リスク特定とは?方法や把握するべきリスクの例を解説
トヨクモ防災タイムズ編集部
リスク特定とは、企業の経営リスクを管理する取り組みである「リスクマネジメント」の工程の一つです。企業に影響を与えるさまざまなリスクを漏れなく把握するために、リスク特定は欠かせません。
本記事では、リスク特定の概要や目的などの基礎知識、把握するべきリスクの種類や具体例、リスク特定を進める方法などについて解説します。企業の経営やリスク管理に携わる方は、ぜひ参考にしてください。
目次
リスク特定とは企業の目標達成を妨げるリスクを洗い出すこと
リスク特定は、リスクマネジメントを進めるプロセスの最初の工程で、企業の目標達成や継続的な事業運営を妨げるリスクを見つけ、すべて洗い出す作業です。
リスクが発生する可能性や影響度などにかかわらず、少しでも企業に影響を与える可能性のあるリスクを発見し、一覧表を作成します。リスクの一覧表には、リスクの内容や種類、関連する業務といった情報を記載しましょう。
リスクを洗い出す方法
リスクを洗い出すには、さまざまな方法があります。以下に紹介するような方法を組み合わせることで、リスクを抜け漏れなく特定できます。
ブレインストーミング
ブレインストーミングは、自社の事業内容や業務について深く理解しているメンバーが数人集まり、考えられるリスクについて意見を出し合う方法です。複数の事業を運営している場合など、想定するべきリスクの範囲が広い場合は、いくつかのグループに分かれてブレインストーミングを行うと効率的に進めやすくなります。
アンケート
社内の各部門でリスクに関するアンケートを実施することも、リスクの洗い出しに有効です。日々の業務で感じたリスクや、過去に起きたインシデントなどの情報を幅広く集められます。
チェックリスト
企業のリスク特定のために作成されたISO規格などのチェックリストを利用し、自社の状況を確認すると短時間でリスクを洗い出せます。ただし、業界や企業の状況によって既存のチェックリストでリスクを網羅できない場合もあるため、チェックリストの項目以外に抜け漏れがないかを自社で確認することが重要です。
リスク特定で把握すべきリスクの種類と具体例
リスク特定で把握するべきリスクは、大きく次の2種類に分けられます。
- 純粋リスク
- 投機的リスク
ここでは、それぞれのリスクの概要と具体例を紹介します。
純粋リスク
純粋リスクとは、事業に対して損失だけをもたらすリスクです。マイナスリスクと呼ばれる場合もあります。純粋リスクには以下のリスクが含まれます。
【主な純粋リスク】
| 財産リスク | 地震や洪水、火災などによる建物の損傷や、事故による財産の損失など |
| 費用・利益リスク | 売上の減少や多額の支出、財産リスクに伴う事業の中断など |
| 賠償責任リスク | 顧客や取引先からの訴訟や、法的な賠償責任が発生するケース |
| 人的リスク | 経営者や従業員の怪我や疾病、後遺症、死亡など |
投機的リスク
投機的リスクとは、事業に対して損失だけでなく利益をもたらす可能性があるリスクを指します。ビジネスリスクと呼ばれる場合もあります。リスク特定を適切に進めるためには、投機的リスクも洗い出すことが重要です。投機的リスクは以下のように分類できます。
【主な投機的リスク】
| 経済的情勢変動リスク | 金利や為替、景気の変動など |
| 政治的情勢変動リスク | 条例の改正や規制の強化・緩和、政策の変更など |
| 法的規制の変更に関するリスク | 法律や条例の改正など |
| 技術的情勢変動リスク | 新たな発明や技術革新など |
リスク特定の2種類のアプローチ
リスク特定で使用される主なアプローチは、以下の2種類です。
- 資産ベースのアプローチ
- 事象ベースのアプローチ
ここでは、各アプローチの特徴について解説します。
資産ベースのアプローチ
資産ベースのアプローチとは、企業が保有する資産ごとにリスクを特定する方法です。たとえば、社員名簿や給与システムデータなどの情報資産、情報の管理に使用しているハードウェアやソフトウェアといった支援資産などを一覧化し、それらが侵害されるリスクを特定します。
資産ベースのアプローチは、細かなリスクまで含めて網羅的に把握できることが特徴です。ただし、資産が多い場合には一覧表の作成に時間と手間がかかる場合があります。
事象ベースのアプローチ
事象ベースのアプローチとは、企業で日々行われている業務をもとにリスクを特定する方法です。たとえば、顧客情報の管理業務における情報漏洩トラブルや、工場の生産ラインで生じ得る労働災害など、現実的なリスクを洗い出します。
事象ベースのアプローチは、資産ベースのアプローチよりも網羅性が低いものの、効率的にリスクを特定できます。
資産ベースでリスク特定を進める方法
資産ベースでリスク特定を進める方法には、以下のステップが含まれます。
- 資産目録の作成
- 資産ごとの影響度を評価
- 影響度をもとに重要度を決定
各ステップについて解説します。
資産目録の作成
まずは、企業の資産を一覧としてまとめた資産目録を作成します。資産目録に記載する主な項目は、資産の名称やリスクが生じたときに責任を負うリスク所有者や、資産を管理する部署などの情報です。対象の資産が保管されている場所や媒体に関する情報も、資産目録に記載します。
たとえば、従業員の健康診断結果のデータという資産であれば、リスク所有者は人事部長、資産を管理する部署は人事部などと記載できます。また、顧客との取引履歴データであれば、リスク所有者は営業部長、管理部署は営業部、保存先の媒体は社内サーバーなどと記載できるでしょう。
資産目録を作成する際は、各資産を適切な粒度で分類することが重要です。資産の分類が細かすぎると資産目録の作成に必要以上の時間がかかり、反対に資産の分類が粗いとこのあとの影響度や重要度の評価に支障が出てしまいます。
さらに、企業内に複数の組織や部署がある場合には、組織ごとや部署ごとに分けて資産目録を作成すると効率的です。
カテゴリやグループごとの整理も効果的
単に資産を列挙するだけでなく、カテゴリごとに整理すると、資産目録を効果的に作成できます。たとえば、資産目録のカテゴリ分けとして「事業プロセス」や「情報」、「支援資産」などが挙げられます。
| 事業プロセス | 自社が独自の技術を保有しているプロセスや、失われると企業経営に重大な損失が生じるプロセスなど |
| 情報 | 従業員や顧客などの個人情報や、自社の経営戦略に関する機密情報など |
| 支援資産 | 情報を保存しているハードウェアや情報管理に使用しているソフトウェア、社内のネットワーク、Webサイトなどの事業資産を構成する情報システム |
これらのカテゴリごとに資産目録の内容を整理すると、資産ごとの影響度や重要度を評価しやすくなります。
また、情報資産については資産の持つ価値や保管すべき期間などが近いものをグループとしてまとめることも有効です。たとえば、表計算ソフトを使用して管理している情報資産は同じグループとして扱うと、リスクの分析や対策の検討を効率化できます。
資産ごとの影響度を評価
次に、資産目録にまとめた各資産について、それらが損なわれた場合の事業への影響度を評価します。機密性・完全性・可用性という3つの基準について、それぞれ3~1の評価値を決める方法が効果的です。
機密性
機密性とは、外部に流出したときに事業へ影響を与える度合いについての基準を指します。
【機密性のレベル例】
| 機密性3 | マイナンバーを含む個人情報や、非公開の機密情報など、流出した場合に事業に深刻な影響を与える資産 |
| 機密性2 | 顧客との取引に関する情報など、流出した場合に事業へ影響がある資産 |
| 機密性1 | 自社のWebサイトで公開している情報など、流出しても影響がない資産 |
完全性
完全性とは、内容が改ざんされた場合の影響度合いを指します。
【完全性のレベル例】
| 完全性3 | 自社で保管している個人情報や、取引先の口座情報など改ざんが深刻な被害につながる資産 |
| 完全性2 | 受発注に関する情報や、自社の会計情報など改ざんにより事業に大きな影響が出る資産 |
| 完全性1 | すでに公開を終了しているサービスに関する情報など、改ざんによる影響が少ない資産 |
可用性
可用性とは、利用できなくなった場合の影響度合いを指します。
【可用性のレベル例】
| 可用性3 | 自社が運営・提供するクラウドサービスのサーバーやECサイトの決済システムなど、利用できなくなると深刻な影響がある資産 |
| 可用性2 | 社内で利用している情報管理システムなど、利用できなくなると事業に大きな影響が出る資産 |
| 可用性1 | 使用頻度が少ないツールなど、利用できなくなっても事業への影響がほとんどない資産 |
影響度をもとに重要度を決定
3つの基準で評価した影響度をもとに、各資産の重要度を決めます。リスクが発生した場合の被害が大きい資産ほど、重要度が高いと考えられます。
重要度は、影響度の評価に使用した3つの基準の中で最も点数が高いもので決めることが有効です。たとえば、自社のECサイトの影響度について、すでに公開されているため機密性は「1」、改ざんされると深刻な被害につながるため完全性は「3」、利用できなくなると収益が減少するため可用性は「3」としていた場合の、重要度は「3」と決められます。
このような流れで、資産目録に記載した資産ごとの重要度を決定しましょう。
事象ベースでリスク特定を進める方法
事象ベースでリスク特定を進める方法は以下のとおりです。
- 業務プロセスを起点にリスクを洗い出す
- 各リスクの所有者・影響度・重要度を特定
それぞれの工程について解説します。
業務プロセスを起点にリスクを洗い出す
まずは、日々の業務で行っているプロセスを明らかにした上で、その業務に関連するリスクを書き出しましょう。たとえば、営業部門の業務管理に使用しているシステムにトラブルが生じ、商談に支障が出てしまうといったリスクが考えられます。
業務を進めるにあたって支障になりそうな事象を想定するだけでなく、これまでに実際に発生したトラブルを参考にしてリスクを洗い出すことも有効です。
各リスクの所有者・影響度・重要度を特定
洗い出したリスクに対して、発生した際に責任を取るリスクの所有者や事業への影響度、対策の重要度などを分析します。
リスクの影響度や重要度を評価する方法は、資産ベースのアプローチで解説したやり方と同様です。機密性・完全性・可用性の3点を評価した上で、リスクごとの重要度を決めましょう。
リスク特定後に行うリスクマネジメントのプロセス
リスクの特定と評価を行ったあとは、以下のようなプロセスでリスクマネジメントを進めます。
- リスク対策の検討
- リスク対策の実行・モニタリング
- リスク対策の改善
ここでは、リスク特定後の各工程について解説します。
リスク対策の検討
特定したリスクが実際に生じてしまった場合に備えて、どのような対策を行うかを検討します。リスク対策の方法には、リスクコントロールとリスクファイナンスの2種類があります。
リスクコントロールとは、リスクができるだけ起きないようにしたり、リスクの影響度を抑えたりするための対策です。たとえば、情報漏洩リスクへの対策であれば、社内のネットワークセキュリティの強化や、従業員への研修実施などがリスクコントロールとして考えられます。
リスクファイナンスは、リスクが発生した場合に備えて資金を用意しておく対策です。火災保険や地震保険の活用や内容の見直しなどがリスクファイナンスに含まれます。
実行にかかるコストや時間などを踏まえて、どのようなリスク対策を行うべきかを検討しましょう。
リスク対策の実行・モニタリング
優先度の高いものから順に、リスク対策を実行します。リスク対策を滞りなく進めるためには、実行時の責任者を決めることや、社内全体でプロジェクトを進めるための体制作りが重要です。
また、リスク対策の実行後は、期待した効果が得られているかを確認するモニタリングを行います。たとえば、情報漏洩リスクへの対策であれば、メールの誤送信や記録媒体の紛失などのセキュリティインシデントの発生件数を監視するなどの方法が考えられます。モニタリングを定期的に実施し、リスク対策の状況を把握しましょう。
リスク対策の改善
モニタリングの結果、新たな課題や修正が必要な点が見つかった場合には改善を行います。リスクによる影響をさらに抑える方法や、リスク対策を効率化する方法などを検討し、改善に取り組みましょう。
また、事業規模の拡大や組織体制の変更などがあった場合には、新たなリスクが生じている可能性があります。必要に応じてリスク特定のステップから見直し、リスク対策を継続的に実行していくことが重要です。
まとめ:リスク特定で経営リスクを明確化しよう
リスク特定は、リスクマネジメントの最初の工程として、企業に影響を与えるリスクを洗い出すことです。幅広いリスクに抜け漏れなく対処するために、リスク特定が重要です。
リスク特定のアプローチには資産ベースと事象ベースの2種類があります。リスクの一覧表を作成して影響度や重要度を評価した上で、リスク対策の検討や実行、モニタリングなどリスクマネジメントの取り組みを行いましょう。
リスク特定で洗い出される重要なリスクの一つに、災害による人的被害や事業中断があります。その対策として、トヨクモの『安否確認サービス2』の導入がおすすめです。安否確認サービス2では、災害時の安否確認や対策指示の共有などの効率化に取り組めます。リスク管理に取り組む企業のご担当の方は、安否確認サービス2の導入をぜひご検討ください。
