最終更新日:2026年5月13日
sg sg-security-management isms risk_assessment
まず結論
- リスク所有者とは、リスクを運用管理することについて、アカウンタビリティ(説明責任)と権限をもつ人または主体です。
- SG試験では、「管理責任と権限を持つか」で選択肢を切り分けるのがポイントです。
- 「トップマネジメント」「利害関係者」「監査員」との違いが、ひっかけとしてよく出ます。
直感的な説明
リスク所有者は、簡単にいうと「このリスクをどう管理するかを決め、結果に責任を持つ人」です。
たとえば、重要データを扱う業務で、情報漏えいリスクへの対策を決める場面を考えます。
- 監査員は、対策が適切かを確認する立場
- 利害関係者は、影響を受ける立場
- トップマネジメントは、組織全体を指揮する立場
- リスク所有者は、そのリスクの管理方針や受容判断に責任を持つ立場
この違いを押さえると、選択肢を切りやすくなります。
定義・仕組み
JIS Q 27000(情報セキュリティマネジメントシステム用語)では、リスク所有者は次の趣旨で定義されます。
- リスクを運用管理することについて
- アカウンタビリティ及び権限をもつ
- 人又は主体
SG試験では、文言の一部を入れ替えて混同させる問題が出ます。特に次の比較が重要です。
| 用語 | 何を指すか | 切り分けポイント |
|---|---|---|
| リスク所有者 | リスク運用管理の責任と権限を持つ主体 | 責任+権限があるか |
| トップマネジメント | 組織を最高位で指揮・管理する人または集まり | 組織全体の統率か |
| 利害関係者 | 意思決定や活動に影響を与える/受ける個人・組織 | 影響関係の有無か |
| 監査員 | 監査を行い結果を報告する立場 | 確認・報告の役割か |
どんな場面で使う?
リスク所有者の考え方は、次のような場面で登場します。
- リスクアセスメント結果の受容可否を判断する
- リスク対応(回避・低減・移転・受容)を決める
- 対応後に残る残留リスクを受け入れるか判断する
- 監査やレビューで、誰が管理責任を持つかを明確にする
試験では、「誰がそのリスクを管理する責任主体か」という観点で問われます。
よくある誤解・混同
誤解1:リスク所有者=トップマネジメント
トップマネジメントは組織全体を統率する立場です。
一方、リスク所有者は、個別のリスク管理に責任と権限を持つ主体です。
誤解2:リスク所有者=利害関係者
利害関係者は、影響を与える/受ける広い概念です。
責任と権限をもってリスク管理を担うとは限りません。
誤解3:リスク所有者=監査員
監査員は、適切に運用されているかを確認する側です。
リスクの管理責任主体そのものではありません。
確認問題(SG試験対策)
次のうち、JIS Q 27000でいう「リスク所有者」の説明として最も適切なものはどれか。
ア. ISMSを監査し、監査結果を被監査主体に報告する人
イ. 最高位で組織を指揮し管理する個人又は人々の集まり
ウ. ある決定事項や活動に影響を与え得る、又は影響を受け得る個人又は組織
エ. リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体
▶ クリックして答えと解説を見る(ここを開く)
正解:エ
解説
- ア:監査員の説明です。
- イ:トップマネジメントの説明です。
- ウ:利害関係者の説明です。
- エ:リスク所有者の定義に対応します。
👉 判断ポイント
「リスク管理に対する責任と権限」を持つ主体かどうかで切り分ける。
まとめ(試験直前用)
- リスク所有者は、リスクの運用管理について責任(アカウンタビリティ)と権限を持つ主体です。
- 「トップマネジメント」「利害関係者」「監査員」との違いが頻出です。
- 試験では、責任と権限の有無を軸に選択肢を切ると正答しやすくなります。
🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 保証型監査と助言型監査の違い【SG試験】
- 監査とは?証拠にもとづいて有効性を確認する考え方【SG試験】