リスク受容は事故0を
保証するものではない
リスク受容というのは、リスクそのものがなくなるわけではありません。低減を行った結果、顕在化しても大きな影響がないという場合にリスクを受け入れたということです。そのため、受容したリスクは定期的に確認することが重要です。
Point① リスクは存在する
リスク受容では、リスクそのものは存在します。各リスクの特徴をとらえたうえで、慎重に受容する必要があります。
影響度が低いリスク
リスクが顕在化しても損失などの影響が少ないリスクです。1回あたりの顕在化時の影響は小さくとも、発生回数が多くなると受容しきれない場合があります。
出現頻度が低いリスク
リスクの顕在化の可能性が少ないリスクです。ただし、リスクが顕在化をした場合に大きな損害が発生する場合があります。リスク転嫁と合わせて考えることが重要です。
リスク低減等が技術的に困難なリスクや対策費用が膨大にかかるリスク
リスク低減などを試みても実施が難しい、しかしながら事業観点から回避もできない状況で起こるリスク受容です。リスク顕在化の可能性や影響も大きい場合、1回のリスクの顕在化、インシデントの発生が企業存続を脅かす可能性があります。
Point② 定期的なリスク分析が重要
リスク受容を行ったリスクについては、定期的な見直しが重要です。リスク分析直後は受容できるリスクでも、新たな脆弱性の発見や攻撃手口による脅威の変化などにより、受容できないリスクとなる場合があります。
影響度が低いリスク
発生回数をモニタリングし、発生回数が閾値を超えるようならば発生回数を減らす対策を立案することが求められます。
出現頻度が低いリスク
1回の顕在化で大きな影響を及ぼす可能性がある場合、脆弱性や脅威、発生回数など、網羅的に分析を行い、影響度を下げる工夫を考えることが求められます。
リスク低減等が技術的に困難なリスクや対策費用が膨大にかかるリスク
現在のリスク分析による影響度などの把握を行うとともに、低減や転嫁の検討や回避の検討を行うことが求められます。