はじめに

ISMSのメインの取り組みのひとつとして、リスクアセスメントが挙げられます。リスクアセスメントには管理策などを基に現状のルールなどと比較しながら対応を検討する方法や、洗い出した情報資産を基にリスクを検討する方法など様々な観点からの洗い出し方法があります。

今回は様々な手法の中でも、各部署の業務からリスクを洗い出すという手法について考えてみたいと思います。

業務の観点からリスクを洗い出すとは?

リスクの洗い出し方には、様々な方法があります。例えば、「何らかのガイドラインを参考に現在の対応状況を確認する」「各情報資産に対して発生しうるリスクを特定する」といった方法です。

その中でも業務の観点からリスクを洗い出すというのは、実際に自分たちが行っている業務・作業の中で発生する可能性のあるミスや、発生したら困ること、何か対策を取れるのではないかと思っていたことなどからリスクを洗い出していくという考え方です。

業務から洗い出すメリットデメリット

様々なリスクの洗い出しの中でも、業務から洗い出す方法に見られるメリットデメリットについて整理しました。

メリット デメリット
  • 業務によるミスといった視点からもリスクを洗い出せる
  • 普段の業務上感じている課題や効率化の案をリスクの洗い出しに反映できる
  • リモートワークの普及による業務の変更など社会環境に応じたリスクの洗い出しを行うことができる
  • 認識するリスクのイメージによって洗い出しの粒度がバラバラになる
  • 洗い出しが非効率になった場合、多大な工数がかかる可能性がある

メリット

【①業務によるミスといった視点からリスクを洗い出せる】

たとえば、管理策などとの比較や情報資産からの洗い出しを行っていった場合、一般的なリスクや、もしこの資産に何かあったらといった視点からのリスクを洗い出すことはできますが、人的なミスなど、より業務に沿って現実的に考えられるリスクを見逃す可能性があります。

その点、業務の観点からリスクを洗い出すことで、本当に業務上発生していることや発生する可能性のある事を見つけ出していくことができ、より組織に合ったリスクの洗い出しを行っていくことができます。

【②普段の業務上感じている課題や効率化の案をリスクの洗い出しに反映できる】

日常的に業務を行っていく中で、「○○がおきたらまずいから発生する可能性を減らせるようにルール化とかしてほしいな」や「○○に関するツールの導入やルールの整備が出来たらもっと効率よく業務出来るのに」と思っている従業者の方もいらっしゃるのではないでしょうか。

そういった各個人が心の中に秘めている課題感や案などをリスクの洗い出しに合わせて提案していくということもできます。

【③業務の変更などに応じたリスクの洗い出しを行うことができる】

情報資産などを基に洗い出しを行った場合、ある程度基礎的な形に基づいてリスクを洗い出すことができます。その場合一般的なリスクの洗い出しはある程度実施できるでしょうが、反対に言うと情報資産から考えることができるリスク以上のものを洗い出せない可能性があります。

たとえば、取り扱う情報資産自体に変化がなくても、今回のコロナ禍によるリモートワークの普及とともに、業務のやり方が変わった結果起こり得るリスクについても変化がみられる可能性があります。

その点から、業務視点でリスクの洗い出しを実施することで、状況に応じたリスクの見逃しを軽減することができると言えます。

デメリット

ひとつ大きなデメリットとしては、管理策などとの比較や情報資産からの洗い出しの場合、洗い出すための基となる資料があるため、一つ一つ確認しながら洗い出すことが可能です。
一方で、業務から洗い出すとなった場合、どの程度の粒度でどこまで洗い出すべきかということが一律に認識しづらく、結果として洗い出す人ごとに基準がバラバラになる可能性があります。

また、その結果として、リスクの洗い出しが非効率になり、多大な工数がかかることも考えられます。

まとめ

今回は、業務の観点からリスクを洗い出すことについてのメリットデメリットを考えてきました。

業務観点からのリスクアセスメントを行う際は、上記のようなメリットデメリットを把握することが大切です。

次回は、業務の観点からリスクアセスメントを実施することにした場合、どのような流れで行えばいいのかという点について考えてみたいと思います。

業務の観点からリスクを洗い出してみる①

はじめに

ISMSのメインの取り組みのひとつとして、リスクアセスメントが挙げられます。リスクアセスメントには管理策などを基に現状のルールなどと比較しながら対応を検討する方法や、洗い出した情報資産を基にリスクを検討する方法など様々な観点からの洗い出し方法があります。

今回は様々な手法の中でも、各部署の業務からリスクを洗い出すという手法について考えてみたいと思います。

業務の観点からリスクを洗い出すとは?

リスクの洗い出し方には、様々な方法があります。例えば、「何らかのガイドラインを参考に現在の対応状況を確認する」「各情報資産に対して発生しうるリスクを特定する」といった方法です。

その中でも業務の観点からリスクを洗い出すというのは、実際に自分たちが行っている業務・作業の中で発生する可能性のあるミスや、発生したら困ること、何か対策を取れるのではないかと思っていたことなどからリスクを洗い出していくという考え方です。

業務から洗い出すメリットデメリット

様々なリスクの洗い出しの中でも、業務から洗い出す方法に見られるメリットデメリットについて整理しました。

メリット デメリット
  • 業務によるミスといった視点からもリスクを洗い出せる
  • 普段の業務上感じている課題や効率化の案をリスクの洗い出しに反映できる
  • リモートワークの普及による業務の変更など社会環境に応じたリスクの洗い出しを行うことができる
  • 認識するリスクのイメージによって洗い出しの粒度がバラバラになる
  • 洗い出しが非効率になった場合、多大な工数がかかる可能性がある

メリット

【①業務によるミスといった視点からリスクを洗い出せる】

たとえば、管理策などとの比較や情報資産からの洗い出しを行っていった場合、一般的なリスクや、もしこの資産に何かあったらといった視点からのリスクを洗い出すことはできますが、人的なミスなど、より業務に沿って現実的に考えられるリスクを見逃す可能性があります。

その点、業務の観点からリスクを洗い出すことで、本当に業務上発生していることや発生する可能性のある事を見つけ出していくことができ、より組織に合ったリスクの洗い出しを行っていくことができます。

【②普段の業務上感じている課題や効率化の案をリスクの洗い出しに反映できる】

日常的に業務を行っていく中で、「○○がおきたらまずいから発生する可能性を減らせるようにルール化とかしてほしいな」や「○○に関するツールの導入やルールの整備が出来たらもっと効率よく業務出来るのに」と思っている従業者の方もいらっしゃるのではないでしょうか。

そういった各個人が心の中に秘めている課題感や案などをリスクの洗い出しに合わせて提案していくということもできます。

【③業務の変更などに応じたリスクの洗い出しを行うことができる】

情報資産などを基に洗い出しを行った場合、ある程度基礎的な形に基づいてリスクを洗い出すことができます。その場合一般的なリスクの洗い出しはある程度実施できるでしょうが、反対に言うと情報資産から考えることができるリスク以上のものを洗い出せない可能性があります。

たとえば、取り扱う情報資産自体に変化がなくても、今回のコロナ禍によるリモートワークの普及とともに、業務のやり方が変わった結果起こり得るリスクについても変化がみられる可能性があります。

その点から、業務視点でリスクの洗い出しを実施することで、状況に応じたリスクの見逃しを軽減することができると言えます。

デメリット

ひとつ大きなデメリットとしては、管理策などとの比較や情報資産からの洗い出しの場合、洗い出すための基となる資料があるため、一つ一つ確認しながら洗い出すことが可能です。
一方で、業務から洗い出すとなった場合、どの程度の粒度でどこまで洗い出すべきかということが一律に認識しづらく、結果として洗い出す人ごとに基準がバラバラになる可能性があります。

また、その結果として、リスクの洗い出しが非効率になり、多大な工数がかかることも考えられます。

まとめ

今回は、業務の観点からリスクを洗い出すことについてのメリットデメリットを考えてきました。

業務観点からのリスクアセスメントを行う際は、上記のようなメリットデメリットを把握することが大切です。

次回は、業務の観点からリスクアセスメントを実施することにした場合、どのような流れで行えばいいのかという点について考えてみたいと思います。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする