リスクレベル【risk level】
リスクレベルとは?
事業の遂行などに伴って将来起こりうる悪い出来事やその確率、損害の程度を「リスク」(risk)という。リスクには様々な種類があり、滅多に起こらないが大きな損失をもたらすもの(戦争など)、時々起きるが被害は小さいもの(作業ミス、停電など)といった性質の違いがある。
リスクレベルは、こうした様々な種類のリスクについて、「発生しやすさ」と「被害の大きさ」を組み合わせて、危険性の程度を段階的に示したものである。情報セキュリティ管理についての標準規格であるJIS Q 27000では「結果とその起こりやすさの組合せとして表現される,リスクの大きさ」と定義されている。
リスクレベルの評価には、縦軸に影響度、横軸に発生確率をとったマトリクスを用いる手法がよく使われる。過去のデータや統計などを基に数値で算出する定量的手法と、専門家の知見を基に段階的に判定する定性的手法があり、対象リスクの性質や利用できるデータの量によって使い分けられる。いずれの場合も、判断のばらつきを抑えるため、評価基準はあらかじめ組織内で定めておくことが望ましい。
こうして算出されたリスクレベルは、対策の優先順位を決める基礎となる。高レベルと判定された事象にはリスク回避、リスク低減、リスク移転といった対策が優先的に検討され、低レベルのものは監視に留める(リスク受容)といった判断が可能になる。限られた人員や予算の中で、どこに経営資源を集中させるかを論理的に決められる点で、実務上の意義は大きい。
なお、リスクレベルは一度検討して分類すれば終わりではない。新たな脅威の出現、技術革新、法規制の改正、組織内の体制変更などによって発生確率や影響度は変化するため、定期的な見直しが不可欠である。情報セキュリティ、事業継続計画、製造業、金融など幅広い分野で活用されており、組織間や部門間で認識を共有するための共通言語としても機能している。
共有ボタンをタップ