平成31年度 春期 ITパスポート試験 問1 解説 リスクアセスメント

リスクアセスメントのプロセスに関する問題は、3つの要素をセットで暗記しておけば確実に得点できます。正解はリスクの分析です。

リスクアセスメントは以下の順番で行われます。

1. リスク特定：どんなリスクがあるかを探し出す
2. リスク分析：そのリスクがどの程度の大きさか（発生確率と影響度）を調べる
3. リスク評価：分析結果に基づき、対策が必要かどうかを判断する

選択肢のア（移転）、イ（回避）、ウ（低減）は、リスクアセスメントの結果を受けて行う「リスク対応」と呼ばれるプロセスです。アセスメントそのものと、その後の対応（コントロール）を混同しないように区別しましょう。

リスク特定は、組織が抱える資産（情報など）に対して、どのような脅威があるのかを洗い出す作業です。例えば「PCがウイルスに感染する」「不正アクセスを受ける」といったリスクを挙げます。

リスク分析は、特定したリスクを定量的な数値や定性的なレベル（高・中・低など）に落とし込む作業です。発生頻度がどれくらいか、発生した場合にどれほどの損害が出るかを計算し、リスクの大きさを推定します。

リスク評価は、分析されたリスクが許容できる範囲内かどうかを判断する段階です。許容できないリスクであれば、次にリスク対応へと進みます。ここで初めて、リスクを減らすのか、保険などで移転するのか、そもそもその業務を行わない（回避）のかを選択します。

試験では「リスクアセスメントの構成要素を問うもの」と「リスク対応の具体例（回避・低減・移転・保有）を区別させるもの」の両方が頻出です。アセスメントが「リスクの現状を把握・判断する活動」であり、対応が「そのリスクをどう処理するか決める活動」であるという役割の違いを理解しておくと、関連するどの問題にも対応できます。

• リスクアセスメントの実施手順（厚生労働省）