
リスクを受け入れて特段の対策をしないという考えです。しかしながら、対策が技術的に困難な場合や対策費用が膨大にかかるリスクを受容せざるを得ない場合、漏えい発生時の損失など、リスクが現実化した場合の被害規模の把握が重要です。
リスク受容の例
社用携帯電話としてスマートフォンを支給する場合、紛失による情報漏えいのリスクがあります。しかし、社用携帯電話が利用できないと業務に及ぼす影響が大きいため、従業員に使用時のルールを徹底的に教育した上で、スマートフォンの支給を続けることにしました。
リスク受容はリスク低減のセキュリティ対策を実行した結果、最後に残る軽微なリスクを受け入れることです。例えば、リスクが顕在化した際に対応する費用よりも低減のための対策を実行する方が費用が掛かる場合などはリスク受容をするケースが多いです。
こんな事例も
Emotetの感染リスクは多くの企業で対策などを検討しているのではないでしょうか?しかし、Emotetの感染を完全に排除するために現状の感染経路を考えると、メールを利用しないということになります。
しかしながら、メールは今も外部とコミュニケーションを取るために必要な主流なツールの一つです。メールを廃止するとなると、自社だけでなく取引先や顧客の理解を得る必要があります。メール以外のコミュニケーションツールを導入してもらうなど、準備や金銭的な負担も考えられます。コミュニケーションツールの導入が困難という理由で断念しなければならない事業や、取引先が存在するかもしれません。
このように、極端なリスクの対応は現実的ではない場合があります。企業にとってリスクは回避できるかもしれませんが、大きな機会損失に繋がるかもしれません。そのためには、リスク受容の考えを適切に意識した対応が重要になります。メールを使わないということではなく、メールを適切に利用できるように、従業員の教育を行いリスクの発生可能性を下げるなども意識した対応が望まれます。