リスク対応とは？4つの対処方法を整理【SG試験】

まず結論

リスク対応とは、リスク評価の結果をもとに「そのリスクをどう扱うか（減らす・避ける・共有する・受け入れる）」を決めて実行することです。
SG試験では「その対策がどの種類のリスク対応か」を判断させる問題がよく出ます。

このページで切り分けること（先にここだけ）

このページは、4つのリスク対応（回避・低減・共有・受容）を中心に整理します。

回避：リスク源そのものを避ける
低減：発生確率や影響を下げる
共有（移転）：損失負担を外部と分担する
受容（保有）：評価のうえ受け入れる

迷ったら、 「リスク自体を小さくするのか、損失負担に備えるのか」 を見ます。

SG試験で選択肢を切る判断軸（リスク対応編）

「対策で発生確率や影響を下げる」 → リスク低減
「保険加入・契約で損失負担を移す」 → リスク共有（移転）
「リスクが小さいため追加対策しない（承認あり）」 → リスク受容

直感的な説明

リスク対応は「事故にどう備えるかの選択」です。

たとえば地震リスクなら：

家を建てない → 回避
耐震補強する → 低減
保険に入る → 共有
何もしない → 受容

同じリスクでも「どう向き合うか」は複数の選択肢があります。
SG試験は、この選択の違いを見抜けるかがポイントです。

定義・仕組み

■ リスク対応とは

JIS Q 31000:2010（リスクマネジメントの指針）では、
リスク対応は「リスクを修正するためのプロセス」と定義されています。

■ 主な4つの対応方法（試験重要）

実務・試験では次の4つで整理すると理解しやすいです。

リスク回避
→ リスクを生む活動をやめる（例：危険なシステムを使わない）
リスク低減（軽減）
→ 発生確率や影響を下げる（例：ウイルス対策ソフト導入）
リスク共有（移転）
→ 他者と分担する（例：保険加入、外部委託）
※金銭的リスクを移すものは「リスクファイナンシング」
リスク受容（保有）
→ 評価したうえで受け入れる（例：軽微なリスクは追加対策しない）

リスク受容は、何も考えずに放置することではありません。
JIS Q 27001の文脈では、受容するリスクについてリスク所有者の承認を得ることが重要です。

どんな場面で使う？

■ よくある業務判断

システム障害リスク → 冗長化（低減）
情報漏えいリスク → 委託契約で責任分担（共有）
高コストすぎる対策 → 受容

■ SG試験での出題パターン

「この対策はどのリスク対応か？」
「適切なリスク対応を選べ」

選択肢では「行動内容」から分類させる問題が多いです。

よくある誤解・混同

❌ 保険はリスクをなくす → 間違い

→ ⭕ 保険は「リスク共有（移転）」
（損失の負担を他者に移すだけ）

❌ セキュリティ対策＝すべて低減

→ ⭕ 対策の種類で変わる

利用停止 → 回避
保険 → 共有
何もしない → 受容

❌ リスク対応は1つだけ選ぶ

→ ⭕ 複数を組み合わせることもある

■ SG試験のひっかけポイント

「保険」「契約」→ 共有
「やめる」「中止」→ 回避
「対策導入」→ 低減
「リスク所有者が承認」→ 受容の正しい手続
「監視やレビューの対象外」→ 誤り

この対応関係を覚えておくと、選択肢をかなり切れます。

確認問題（SG試験対策）

リスク対応（リスク対応策の選択）として、最も適切なものはどれか。

ア. どのリスクも必ず回避を選ぶ。
イ. 対策コスト・効果・受容基準を踏まえ、回避・低減・移転・受容を選択する。
ウ. 影響が大きいリスクほど必ず受容する。
エ. 一度決めた対応策は状況が変わっても見直さない。

▶ クリックして答えと解説を見る（ここを開く）

正解：イ

解説

ア：回避一択は現実的でありません。
イ：SGで問われる標準的な選択軸です。
ウ：高リスクは低減や回避が必要になることが多いです。
エ：環境変化に応じた見直しが必要です。

👉 判断ポイント
「受容基準に照らして、複数の対応から選ぶ」が基本。

まとめ（試験直前用）

リスク対応＝「どう扱うか」の意思決定
4分類：回避・低減・共有・受容
保険・委託 → 共有（超頻出）
受容は放置ではなく、評価と承認を伴う
SG試験は「行動から分類」を問う問題が多い
キーワードで即判定できるようにするのがコツ

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る