リスクマネジメントは組織のリスクに対して継続的に対策を行う仕組みです。リスクアセスメントとの違いやPDCAの流れ、SG試験でのひっかけポイントを整理します。

sg sg-security-management risk_assessment isms

まず結論

  • リスクマネジメントとは、組織のリスクを特定・評価し、対策を継続的に実施・改善していく一連の活動です
  • SG試験では「リスクアセスメントとの違い」や「PDCAで回す点」を判断させる問題がよく出ます

直感的な説明

リスクマネジメントは「事故を防ぐための習慣づくり」です。

たとえば工場であれば

  • 危ない作業を見つける(リスクの特定)
  • 危険度を考える(評価)
  • 対策を決めて実行する
  • 定期的に見直す

という流れを繰り返します。

一度対策して終わりではなく、ずっと回し続けるのがポイントです。

定義・仕組み

リスクマネジメントは、主に次の流れで構成されます。

① リスクアセスメント

リスクを把握する工程

  • リスク特定(何が起きるか)
  • リスク分析(どれくらい影響があるか)
  • リスク評価(対応すべき優先順位)

② リスク対応

評価したリスクに対して対策を決める

  • 回避(やらない)
  • 低減(対策を打つ)
  • 移転(保険や委託)
  • 受容(あえて何もしない)

③ 継続的改善(PDCA)

  • Plan:リスク評価・対策計画
  • Do:対策実施
  • Check:効果確認
  • Act:改善

👉 ここが重要
リスクマネジメントは「一回やって終わり」ではなく、PDCAで回し続ける活動です。

どんな場面で使う?

使う場面

  • ISMSの運用(継続的改善)
  • 新システム導入時のリスク検討
  • 委託先管理(外部リスクの評価)
  • インシデント再発防止

誤解しやすい場面

  • リスク分析だけで終わっている → ❌リスクマネジメントではない
  • 一度対策して放置 → ❌継続的改善がない

よくある誤解・混同

リスクアセスメントとの違い

  • ❌ リスクマネジメント=リスクアセスメント
  • ⭕ リスクアセスメントは「一部の工程」

👉 判断基準
アセスメントは分析まで、マネジメントは対策+運用まで含む

リスク対応との違い

  • ❌ リスクマネジメント=対策だけ
  • ⭕ 対策は一部で、全体の流れが重要

SG試験のひっかけ

  • 「リスクを分析している」だけ → マネジメントではない
  • 「PDCAで回している」→ マネジメント

選択肢では
「継続的改善」「PDCA」があるかを見ると判断しやすいです。

まとめ(試験直前用)

  • リスクマネジメント=リスク対応を含めた全体活動
  • リスクアセスメントはその一部(分析まで)
  • PDCAで継続的に回すのが本質
  • 「一回で終わる」は誤り
  • 判断に迷ったら「運用・改善まで含むか」で切る

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る