リスクと機会とは、一般的にはISO9001で頻繁に用いられるフレーズです。
ISO9001は、品質マネジメントシステムの規格ですが、同じくISOの情報セキュリティマネジメントシステムの規格であるISO27001でも使える考え方ですので、取り上げます。
ぜひご一読ください。
また、ISO27001の認証取得をお考えの方へ、LRMでは、ISMS/ISO27001認証取得までの対応を抜け漏れなく実施できるTodoリストを無料で配布しています。
ぜひご活用ください。
リスクと機会とは
リスクと機会は、「リスク及び機会への取り組み」というフレーズで用いられます。
「リスク」及び「機会への取り組み」という分け方ができ、かんたんに言えば、洗い出したリスクについて、従業員や顧客の要望を踏まえて、どのような機会があり、それにどのような取り組みを行っていくのか、というニュアンスを含みます。
かなり削ぎ落した説明をしましたが、そんなに単純な話でもないので、ここから詳しく解説します。
リスクと機会の意味についておさらい
それでは、「リスク」「機会」それぞれの言葉について考えてみましょう。
リスクとは
リスクとは、広くは、将来の意図する状況・結果を阻害するような事象のことです。
辞書的には下記の意味です。
リスクとは、将来いずれかの時に起こる不確定な事象とその影響、という意味である。日本語においては、何か悪い事が起こる可能性、予想通りにいかない危険、危機が生じる度合いなど「危険」や「危機」をさすことが多いが、悪い事象そのものだけではなく可能性を含めた意味がある。つまり「不確定な要素を事前に測定できるもの」と定義される。
Weblio辞書
リスク、というと、マイナスなものだけを想像してしまいますが、逆に、意図する状況・結果を大きく上回る好況の事象もリスクに含まれます。
情報セキュリティから話題はそれますが、「黒字倒産」などを考えるとイメージしやすいのではないでしょうか。
また、リスクとはただそれだけで存在するものではなく、「脆弱性」と「脅威」からなります。
例えば、かんたんなパスワードを設定していることは脆弱性であり、それを見破ることのできる攻撃者の存在が脅威であり、この両方がかけ合わさって、「リスク」ということです。
一見すると言葉の綾のようですが、リスクに備えるうえでこの前提を押さえておくのと置かないのとでは大きく考え方・対処が変わってきますので、心にとどめておいてください。
機会とは
事をするのに最も都合のよい時機。ちょうどよい折。チャンス。
Weblio辞書
機会は、この辞書通りの意味ではありません。
英語で考えると、上記の引用では、機会を「チャンス(chance)」と捉えていますが、リスクと機会における「機会」は、「オポチュニティ(opportunity)」を指します。
「チャンス」は目的とする状況を達成する事ができる機会・可能性、といった意味ですが、こちら「オポチュニティ」の機会は、時間・状況などの要因が合わさり、計画通りにいく/予想した方向に向かっていく機会・可能性、といった意味になります。
企業の計画が予定通り達成される可能性・確からしさ、といった具合です。
こちらも言葉の綾のようではありますが、心にとどめておいてください。
リスクと機会を決める必要性
ここまでで述べてきた通り、「リスク」や「機会」は、企業における計画の成功・失敗に直接的にかかわるものです。
機会が多ければうまくいく可能性が高く、リスクを見誤るとうまくいきません。
したがって、リスクと機会を決める必要性としては、下記が挙げられます。
- 計画通りの結果を得て、利益や信頼を獲得するため
- 計画が失敗に終わった場合にも不利益を小さくする、ないしは、適切なリカバリをするため
- 継続的な改善をするため
情報セキュリティに関して言えば、情報セキュリティ対策は、情報の機密性、完全性、可用性を確保して「保有する情報資産を有効に活用する」取り組みになりますので、それにあたってのリスクや取り組みをするうえでの機会というのを定めておけば、やるべきことも明確になりますし、適切な対策がとれるようになっていくのではないでしょうか。
リスクと機会を分析する方法
リスクと機会を分析する方法として有用なフレームワーク「SWOT分析」をご紹介します。
もともとはマーケティング戦略の立案におけるマーケットや環境の分析に使用するものですが、リスクや機械のもととなる外部・内部要因をポジティブなもの、ネガティブなものに分けて分析することができるため、「リスク及び機会への取り組み」に実はうってつけです。
SWOT分析とは
SWOT分析とは、企業の「内部環境」「外部環境」をそれぞれプラス要素・マイナス要素に分類する手法です。
- Strength(強み)
- Weakness(弱み)
- Opportunity(機会)
- Threat(脅威)
のそれぞれの脅威を取ってSWOT分析と名づけられています。
※ここでのOpportunity(機会)は、マーケティングにおける意味です。必ずしもISO規格における「機会」と同じ意味ではないことにご注意ください。
SWOT分析の方法
SWOT分析では、下記のような分類表を作成します。
プラス要素 | マイナス要素 | |
---|---|---|
内部環境 | Strength(強み) | Weakness(弱み) |
外部環境 | Opportunity(機会) | Threat(脅威) |
それぞれ、下記のように特定します。例として、セキュリティに関するものを付記します。
- Strength(強み)
- 自社における優れた点をリストアップします。例えば、セキュリティポリシー、運用手順、ネットワーク監視・アクセス制御などが行き届いていることです。
- Weakness(弱み)
- 自社における改善すべき点をリストアップします。セキュリティポリシーの不備、従業員のセキュリティ意識の低さ、パッチ適用の遅れ、セキュリティシステムの構築不備など、必要なのにできていないこと・不十分なことが挙げられます。
- Opportunity(機会)
- 自社の計画にプラスになる外部要因をリストアップします。新しい技術の採用、セキュリティ教育・訓練の充実、顧客のセキュリティ要求などが考えられます。
- Threat(脅威)
- 自社の計画を妨げる可能性のある外部要因をリストアップします。マルウェアやサイバー攻撃、内部不正などが該当します。
企業におけるリスクと機会への取り組みとは
始めに述べたように、リスクと機会への取り組みとは、洗い出したリスクについて、従業員や顧客の要望を踏まえて、どのような機会があり、それにどのような取り組みを行っていくのか、ということです。
文書化、記録については定められていませんので、審査や監査で話せるようになっていればOKになります。
具体的な部分に関しては、他のマネジメントシステムの取り組みと同様にPDCAサイクルに則って実施するのがベターかと思われます。
- リスクへの取り組みの計画(Plan)
- 計画の実施・取り組み(Do)
- 取り組んだ結果の有効性の確認(Check)
- それをもとに改善(Act)
リスク一般について言えることではありますが、当然、全てのリスクに等しく最大限の対応をすることはコストパフォーマンスやリソースの面で難しいので、リスク毎に優先順位をつけて対応しましょう。
まとめ
少し難しい話でしたが、ISOの規格における「リスク」と「機会」について解説しました。
情報セキュリティ対策がうまく計画通りにいくために、失敗しても迅速なリカバリができて被害が最小限になるように、しっかりリスクと機会への取り組みをしておきましょう。
また、弊社LRMではISMS/ISO27001 認証取得コンサルティングを実施しています。
専属コンサルチームがクラウドサービスを使いながら効率的な認証取得をご支援します。
まずはお気軽にご相談ください。