最終更新日:2026年5月20日
sg sg-security-management
まず結論
- 残留リスクとは「リスク対応を行った後でも残るリスク」
- SG試験では「対応してもゼロにならない」という前提を理解できているかが問われる
直感的な説明
例えば「鍵をかける」対策をしても、泥棒が絶対に入れないわけではありません。
- 鍵をかける → リスクは下がる
- でも「ゼロにはならない」
この「対策してもまだ残っているリスク」が残留リスクです。
👉 対策=リスク消滅ではない、というのがポイント
定義・仕組み
残留リスクは、リスクマネジメントの流れの中で次のように位置づけられます。
- リスクを特定する
- リスクを評価する
- リスク対応(回避・低減・移転・受容)を行う
- それでも残るリスクが「残留リスク」
つまり、
- 対策後の状態で
- 「まだ許容するか?」を判断する対象
になります。
ISMSでも、最終的に「残留リスクを受容できるか」が重要な判断になります。
どんな場面で使う?
よく使う場面
- セキュリティ対策を実施した後の最終判断
- 管理者が「これ以上対策するか?」を決める場面
- コストとリスクのバランスを取る場面
👉 実務では
「コストをかけすぎず、どこまで許容するか」が重要
誤解しやすい場面
- 「対策したから安全」と考える
- 「リスクはゼロにできる」と思う
👉 SG試験ではこの考えは明確に誤り
よくある誤解・混同
❌ よくある誤解
- 残留リスク=対策が不十分な状態
- 残留リスク=対応前のリスク
⭕ 正しい理解
- 残留リスク=対応後でも残るリスク(正常な状態)
混同しやすい用語
- 固有リスク(Inherent Risk)
- 対策前のリスク
- まだ何もしていない状態
- 残留リスク(Residual Risk)
- 対策後のリスク
- それでも残るもの
👉 SG試験では
「対策前か、対策後か」で切り分ける
典型的なひっかけ
- 「対策したらリスクはなくなる」→ ❌
- 「残留リスクはゼロにするべき」→ ❌
- 「残留リスクは受容するか判断する対象」→ ⭕
👉 選択肢では
「残る」「許容」「判断」などのキーワードが出たら正解に近い
確認問題(SG試験対策)
残留リスクの説明として、最も適切なものはどれか。
- ア. 対策を実施した後にも受け入れざるを得ず残るリスクである。
- イ. 対策前に特定したすべてのリスクの総称である。
- ウ. 事故発生後に新たに作られるリスクだけを指す。
- エ. 残留リスクはゼロにしないと運用してはならない。
▶ クリックして答えと解説を見る(ここを開く)
正解:ア
解説
- ア:残留リスクの定義に一致。
- イ:これは初期リスクの把握に近い。
- ウ:時間軸の限定は誤り。
- エ:実務では受容判断を行う。
👉 判断ポイント
リスク対応後もゼロにはならない前提で受容判断する。
まとめ(試験直前用)
- 残留リスク=対策後にも残るリスク
- リスクはゼロにならないのが前提
- 最終的に「受容するか」を判断する対象
- 固有リスク(対策前)との違いが頻出
- SG試験では「ゼロになる」と書いてあれば誤りと判断する