基本情報 平成25年度 春期 問39：テクノロジ系に関する問題

答えは b です。

リスク対策は4種類あります：

• 回避：そもそも危ない事業をやらない
• 低減：危なくないように対策する（セキュリティ強化など）
• 移転（共有）：他人に肩代わりしてもらう（保険・外注）
• 受容：そのまま受け入れる（影響が小さいから）

リスク移転の代表は保険。火事になっても保険会社がお金を出してくれます。

👉 覚え方：「移転＝他人にリスクを引き受けてもらう＝保険」。

ほかの選択肢：a 発生率低下は「低減」／c 原因除去は「回避」／d 分解・集約はリスク分析の手法。

なぜこれが正解か

正解は b。リスク対応の4分類のうち リスク共有（リスク移転）は、保険加入や外部委託契約により他者とリスクを分担する手法。代表例は損害保険、サイバー保険、再保険、業務委託契約による責任分担。

リスク対応4分類の整理

• リスク回避（avoidance）：原因除去・活動停止 → 選択肢c
• リスク低減（mitigation/reduction）：発生率/影響度の削減 → 選択肢a
• リスク共有/移転（sharing/transfer）：第三者とリスク分担 → 選択肢b（正解）
• リスク保有/受容（retention/acceptance）：影響が小さい場合に対策せず保有

各選択肢の解説

• a 損失発生率を低下 → リスク低減
• b 保険などで他者と分散 → リスク共有/移転（正解）
• c リスクの原因除去 → リスク回避
• d 扱いやすい単位に分解・集約 → リスク分析の手法（リスク対応そのものではない）

覚え方・ひっかけ注意

JIS Q 31000の用語で「移転」は「共有」に改訂された。意味は同じ。「回避＝やめる、低減＝防ぐ、共有＝肩代わり、受容＝あきらめる」と覚える。サイバー保険、業務委託、クラウドサービス利用（責任共有モデル）は全てリスク共有の実例。

理論的背景

リスクマネジメントは ISO 31000（JIS Q 31000）で「コミュニケーション・協議 → 適用範囲・状況・基準確立 → リスクアセスメント（特定・分析・評価） → リスク対応 → モニタリング・レビュー → 記録・報告」のプロセスで体系化。リスク対応の選択肢は4分類が標準で、ISO/IEC 27005（情報セキュリティ）、PMBOK（プロジェクトマネジメント）でも同じ枠組みを採用。残留リスク（対応後に残るリスク）は経営層が受容判断する。

実務での使われ方

リスク共有（移転）の典型実装：

• 保険契約：火災・地震・サイバー保険・PL保険・D&O保険
• 業務委託：システム運用・セキュリティ監視（SOC）・コールセンタ
• クラウドサービス：AWS・Azure・GCPとの責任共有モデル
• 再保険：保険会社が他保険会社へリスク再移転
• デリバティブ：金融リスクヘッジ（為替予約・金利スワップ）

注意点：移転先（保険会社・委託先）の信用力リスク、契約上の補償範囲制限（免責事項）、レピュテーション（評判）リスクは元の組織に残存する点（移転できないリスク）。

試験での位置づけ

FE・APマネジメント分野で頻出。リスク対応4分類、リスクマトリクス、リスクアセスメント手法（定性的・定量的）、BIA（Business Impact Analysis）、BCP/BCM、IT-BCPと関連付けて出題。応用情報・支援士・PMでは具体的なリスク対応戦略立案、リスク登録簿（risk register）、ハインリッヒの法則、フォルトツリー分析（FTA）まで踏み込む。

関連事項・発展補足

クラウドサービス利用時の責任共有モデル（Shared Responsibility Model）は現代の代表的リスク共有：AWSの場合、AWS側は「クラウドのセキュリティ（物理データセンタ・ハイパーバイザ）」、利用者側は「クラウド内のセキュリティ（OS・アプリ・データ・IAM）」を担当。SaaS利用では利用者責任が最小、IaaS利用では最大。リスク低減（a）の具体例として、多要素認証（MFA）、暗号化、WAF、IDS/IPS、定期パッチ適用が挙げられる。リスク回避（c）は事業撤退・サービス廃止など極端な選択肢。リスク受容（d相当）は影響度・発生確率ともに小さい場合の合理的選択で、CFOやCISOの判断と稟議が必要。ERM（Enterprise Risk Management、全社的リスクマネジメント）は COSO ERM・ISO 31000 が両輪で経営戦略に統合される潮流。