問題
テクノロジ系
問76 情報セキュリティのリスクマネジメントにおけるリスク対応を,リスク回避,リスク共有,リスク低減及びリスク保有の四つに分類するとき,情報漏えい発生時の損害に備えてサイバー保険に入ることはどれに分類されるか。
選択肢
- アリスク回避
- イリスク共有
- ウリスク低減
- エリスク保有
解説
正解:イ
概要
情報セキュリティのリスク対応を「回避・共有・低減・保有」に分けたとき,サイバー保険加入がどれに当たるかを問う問題です。
正解の理由
サイバー保険は,事故が起きたときの金銭的損失を保険会社に補償してもらい,損失の負担を外部と分担します。損失を第三者と分け合う対応なので,リスク共有に分類されます。
各選択肢の解説
ア(×): リスク回避は対象業務をやめるなどしてリスク自体をなくす対応で,保険加入のように損失を補償で備える方法とは異なります。
イ(〇): リスク共有は保険や外部委託などで損失の負担を第三者と分担する対応で,サイバー保険加入はこれに当たります。
ウ(×): リスク低減は対策導入で発生確率や影響度を下げる対応で,保険は発生後の損失負担を分けるもので低減そのものではありません。
エ(×): リスク保有は対策せず損失を自社で受け入れる対応で,保険で補償を確保するのは保有ではありません。
ポイント
保険は「損失の負担を外部に移す=リスク共有」,対策強化は「発生確率や影響を下げる=リスク低減」と整理します。