リスク受容の判断
リスク受容をする際には、自社における基準を定め、運用していくことが望ましいです。基準には、リスク分析の数値や損害想定額などを活用していきます。また、リスク回避と合わせた判断をすることも重要です。
Point① リスクを算出する計算式の結果で受容する
今回の例では、リスクの受容できる数値を17と定めます。リスクを算出する計算式:リスク = 資産価値 × 脅威 × 脆弱性 × 発生可能性をもとに、リスク低減を行う前の数値を算出します。
リスク=資産価値(2) × 脅威有(2) × 脆弱性有(2) × 発生可能性は高い(3) = 24
24では受容できる数値17を大きく超えているので、リスク低減を行いました。対策として発生可能性を低くし、社内への適用を行います。その結果発生可能性は 3 → 1 となりました。
リスク=資産価値(2) × 脅威有(2) × 脆弱性有(2) × 発生可能性は高い(1) = 8
8へと数値が下がったことにより、リスク受容数値17を下回りました。残留リスクの確認を行い、リスクの受容という選択肢が合理的であり、リスクが顕在化した場合に事業影響が小さいことを確認し、最終的に受容しました。
Point② 被害損害額の予想から受容する
今回の例では、リスク受容できる数値を被害損害額の予想から算出します。年次損失予測を求めることで、リスクを受容できるかを判断します。今回の閾値では年間200万円を下回ればリスク受容するとします。
- 1年間の被害損害額の算出の計算
- 1人当たりの資産価値 = 3万円
- 流出可能性人数: 5万人 × 0.01 = 500人
- 事故1回あたり対応費用 :500人 × 3万円 = 1500万円
- 1年間の発生確率:1 ÷ 10 = 10%
- 年次損失予測: 1500万円×10% = 150万円
計算の結果、1年間の損失予想は150万円でした。閾値である200万円を下回る結果となったため、リスク受容の判断を行うこととなりました。