リスク分析表とは?必要な内容や作成方法、注意点などについて解説

この記事は約7分で読めます。
2016.02.18

ISMSやPマークの取得の取り組みにおいて、リスクアセスメント(危険性の特定、リスク見積り、優先度設定、リスク低減措置決定の一連の流れを総合してリスクアセスメントと呼ぶ)は、個人情報を扱う事業を継続していくために、非常に重要です。

今回は、リスク分析表の概要、分析表に必要な内容や作成方法、注意点などについて解説します。
ぜひ最後までご覧ください。

また、情報セキュリティリスクへの対応の一助として、LRMでは、自社がやるべき対策を洗い出せる「セキュリティチェックシート」を無料で配布しています。ぜひご活用ください。

セキュリティチェックシート
自社のセキュリティ状況を客観評価
現役セキュリティコンサル作成14分野30項目(無料)
チェックリスト画像

リスク分析表とは

リスク分析表とは、現在の事業で想定されるリスクを洗い出し、それらリスクへの対策をリスト化して、リスクの低減を狙うものです。

例えば、Pマークは、個人情報保護法を遵守するための仕組みを構築・運用していることをマークによって示す制度ですので、リスク分析表が非常に重要な存在であり、リスク分析表の作成により、リスクに応じたセキュリティ管理体制の構築に役立てることができます。

リスク分析表を活用し「適切な個人情報の取り扱い」を目指しましょう。

参考PDF

リスク分析・対応表(参考例) – 厚生労働省

リスク分析表に必要な内容

リスク分析表に必要な内容は以下になります。

  • リスクの種類や発生原因
  • リスクの影響度合い
  • リスクの発生確率
  • 対策の内容と責任者
  • 対策の実施期限

それぞれ解説します。

リスクの種類や発生原因

リスクが何に起因しているのかを明確にし、それに対してどのような対策が必要かを考えることが重要です。

リスクの影響度合い

リスクが発生した場合に、どの程度影響を与えるかを明確にする必要があります。

影響度合いは、財務的損失、業務の遅延、ブランドイメージへの悪影響など様々な観点から評価されます。

リスクの発生確率

リスクが発生する可能性を評価することで、優先度や対策の選択肢を決定することができます。

対策の内容と責任者

リスクに対してどのような対策を実施するのか、そしてその責任者は誰なのかを明確にする必要があります。

対策の実施期限

対策をいつまでに実施するのかを明確にすることで、スケジュール管理やタスクの優先度を決定することができます。

以上のような情報をまとめて、リスク分析表に落とし込むことで、プロジェクトのリスクマネジメントを効果的に行うことができます。

リスク分析表作成の流れ

リスク分析表作成の流れは以下のようなものです。

  1. リスク発見
  2. リスク特定
  3. リスク算定/評価

それぞれ解説します。
リスクの発生確率と損害の大きさの二つの尺度によります。

1.リスク発見

まず、リスクの全体像を把握するために全体的に業務を見直していき、どんなリスクが潜んでいるか、発見することが必要となります。特に、個人情報を扱う業務には、様々なセキュリティリスクがあるため、より慎重に精査しましょう。

リスクの発見には、自社の業務内容を振り返るだけでなく、外部の第三者からの指摘も重要です。様々な観点から、できる限り多くのリスクを発見しましょう。

こちらのセキュリティチェックシートでリスクの発見が可能です。

セキュリティチェックシートでリスクを洗い出す

2.リスク仕分け

次に、発見されたリスクの中から重大な影響を及ぼす可能性のあるリスクを仕分けします。

例えば、金銭的にも大きな被害が想定され、さらに企業の信頼を毀損する可能性があるのであれば、リスクマネジメントという損失の回避や低減を目指すための対策をする必要があります。

反対に、そのリスクがおこる頻度がそこまで高くなく、金銭的被害も少ないのであれば、リスクマネジメントの対象とする必要がないといえるでしょう。

このように、リスクマネジメントの対象にするかどうか仕分けしていきます。

3.リスク算定/評価

リスクの仕分けを終えたら、リスクマネジメントの対象になったリスクの重要度を算定し、そのリスクの発生確率とリスクが起きたときの損害の要素で、総合的に算定します。

そして、算定したリスクからリスクマネジメントとして、対策を実施するのかどうか重要度のランク付け(評価)をしましょう。

この評価を踏まえて、どの順番でどのような対策を実施するか方針を固めましょう。

また、この一連の流れは、1度で完璧に実施できることはあまりありません。その理由は、発見できていなかったリスクが存在したり、事業内容の変更で大きく変わってしまうからです。

そのため、最初から高い精度でリスク分析をしようとするよりも、素早く、何度もリスクマネジメントをして、継続的なリスク分析をおこないましょう。

参考PDF

(別冊)分析・評価シートについての解説 – 総務省

リスク分析表作成の注意点

リスク分析表の作成にあたっては、情報資産に関する情報や価値を把握することが必要です。

情報資産とは、企業や組織にとって重要な情報のことであり、それを守るためにリスク分析を行う必要があります。情報資産を把握することで、リスク分析表に必要な項目や対策が明確にできます。

リスクマネジメントには、先述した3つのステップがあります。この流れを丁寧に実施して、リスク分析表を作成することで、漏れや不備を防ぎ、効率的にリスク分析を進めることができます。
情報の分類や取り扱い方針について十分に考慮しましょう。

また、リスク分析表は継続的に更新される必要があり、環境の変化や新たな脅威に対応するために、定期的な見直しと改善が必要です。

リスク分析表作成に有効なガイドライン

ここまで、リスク分析表の作成方法について解説しました。

ですが、実際にリスク分析表を作成するにしても、見本となる資料や指針となるサイトが無いと、スムーズな制作は難しいでしょう。

そこで、リスク分析表についての詳しく解説しているファイルをまとめてみました。リスク分析表を作成するのに有効なガイドラインを紹介します。

総務省 地方公共団体における情報資産のリスク分析・評価に関する手引き

総務省が公開している、地方公共団体における情報資産のリスク分析・評価に関するガイドラインです。

情報資産における、リスク分析や評価に関する指針が詳細に解説されています。

総務省|地方行政のデジタル化|過去の各種資料
www.soumu.go.jp

経済産業省 リスクアセスメント・ハンドブック 実務編

経済産業省が公開している、リスクアセスメント・ハンドブックです。

リスクアセスメント導入の目的から、実施手順、導入や要点についてまとめられています。

製品安全(METI/経済産業省)
経済産業省のホームページ。製品安全。
www.meti.go.jp

IPA 制御システムのセキュリティリスク分析ガイド 第2版

IPA(独立行政法人 情報処理推進機構)が公開している制御システムのセキュリティリスク分析ガイドです。

重要なインフラや産業システムの基盤となる、制御システムのセキュリティを向上させることを目的歳、セキュリティリスク分析を、事業者が実施できるようにするためのガイドです。

種類別に図解付きで公開されており、知識のない方でもわかりやすいように配慮されています。

制御システムのセキュリティリスク分析ガイド 第2版 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
情報処理推進機構(IPA)の「制御システムのセキュリティリスク分析ガイド第2版」に関する情報です。
www.ipa.go.jp

まとめ

リスク分析表について解説しました。

Pマークの取得において、リスクアセスメントは重要であり、リスク分析表の存在は非常に大きいです。もれなくリスクを分析してその対策ができるかは、リスク分析表の完成度にかかっています。

ぜひこの機会に自社のセキュリティリスクについて見直しをしてみてはいかがでしょうか。セキュリティチェックシートもぜひダウンロードしてお役立てください。

セキュリティチェックシート
自社のセキュリティ状況を客観評価
現役セキュリティコンサル作成14分野30項目(無料)
チェックリスト画像
認証取得を目指すPマークリスクマネジメント
タイトルとURLをコピーしました