問題
テクノロジ系
問72 情報セキュリティのリスクマネジメントにおけるリスク対応を,リスク回避,リスク共有,リスク低減及びリスク保有の四つに分類したとき,リスク共有の説明として,適切なものはどれか。
選択肢
- ア個人情報を取り扱わないなど,リスクを伴う活動自体を停止したり,リスク要因を根本的に排除したりすること
- イ災害に備えてデータセンターを地理的に離れた複数の場所に分散するなど,リスクの発生確率や損害を減らす対策を講じること
- ウ保険への加入など,リスクを一定の合意の下に別の組織へ移転又は分散することによって,リスクが顕在化したときの損害を低減すること
- エリスクの発生確率やリスクが発生したときの損害が小さいと考えられる場合に,リスクを認識した上で特に対策を講じず,そのリスクを受け入れること
解説
正解:ウ
概要
この問題は、情報セキュリティにおけるリスクマネジメントの四つの対応方法の違いについて問うものです。特にリスク共有の内容を正しく理解しているかがポイントです。
正解の理由
リスク共有とは、保険への加入などによって、リスクを他の組織と分担したり移転したりする方法です。自組織だけで負担せず、契約などに基づいて損害の一部を他者に負担してもらう考え方であるため、ウが正解です。
各選択肢の解説
ア(×): リスクを伴う活動を中止したり、原因を取り除いたりするのはリスク回避の説明です。リスクそのものをなくす方法であり、他者と分担するリスク共有ではないため誤りです。
イ(×): データセンターを分散するなど、発生確率や損害を小さくする対策はリスク低減に該当します。リスクを他者に移すのではなく、自ら対策を行う点でリスク共有とは異なるため誤りです。
ウ(〇): 保険への加入などによって、損害の一部を保険会社などに負担してもらう方法はリスク共有の説明です。リスクを契約に基づいて移転又は分散するため正解です。
エ(×): リスクが小さいと判断し、対策を講じずに受け入れることはリスク保有の説明です。リスクを他者と分担する考え方ではないため誤りです。
ポイント
リスク回避はやめる、リスク低減は減らす、リスク共有は移す、リスク保有は受け入れると整理して覚えましょう。