平成29年度 秋期 ITパスポート試験 公開問題 問42 解説 リスク対応策

リスク対応の四分類を判断する際は、その対策がリスクに対して「何をしているか」に着目します。軽減とは、リスクの発生確率を下げる、または発生した際の影響を小さくするアプローチのことです。問題文のアは、ルールや物理的な制限によって漏えいという事態が起きにくくしているため、軽減に該当します。

リスク対応策の四分類とそれぞれの判断ポイントは以下の通りです。

回避：リスクそのものをなくすこと リスクが発生する要因を取り除いたり、リスクを伴う作業自体を中止したりします。選択肢ウのように、個人情報を使わない（リスクの発生源を排除する）ことがこれにあたります。

軽減：発生確率や影響度を小さくすること リスクは存在するが、それが起きにくくなるような対策を講じます。選択肢アのように、持ち出し禁止という制限を設けて発生確率を下げることや、暗号化などの技術的な対策によって漏えい時の被害を最小化することが該当します。

転嫁（移転）：他社に責任や負担を移すこと リスクが起きた時の損害を他者に引き受けてもらいます。選択肢イの保険加入が典型例です。損害を金銭的に肩代わりしてもらうことで、自社の金銭的リスクを移転します。

受容（保有）：リスクをあえて受け入れること 対策コストが大きすぎる場合や、発生確率が極めて低い場合に、何も対策をせず結果を甘んじて受け入れます。選択肢エの予備費確保は、もしもの時に備えるという意味で受容（または保有）の側面が強い行動です。

この分類は情報セキュリティマネジメントやプロジェクト管理の分野で頻出です。実務では、どのようなリスクに対してどの分類を選択するのが経済的かつ現実的かを考えることが求められます。例えば、完全に回避するとプロジェクトの目的が達成できない場合、軽減策を組み合わせてリスクを許容範囲内に収める手法がよく取られます。試験では、行動内容が「リスクを消したのか」「減らしたのか」「責任を外に出したのか」「運を天に任せたのか」という視点で分類すると、迷わず正解を選べるようになります。

IPA 独立行政法人 情報処理推進機構：情報セキュリティマネジメントの概念 ITパスポート試験ドットコム：リスク対応策 @IT：リスクマネジメントの基本プロセス