>サイトトップへ >このカテゴリの一覧へ

Q 31000

:2010 (ISO 31000:2009)

(1)

目  次

ページ

序文 

1

1

  適用範囲

4

2

  用語及び定義 

4

3

  原則

9

4

  枠組み

10

4.1

  一般

10

4.2

  指令及びコミットメント 

11

4.3

  リスクの運用管理のための枠組みの設計 

12

4.4

  リスクマネジメントの実践 

14

4.5

  枠組みのモニタリング及びレビュー 

14

4.6

  枠組みの継続的改善

14

5

  プロセス

14

5.1

  一般

14

5.2

  コミュニケーション及び協議

15

5.3

  組織の状況の確定

16

5.4

  リスクアセスメント

18

5.5

  リスク対応 

19

5.6

  モニタリング及びレビュー 

21

5.7

  リスクマネジメントプロセスの記録作成 

21

附属書 A(参考)高度リスクマネジメントの属性

22

附属書 JA(参考)JIS Q 2001:2001 とこの規格との対比 

24

附属書 JB(参考)緊急時対応への事前の備え 

26


Q 31000

:2010 (ISO 31000:2009)

(2)

まえがき

この規格は,工業標準化法に基づき,日本工業標準調査会の審議を経て,経済産業大臣が制定した日本

工業規格である。

これによって,JIS Q 2001:2001 は廃止され,この規格に置き換えられた。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,特許権,出願公開後の特許出願,実用新案権又は出願公開後の実用新案登録出願に

抵触する可能性があることに注意を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許

権,出願公開後の特許出願,実用新案権及び出願公開後の実用新案登録出願にかかわる確認について,責

任はもたない。


日本工業規格

JIS

 Q

31000

:2010

(ISO 31000

:2009

)

リスクマネジメント−原則及び指針

Risk management-Principles and guidelines

序文 

この規格は,2009 年に第 1 版として発行された ISO 31000 を基に,技術的内容及び構成を変更すること

なく作成した日本工業規格である。

なお,この規格で点線の下線を施してある箇所,

附属書 JA 及び附属書 JB は,対応国際規格にはない事

項である。

あらゆる業態及び規模の組織は,自らの目的達成の成否及び時期を不確かにする外部及び内部の要素並

びに影響力に直面している。この不確かさが組織の目的に与える影響を“リスク”という。

組織のあらゆる活動には,リスクが含まれる。組織は,リスクを特定し,分析し,自らのリスク基準を

満たすために,リスク対応でそのリスクを修正することが望ましいかを評価することによって,リスクを

運用管理する。このプロセス全体を通して,組織は,ステークホルダとのコミュニケーション及び協議を

行い,更なるリスク対応が必要とならないことを確実にするために,リスク及びリスクを軽減するための

管理策をモニタリングし,レビューする。この規格は,この体系的かつ論理的なプロセスを詳細に記述す

るものである。

いかなる組織もある程度リスクを運用管理しているが,この規格では,リスクマネジメントを効果的な

ものにするために満たされる必要のある幾つかの原則を確定している。この規格は,リスクの運用管理の

ためのプロセスを組織の全体的な統治,戦略及び計画策定,運用管理,報告プロセス,方針,価値観並び

に文化の中に統合することを目的とした枠組みを,組織が構築,実践及び継続的に改善することを推奨し

ている。

リスクマネジメントは,あらゆる時点で,数多くの領域及び階層において,組織全体に適用することも,

特定の部門,プロジェクト及び活動に適用することもできる。

今まで数多くの産業分野において,多様なニーズに応えるためにリスクマネジメントの実務が展開され

てきたが,包括的な一つの枠組みの下に一貫したプロセスを採択することによって,組織全体にわたって

リスクを効果的,効率的及び首尾一貫した形で運用管理することを確実にするための援助ができるように

なる。

この規格に記述する一般的な取組みでは,

あらゆる範囲及び組織を取り巻くあらゆる状況において,

体系的で,透明性があり,かつ,信頼できる形で,あらゆる形態のリスクを運用管理するための原則及び

指針を提供する。

リスクマネジメントの対象となる各産業分野又は各適用分野には,それぞれに個別のニーズ,対象者,

認知及び基準がある。この規格の主要な特徴は,

“組織の状況の確定”を,この一般的なリスクマネジメン

トプロセスの開始時点で行う活動として含めている点にある。組織の状況の確定によって,組織の目的,

組織が自らの目的を達成しようとする状態を取り巻く環境,組織のステークホルダ及びリスク基準の多様

性を把握することとなり,これらすべては,組織のリスクの特質及び複雑さを明らかにし,アセスメント


2

Q 31000

:2010 (ISO 31000:2009)

を行うことを援助するものである。

この規格で記述している,リスクの運用管理のための原則,それを取り巻く枠組み,及びリスクマネジ

メントプロセスの関係を,

図 に示す。

リスクの運用管理がこの規格に従って実践され,維持されると,組織は,例えば,次の事項を行うこと

ができる。

−  目的達成の起こりやすさを増加させる。

−  事前管理を促す。

−  組織全体でリスクを特定し,対応する必要性を認識する。

−  機会及び脅威の特定を改善する。

−  関連する法律及び規制の要求事項並びに国際的な規範を順守する。

−  義務的及び自主的報告を改善する。

−  統治を改善する。

−  ステークホルダの信頼及び信用を改善する。

−  意思決定及び計画のための信頼できる基盤を確定する。

−  管理策を改善する。

−  リスク対応のために資源を効果的に割り当てて使用する。

−  業務の有効性及び効率を改善する。

−  環境保護とともに健康及び安全のパフォーマンスを高める。

−  損失の予防及びインシデントマネジメントを改善する。

注記  インシデントは,規模の大小にかかわらず何らかの事象が発生した状態を表している。これ以

降は,

“事態”と訳す。

−  損失を最小化する。

−  組織的学習を改善する。

−  組織の適応力を改善する。

この規格は,次のような広範なステークホルダのニーズを満たすことを意図している。

a)

組織の中でリスクマネジメント方針の開発に責任をもつ人

b)

リスクが,組織全体又は特定の領域,プロジェクト若しくは活動で,効果的に運用管理されているこ

とを確実にすることにアカウンタビリティをもつ人

c)

リスクの運用管理において,組織の有効性を評価する必要のある人

d)

規格,指針,手順及び実務基準の特定の内容について,全体としてでも又は部分的にでも,リスクを

どのように運用管理すべきかを設定しているこれらの文書の開発者

多くの組織における現状の運用管理の実務及びプロセスは,リスクマネジメントの構成要素を含んでお

り,また,多くの組織は,特定の種類のリスク又は周辺状況のために正式なリスクマネジメントプロセス

を既に採用している。そのような場合には,組織はこの規格に照らし合わせて,既存の実務及びプロセス

について,要点を押さえたレビューをすることを決定できる。

この規格では,

“リスクマネジメント”及び“リスクの運用管理”の両方の表現を用いている。一般的に

は,

“リスクマネジメント”は,リスクを効果的に運用管理するための構造(通常,枠組み及びプロセス)

を指し,一方,

“リスクの運用管理”は,その構造を特定のリスクに適用することを意味する。


3

Q 31000

:2010 ISO 31000:2009

図 1− リ ス ク マ ネ ジ メ ン ト の 原 則 , 枠 組 み 及 び プ ロ セ ス の 関 係  

枠 組 み

( 箇 条 4

プ ロ セ ス

( 箇 条 5

リ ス ク マ ネ ジ メ ン ト

の 実 践

( 4.4

枠 組 み の モ ニ タ リ ン グ

及 び レ ビ ュ ー

( 4.5

枠 組 み の 継 続 的 改 善

( 4.6

指 令 及 び

コ ミ ッ ト メ ン ト

( 4.2

リ ス ク の 運 用 管 理 の

た め の 枠 組 み の 設 計

( 4.3

a)

価 値 を 創 造 す る

b)

組 織 の す べ て の プ ロ セ ス

に お い て 不 可 欠 な 部 分

c)

意 思 決 定 の 一 部

d)

不 確 か さ に 明 確 に 対 処 す

e)

体 系 的 か つ 組 織 的 で , 時

宜 を 得 て い る

f)

利 用 可 能 な 最 善 の 情 報 に

基 づ く

g)

組 織 に 合 わ せ て 作 ら れ て

い る

h)

人 的 及 び 文 化 的 要 因 を 考

慮 に 入 れ る

i)

透 明 性 が あ り , か つ , 包

含 的 で あ る

j)

動 的 で ,繰 り 返 し 行 わ れ ,

変 化 に 対 応 す る

k)

組 織 の 継 続 的 改 善 及 び 強

化 を 促 進 す る

原 則

( 箇 条 3

リ ス ク 特 定 ( 5.4.2

リ ス ク 分 析 ( 5.4.3

リ ス ク 評 価 ( 5.4.4

リ ス ク 対 応 ( 5.5

リ ス ク ア セ ス メ ン ト ( 5.4

組 織 の 状 況 の 確 定 ( 5.3













5.2












5.6

3

Q

 31

00
0


201

0 (
ISO

 310

00

20
09
)


4

Q 31000

:2010 (ISO 31000:2009)

適用範囲 

この規格は,リスクマネジメントに関する原則及び一般的な指針を示す。

この規格は,あらゆる公共,民間若しくは共同体の事業体,団体,グループ又は個人が使用できる。し

たがって,この規格は,いかなる産業にも分野にも特有なものではない。

注記 1  便宜上,この規格の使用者はすべて“組織”という一般用語で表現する。

この規格は,組織の存在期間全体を通して適用できるものであり,戦略及び意思決定,業務,プロセス,

機能,プロジェクト,製品,サービス,並びに資産を含む,広範囲にわたる活動に対して適用できる。

この規格は,その特質にかかわらず,好ましい結果をもたらすものか好ましくない結果をもたらすもの

かを問わず,あらゆる種類のリスクに適用できる。

この規格は一般的な指針を提供するものであるが,組織間でリスクマネジメントの画一性を高めること

を意図するものではない。リスクマネジメントの計画及び枠組みの設計,及び実践に当たっては,それぞ

れの組織の多様なニーズ,特有の目的,組織の状況,体制,業務,プロセス,機能,プロジェクト,製品,

サービス,資産及び行われている特有の実務について考慮する必要がある。

この規格は,既存及び将来制定される規格において,リスクマネジメントのプロセスを整合化すること

を意図している。この規格は,特有のリスク及び/又は産業分野に対応している規格を支援する上で共通

の取組みを提供するものであり,それらの規格に取って代わるものではない。

この規格は,認証に用いることを意図したものではない。

注記 2  附属書 JA に JIS Q 2001:2001 とこの規格との対比及び附属書 JB に緊急時対応への事前の備

えについて記載する。

注記 3  この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

ISO 31000:2009

,Risk management−Principles and guidelines(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,

“一致している”

ことを示す。

用語及び定義 

この規格で用いる主な用語及び定義は,次による。

注記  リスクマネジメントに関する用語は,JIS Q 0073 がある。

2.1 

リスク(risk) 

目的に対する不確かさの影響。

注記 1  影響とは,期待されていることから,好ましい方向及び/又は好ましくない方向にかい(乖)

離することをいう。

注記 2  目的は,例えば,財務,安全衛生,環境に関する到達目標など,異なった側面があり,戦略,

組織全体,プロジェクト,製品,プロセスなど,異なったレベルで設定されることがある。

注記 3  リスクは,起こり得る事象(2.17),結果(2.18)又はこれらの組合せについて述べることに

よって,その特徴を記述することが多い。

注記 4  リスクは,ある事象(周辺状況の変化を含む。)の結果とその発生の起こりやすさ(2.19)と

の組合せとして表現されることが多い。

注記 5  不確かさとは,事象,その結果又はその起こりやすさに関する,情報,理解又は知識が,た

とえ部分的にでも欠落している状態をいう。


5

Q 31000

:2010 (ISO 31000:2009)

2.2 

リスクマネジメント(risk management)

リスク(2.1)について,組織を指揮統制するための調整された活動。

2.3 

リスクマネジメントの枠組み(risk management framework)

組織全体にわたって,

リスクマネジメント(2.2)の設計,実践,モニタリング(2.28),レビュー,継

続的改善の基盤及び組織内の取決めを提供する構成要素の集合体。

注記 1  基盤には,リスク(2.1)を運用管理するための方針,目的,指令,コミットメントなどが含

まれる。

注記 2  組織内の取決めには,計画,相互関係,アカウンタビリティ,資源,プロセス,活動などが

含まれる。

注記 3  リスクマネジメントの枠組みは,組織の全体的な戦略上,運用上の方針及び実務の中に組み

込まれる。

2.4 

リスクマネジメント方針(risk management policy)

リスクマネジメント(2.2)に関する組織の全体的な意図及び方向性を表明したもの。

2.5 

リスクに対する態度(risk attitude)

リスク(2.1)のアセスメントを行い,最終的にリスクを追求する,保有する,取る又は避けるという,

組織の取組み。

2.6 

リスクマネジメント計画(risk management plan)

リスクマネジメントの枠組み(2.3)の中で,リスク(2.1)の運用管理に適用されるべき取組み,運用

管理の構成要素及び資源を規定した構想。

注記 1  運用管理の典型的構成要素には,手順,実務,責任の割当て,活動の順序,活動の実施時期

などが含まれる。

注記 2  リスクマネジメント計画は,特定の製品,プロセス及びプロジェクト,並びに組織の一部又

は全体に適用できるものである。

2.7 

リスク所有者(risk owner)

リスク(2.1)を運用管理することについて,アカウンタビリティ及び権限をもつ人又は主体。

2.8 

リスクマネジメントプロセス(risk management process)

コミュニケーション,協議及び

組織の状況の確定(2.9)の活動,並びにリスク(2.1)の特定,分析,

評価,対応,

モニタリング(2.28)及びレビューの活動に対する,運用管理方針,手順及び実務の体系的

な適用。

2.9 

組織の状況の確定(establishing the context)

リスク(2.1)の運用管理において考慮するのが望ましい外部及び内部の要因(parameter)を規定し,リ

スクマネジメント方針(2.4)に従って適用範囲及びリスク基準(2.22)を設定すること。


6

Q 31000

:2010 (ISO 31000:2009)

2.10 

外部状況(external context)

組織が自らの目的を達成しようとする場合の外部環境。

注記  外部状況には,次の事項を含むことがある。

−  国際,国内,地方又は近隣地域を問わず,文化,社会,政治,法律,規制,金融,技術,

経済,自然及び競争の環境

−  組織の目的に影響を与える主要な原動力及び傾向

−  外部

ステークホルダ(2.13)との関係並びに外部ステークホルダの認知及び価値観

2.11 

内部状況(internal context)

組織が自らの目的を達成しようとする場合の内部環境。

注記  内部状況には,次の事項を含むことがある。

−  統治,組織体制,役割及びアカウンタビリティ

−  方針,目的及びこれらを達成するために策定された戦略

−  資源及び知識として見た場合の能力(例えば,資本,時間,人員,プロセス,システム及

び技術)

−  情報システム,情報の流れ及び意思決定プロセス(公式及び非公式の双方を含む。

−  内部

ステークホルダ(2.13)との関係並びに内部ステークホルダの認知及び価値観

−  組織文化

−  組織が採択した規格,指針及びモデル

−  契約関係の形態及び範囲

2.12 

コミュニケーション及び協議(communication and consultation)

リスク(2.1)の運用管理について,情報の提供,共有又は取得,及びステークホルダ(2.13)との対話

を行うために,組織が継続的に及び繰り返し行うプロセス。

注記 1  情報は,リスクの存在,特質,形態,起こりやすさ(2.19),重大性,評価,受容可能性,対

応又はその他の運用管理の側面に関係することがある。

注記 2  協議とは,ある事柄に関する意思決定又は方向性の決定に先立って,組織とそのステークホ

ルダとの間で行われる,その事柄についての情報に基づいたコミュニケーションの双方向プ

ロセスである。協議は,次のようなものである。

−  権力によってではなく,影響力によって,意思決定に影響を与えるプロセスである。

−  共同で意思決定を行うことではなく,意思決定に対するインプットとなる。

2.13 

ステークホルダ(stakeholder)

意思決定若しくは活動に影響を与え,影響されることがある又は影響されると認知している,あらゆる

人又は組織。

注記  意思決定者は,ステークホルダであることがある。

2.14 

リスクアセスメント(risk assessment)

リスク特定(2.15),リスク分析(2.21)及びリスク評価(2.24)のプロセス全体。


7

Q 31000

:2010 (ISO 31000:2009)

2.15 

リスク特定(risk identification)

リスク(2.1)を発見,認識及び記述するプロセス。

注記 1  リスク特定には,リスク源(2.16),事象(2.17),それらの原因及び起こり得る結果(2.18

の特定が含まれる。

注記 2  リスク特定には,過去のデータ,理論的分析,情報に基づいた意見,専門家の意見及びステ

ークホルダ(2.13)のニーズを含むことがある。

2.16 

リスク源(risk source)

それ自体又はほかとの組合せによって,

リスク(2.1)を生じさせる力を本来潜在的にもっている要素。

注記  リスク源は,有形の場合も無形の場合もある。

2.17 

事象(event)

ある一連の周辺状況の出現又は変化。

注記 1  事象は,発生が一度以上であることがあり,幾つかの原因をもつことがある。

注記 2  事象は,何かが起こらないことを含むことがある。

注記 3  事象は,“事態”又は“事故”と呼ばれることがある。

注記 4  結果(2.18)にまで至らない事象は,“ニアミス”,“事態”,“ヒヤリハット”又は“間一髪”

と呼ばれることがある。

2.18 

結果(consequence)

目的に影響を与える

事象(2.17)の結末。

注記 1  一つの事象が,様々な結果につながることがある。

注記 2  結果は,確かなことも不確かなこともあり,目的に対して好ましい影響又は好ましくない影

響を与えることもある。

注記 3  結果は,定性的にも定量的にも表現されることがある。

注記 4  初期の結果が,連鎖によって,段階的に増大することがある。

2.19 

起こりやすさ(likelihood)

何かが起こる可能性。

注記  リスクマネジメント用語において,何かが起こる可能性を表すには,その明確化,測定又は決

定が客観的か若しくは主観的か,又は定性的か若しくは定量的かを問わず,

“起こりやすさ”と

いう言葉を使用する。また,

“起こりやすさ”は,一般的な用語を用いて示すか,又は数学的に

示す(例えば,発生確率,所定期間内の頻度など)

2.20 

リスク特徴(risk profile)

あらゆる一連の

リスク(2.1)の記述。

注記  一連のリスクには,組織全体にかかわるリスク,組織の一部にかかわるリスク又はそれ以外の

別途規定したリスクを含むことがある。


8

Q 31000

:2010 (ISO 31000:2009)

2.21 

リスク分析(risk analysis)

リスク(2.1)の特質を理解し,リスクレベル(2.23)を決定するプロセス。

注記 1  リスク分析は,リスク評価(2.24)及びリスク対応(2.25)に関する意思決定の基礎を提供す

る。

注記 2  リスク分析は,リスクの算定を含む。

2.22 

リスク基準(risk criteria)

リスク(2.1)の重大性を評価するための目安とする条件。

注記 1  リスク基準は,組織の目的並びに外部状況(2.10)及び内部状況(2.11)に基づいたものであ

る。

注記 2  リスク基準は,規格,法律,方針及びその他の要求事項から導き出されることがある。

2.23 

リスクレベル(level of risk)

結果(2.18)とその起こりやすさ(2.19)との組合せとして表される,リスク(2.1)又は組み合わさっ

たリスクの大きさ。

2.24 

リスク評価(risk evaluation)

リスク(2.1)及び/又はその大きさが,受容可能か又は許容可能かを決定するために,リスク分析(2.21

の結果を

リスク基準(2.22)と比較するプロセス。

注記  リスク評価は,リスク対応(2.25)に関する意思決定を手助けする。

2.25 

リスク対応(risk treatment)

リスク(2.1)を修正するプロセス。

注記 1  リスク対応には,次の事項を含むことがある。

−  リスクを生じさせる活動を,開始又は継続しないと決定することによって,リスクを回

避すること。

−  ある機会を追求するために,リスクを取る又は増加させること。

リスク源(2.16)を除去すること。

起こりやすさ(2.19)を変えること。

結果(2.18)を変えること。

−  一つ以上の他者とリスクを共有すること(契約及びリスクファイナンシングを含む。

−  情報に基づいた意思決定によって,リスクを保有すること。

注記 2  好ましくない結果に対処するリスク対応は,“リスク軽減”,“リスク排除”,“リスク予防”及

び“リスク低減”と呼ばれることがある。

注記 3  リスク対応が,新たなリスクを生み出したり,既存のリスクを修正したりすることがある。

2.26 

管理策(control)

リスク(2.1)を修正する対策。

注記 1  管理策には,リスクを修正するためのあらゆるプロセス,方針,仕掛け,実務及びその他の


9

Q 31000

:2010 (ISO 31000:2009)

処置を含む。

注記 2  管理策が,常に意図又は想定した修正効果を発揮するとは限らない。

2.27 

残留リスク(residual risk)

リスク対応(2.25)後に残るリスク(2.1)。

注記 1  残留リスクには,特定されていないリスクが含まれることがある。

注記 2  残留リスクは,“保有リスク”としても知られている。

2.28 

モニタリング(monitoring)

要求又は期待されたパフォーマンスレベルとの差異を特定するために,状態を継続的に点検し,

監督し,

要点を押さえて観察し,又は決定すること。

注記  モニタリングは,リスクマネジメントの枠組み(2.3),リスクマネジメントプロセス(2.8),リ

スク(2.1)又は管理策(2.26)に適用できる。

2.29 

レビュー(review)

確定された目的を達成するため,対象となる事柄の適切性,妥当性及び有効性を決定するために実行さ

れる活動。

注記  レビューは,リスクマネジメントの枠組み(2.3),リスクマネジメントプロセス(2.8),リスク

2.1)又は

管理策(2.26)に適用できる。

原則 

リスクマネジメントを効果的なものにするために,組織は,次の原則をすべての階層で順守することが

望ましい。

a) 

リスクマネジメントは,価値を創造し,保護する。  リスクマネジメントは,安全衛生,保安,法律

及び規制の順守,社会的受容,環境保護,製品品質,統治,世評などの,目的の明確な達成及びパフ

ォーマンスの改善に寄与する。

b) 

リスクマネジメントは,組織のすべてのプロセスにおいて不可欠な部分である。  リスクマネジメン

トは,組織の主要な活動及びプロセスから切り離された単独の活動ではない。

リスクマネジメントは,

経営の責任の一部であり,戦略的な計画策定,並びにプロジェクトマネジメント及び変更マネジメン

トのすべてのプロセスを含む,組織のすべてのプロセスにおいて不可欠な部分である。

c) 

リスクマネジメントは,意思決定の一部である。  リスクマネジメントは,意思決定者が情報に基づ

いた選択を行い,活動の優先順位付けを行い,活動の選択肢を見分けることを援助する。

d) 

リスクマネジメントは,不確かさに明確に対処する。  リスクマネジメントは,不確かさ及びその特

質並びに不確かさへの対処について,明確に考慮する。

e) 

リスクマネジメントは,体系的かつ組織的で,時宜を得たものである。  リスクマネジメントの体系

で,時宜を得た組織的な取組みは,効率及び一貫性があり,比較可能な信頼できる結果に寄与する。

f) 

リスクマネジメントは,最も利用可能な情報に基づくものである。  リスクの運用管理のプロセスへ

のインプットは,過去のデータ,経験,ステークホルダからのフィードバック,観察所見,予測,専

門家の判断などの情報源に基づくものである。しかし,意思決定者は,利用するデータ又はモデルの

あらゆる限界,及び専門家の間の見解の相違の可能性について自ら認識し,これらを考慮に入れるこ


10

Q 31000

:2010 (ISO 31000:2009)

とが望ましい。

g) 

リスクマネジメントは,組織に合わせて作られる。  リスクマネジメントは,組織が置かれている外

部及び内部の状況,並びにリスク特徴と整合する。

h) 

リスクマネジメントは,人的及び文化的要素を考慮に入れる。  リスクマネジメントでは,組織の目

的の達成を促進又は妨害することがある外部及び内部の人々の様々な能力,認知及び意図を認識する。

i) 

リスクマネジメントは,透明性があり,かつ,包含的である。  ステークホルダ及び特に組織のすべ

ての階層における意思決定者の適切かつ時宜を得た参画によって,リスクマネジメントが現況に即し,

最新なものであり続けることを確実にする。また,参画はステークホルダの立場を適切に反映し,リ

スク基準を決定する場合に,ステークホルダの見解に配慮することを可能とする。

j) 

リスクマネジメントは,動的で,繰り返し行われ,変化に対応する。  リスクマネジメントは,継続

的に変化を察知し,対応する。それは,外部及び内部で事象が発生し,状況及び知識が変化し,モニ

タリング及びレビューが実施されるにつれて,新たなリスクが発生したり,また,既存のリスクの中

には変化したり,又はなくなったりするものがあるからである。

k) 

リスクマネジメントは,組織の継続的改善を促進する。  組織は,自らのリスクマネジメントの成熟

度を改善するために,他のすべての側面とともに,戦略を策定し,実践することが望ましい。

附属書 では,より効果的にリスクを運用管理したいと望む組織を対象とした更なる助言を提供する。

枠組み 

4.1 

一般 

リスクマネジメントの成功は,リスクマネジメントを組織全体のすべての階層に定着させるための基礎

及び取決めを提供するマネジメントの枠組みの有効性にかかっている。この枠組みは,組織の様々な階層

及び特有の状況の中で,リスクマネジメントプロセス(箇条 参照)を適用することを通じて,効果的な

リスクの運用管理を手助けするものである。このような枠組みは,リスクマネジメントプロセスから導き

出されるリスクに関する情報が,組織の関連する階層すべてにおいて,適切に報告され,意思決定及びア

カウンタビリティ確保のための基礎として活用されることを確実にするものである。

箇条 では,リスクの運用管理のために必要となる枠組みの構成要素,及びこれらが

図 に示すように

繰り返し行われ相互に関係する状況を記述する。


11

Q 31000

:2010 (ISO 31000:2009)

図 2−リスクの運用管理のための枠組みの構成要素間の関係 

この枠組みは,マネジメントシステムを規定することを意図したものではなく,むしろ,組織がリスク

マネジメントを組織の全体的なマネジメントシステムに統合することを手助けするものである。したがっ

て,組織は,枠組みの構成要素を自らの特有のニーズに順応させることが望ましい。

既存の運用管理の実務及びプロセスが,リスクマネジメントの構成要素を含む場合,又はある特定の種

類のリスク若しくは状況を対象として正式なリスクマネジメントプロセスを組織が既に採択している場合

には,その妥当性及び有効性を決定するために,この規格(

附属書 の高度リスクマネジメントの属性も

含む。

)に照らして,要点を押さえたレビュー及びアセスメントを行うことが望ましい。

4.2 

指令及びコミットメント 

リスクマネジメントを導入し,常にその有効性を確実にするためには,組織の経営者の強力かつ持続的

なコミットメントとともに,そのコミットメントをすべての階層で達成するための,戦略的でかつ綿密な

計画策定が要求される。経営者は,次の事項を実施することが望ましい。

−  リスクマネジメント方針を定め,是認する。

−  組織の文化とリスクマネジメント方針とが整合することを確実にする。

−  組織のパフォーマンス指標と整合するリスクマネジメントパフォーマンス指標を決定する。

−  リスクマネジメントの目的を,組織の目的及び戦略と整合させる。

−  法律及び規制を順守することを確実にする。

−  アカウンタビリティ及び責任を,組織内の適切な階層に割り当てる。

−  必要な資源がリスクマネジメントに配分されることを確実にする。

−  すべてのステークホルダにリスクマネジメントの便益を伝達する。

指令及びコミットメント(4.2

リスクの運用管理のための枠組みの設計(4.3

  組織及び組織の状況の理解(4.3.1) 
  リスクマネジメント方針の確定(4.3.2) 
  アカウンタビリティ(4.3.3) 
  組織のプロセスへの統合(4.3.4) 
  資源(4.3.5) 
  内部のコミュニケーション及び報告の仕組みの確定(4.3.6) 
  外部のコミュニケーション及び報告の仕組みの確定(4.3.7

リスクマネジメントの実践(4.4

  リスクの運用管理のための枠組みの実践(4.4.1) 
  リスクマネジメントプロセスの実践(4.4.2

枠組みの継続的改善(4.6

枠組みのモニタリング及びレビュー(4.5


12

Q 31000

:2010 (ISO 31000:2009)

−  リスクの運用管理のための枠組みが常に適切な状態であり続けることを確実にする。

4.3 

リスクの運用管理のための枠組みの設計 

4.3.1 

組織及び組織の状況の理解 

リスクの運用管理のための枠組みの設計及び実践の前に,組織の外部及び内部の状況の双方を評価し,

理解することが重要である。なぜなら,これらが枠組みの設計に重大な影響を及ぼすことがあるからであ

る。

組織の外部状況の評価は,次の事項を含むことがある。ただし,これらに限らない。

a)

国際,国内,地方又は近隣地域を問わず,社会及び文化,政治,法律,規制,金融,技術,経済,自

然並びに競争の環境

b)

組織の目的に影響を与える主要な原動力及び傾向

c)

外部ステークホルダとの関係並びに外部ステークホルダの認知及び価値観

組織の内部状況の評価は,次の事項を含むことがある。ただし,これらに限らない。

−  統治,組織体制,役割及びアカウンタビリティ

−  方針,目的及びこれらを達成するために策定された戦略

−  資源及び知識として理解される能力(例えば,資本,時間,人員,プロセス,システム,技術)

−  情報システム,情報の流れ及び意思決定プロセス(公式及び非公式の双方を含む。

−  内部ステークホルダとの関係並びに内部ステークホルダの認知及び価値観

−  組織の文化

−  組織が採択した規格,指針及びモデル

−  契約関係の形態及び範囲

4.3.2 

リスクマネジメント方針の確定 

リスクマネジメント方針は,リスクマネジメントに関する組織の目的及びコミットメントを明確に記述

することが望ましく,通常,次の事項を取り扱う。

−  リスクの運用管理に関する組織の合理性

−  組織の目的及び方針とリスクマネジメント方針とのつながり

−  リスクの運用管理のためのアカウンタビリティ及び責任

−  相反する利害への対処の方法

−  リスクの運用管理のためのアカウンタビリティ及び責任をもつ人を手助けするために,必要な資源を

利用可能にすることへのコミットメント

−  リスクマネジメントパフォーマンスの測定及び報告の方法

−  リスクマネジメントの方針及び枠組みを,定期的に,かつ,事象又は周辺状況の変化に応じてレビュ

ーし,改善することへのコミットメント

リスクマネジメント方針は,適切に伝達されることが望ましい。

4.3.3 

アカウンタビリティ 

組織は,リスクマネジメントプロセスの実践及び維持管理,並びにあらゆる管理策においても,妥当性,

有効性及び効率を確実にすることを含め,リスクの運用管理に関するアカウンタビリティ,権限及び適切

な力量があることを確実にすることが望ましい。これは,次の事項によって促進できる。

−  リスクを運用管理するためのアカウンタビリティ及び権限をもつリスク所有者を特定する。


13

Q 31000

:2010 (ISO 31000:2009)

−  リスクの運用管理のための枠組みの構築,実践及び維持管理にアカウンタビリティをもつ人を特定す

る。

−  リスクマネジメントプロセスに関して,組織のすべての階層の人員のその他の責任を特定する。

−  パフォーマンスの測定,外部及び/又は内部の報告並びに適切な階層での対応プロセスを確定する。

−  顕彰の適切なレベルを確実にする。

4.3.4 

組織のプロセスへの統合 

リスクマネジメントは,現況に即し,効果的かつ効率的であるような形で,組織の実務及びプロセスの

すべてに適切に組み込まれることが望ましい。リスクマネジメントプロセスは,組織のプロセスから切り

離されたものではなく,その一部となることが望ましい。特に,方針の策定,事業上及び戦略上の計画策

定とレビュー,変更管理のプロセスにリスクマネジメントを組み込むことが望ましい。

リスクマネジメント方針が実践され,リスクマネジメントが組織の実務及びプロセスのすべてに組み込

まれることを確実にするために,組織全体を網羅するリスクマネジメント計画があることが望ましい。こ

のリスクマネジメント計画は,例えば戦略的な計画など,他の組織全体計画に統合できる。

4.3.5 

資源 

組織は,リスクマネジメントに適切な資源を配分することが望ましい。

次の事項について考慮することが望ましい。

−  人員,技能,経験及び力量

−  リスクマネジメントプロセスの各ステップに必要な資源

−  リスクの運用管理のために使用される,組織のマネジメントプロセス,方法及び手段

−  文書化されたプロセス及び手順

−  情報及び知識のマネジメントシステム

−  教育訓練プログラム

4.3.6 

内部のコミュニケーション及び報告の仕組みの確定 

組織は,リスクに対するアカウンタビリティ及びリスクの所有を支援及び奨励するために,内部のコミ

ュニケーション及び報告の仕組みを確定することが望ましい。この仕組みでは,次の事項を確実にするこ

とが望ましい。

−  リスクマネジメントの枠組みの主要な構成要素,及びその後に行うあらゆる修正が適切に伝達される。

−  枠組み,その有効性及び成果に関する適切な内部報告がある。

−  リスクマネジメントの適用から導き出される関連情報が,適切な階層及び時期に利用可能である。

−  内部ステークホルダとの協議のためのプロセスがある。

これらの仕組みは,適切な場合には,多様な情報源からのリスク情報について,まとめ上げるプロセス

を含むことが望ましく,また,リスク情報の影響の受けやすさを考慮する必要がある場合もある。

4.3.7 

外部のコミュニケーション及び報告の仕組みの確定 

組織は,外部ステークホルダとどのようにコミュニケーションを図るかに関する計画を策定し,実践す

ることが望ましい。これらには,次の事項を含むことが望ましい。

−  適切な外部ステークホルダを参画させ,情報を効果的に交換することを確実にする。

−  法律,規制及び統治の要求事項を順守した外部報告をする。

−  コミュニケーション及び協議に関するフィードバック及び報告を提供する。

−  組織に対する信頼を醸成するためにコミュニケーションを活用する。


14

Q 31000

:2010 (ISO 31000:2009)

−  危機又は不測の事象発生時にステークホルダとコミュニケーションを図る。

これらの仕組みは,適切な場合には,多様な情報源からのリスク情報について,まとめ上げるプロセス

を含むことが望ましく,また,リスク情報の影響の受けやすさを考慮する必要がある場合もある。

4.4 

リスクマネジメントの実践 

4.4.1 

リスクの運用管理のための枠組みの実践 

組織は,リスクの運用管理のための自らの枠組みを実践するに当たって,次の事項を行うことが望まし

い。

−  枠組みの実践に関する適切な時期及び戦略を規定する。

−  リスクマネジメントの方針及びプロセスを組織のプロセスに適用する。

−  法律及び規制の要求事項を順守する。

−  目的の策定及び設定を含む意思決定が,リスクマネジメントのプロセスの成果と整合することを確実

にする。

−  情報共有及び教育訓練の場を設ける。

−  組織のリスクマネジメントの枠組みが常に適切な状態であることを確実にするために,ステークホル

ダとコミュニケーションを図り,協議を行う。

4.4.2 

リスクマネジメントプロセスの実践 

リスクマネジメントは,箇条 にその概要を記載するリスクマネジメントプロセスが,組織の実務及び

プロセスの一部として,組織の階層及び部門のすべてにおいて,リスクマネジメント計画に従って適用さ

れることを確実にすることによって,実践されることが望ましい。

4.5 

枠組みのモニタリング及びレビュー 

リスクマネジメントが効果的で,組織のパフォーマンスを支援し続けることを確実にするために,組織

は次の事項を実施することが望ましい。

−  適切性の観点から定期的にレビューされる指標に照らしてリスクマネジメントのパフォーマンスを測

定する。

−  リスクマネジメント計画に照らし,進ちょく(捗)状況及び計画からのかい(乖)離を定期的に測定

する。

−  リスクマネジメントの枠組み,方針及び計画が,組織の外部及び内部の状況として,依然として適切

かを定期的にレビューする。

−  リスク,リスクマネジメント計画の進ちょく状況,及びどの程度リスクマネジメント方針が順守され

ているかについて報告する。

−  リスクマネジメントの枠組みの有効性をレビューする。

4.6 

枠組みの継続的改善 

モニタリング及びレビューの結果に基づいて,リスクマネジメントの枠組み,方針及び計画がどのよう

に改善できるかについて意思決定を行うことが望ましい。この意思決定は,組織のリスクの運用管理及び

リスクマネジメント文化の改善につながることが望ましい。

プロセス 

5.1 

一般 

リスクマネジメントプロセスは,次のようなものであることが望ましい。


15

Q 31000

:2010 (ISO 31000:2009)

−  組織の運用管理に不可欠な部分である。

−  組織の文化及び実務の中に組み込まれている。

−  組織の事業プロセスに合わせて作られている。

リスクマネジメントプロセスは,5.25.6 に記載する活動によって形作られている。リスクマネジメン

トプロセスを,

図 に示す。

図 3−リスクマネジメントプロセス 

5.2 

コミュニケーション及び協議 

外部及び内部のステークホルダとのコミュニケーション及び協議は,リスクマネジメントプロセスのす

べての段階で実施することが望ましい。

したがって,コミュニケーション及び協議に関する計画を早い段階で策定することが望ましい。計画で

は,リスクそれ自体,原因,

(既知の場合には)リスクの結果,及びリスクに対応するために講じられてい

る対策にかかわる事項を取り扱うことが望ましい。リスクマネジメントプロセスの実践についてアカウン

タビリティをもつ人及びステークホルダが,意思決定の根拠及び特定の処置が必要な理由を理解すること

を確実にするために,効果的な外部及び内部のコミュニケーション及び協議を実施することが望ましい。

協議チームによる取組みは,次の事項を含むとよい。

−  組織の状況を適切に確定することを援助する。

−  ステークホルダの関心を理解し,考慮することを確実にする。

  
  
  
  
  
  
  

モニタリ


グ及びレビュー

  
  
  
  
  
  
  

コミュニ


ーション及び協議

組織の状況の確定(5.3

リスクアセスメント(5.4

リスク特定(5.4.2

リスク分析(5.4.3

リスク評価(5.4.4

リスク対応(5.5

5.2

5.6


16

Q 31000

:2010 (ISO 31000:2009)

−  リスクを適切に特定することを確実にすることを援助する。

−  リスクを分析するために,異なった領域の専門知識を集めてくる。

−  リスク基準を定め,リスクを評価する場合には,異なった見解について適切に考慮することを確実に

する。

−  対応計画への是認及び支援を確保する。

−  リスクマネジメントプロセス実践中に,適切な変更管理を強化する。

−  適切な外部及び内部のコミュニケーション及び協議の計画を策定する。

ステークホルダは,リスクに対する自らの認知に基づいてリスクに関する判断を下すので,ステークホ

ルダとのコミュニケーション及び協議は重要である。その認知は,ステークホルダの価値観,ニーズ,前

提,概念及び関心事の差異によって,様々に異なることがある。ステークホルダの見解は意思決定に著し

い影響を与えることがあるため,ステークホルダの認知を明確に特定し,記録し,かつ,意思決定プロセ

スの中で考慮に入れることが望ましい。

コミュニケーション及び協議では,機密保持及び個人の誠実さの側面に配慮しつつ,誠意ある,現況に

即した,正確かつ理解可能な情報の交換を促進することが望ましい。

5.3 

組織の状況の確定 

5.3.1 

一般 

組織の状況を確定することによって,組織は,目的を明確に表現し,リスクの運用管理において考慮す

るのが望ましい外部及び内部の要因を定め,

以降のプロセスに関する適用範囲及びリスク基準を設定する。

この要因には,リスクマネジメントの枠組みの設計(4.3.1 参照)において検討した要因と類似したものも

多いが,リスクマネジメントプロセスに関して組織の状況を確定する場合には,要因を一層詳細に考慮す

る必要があり,特に,ある特定のリスクマネジメントプロセスの適用範囲とどのように関係し合うのかに

ついて考慮する必要がある。

5.3.2 

外部状況の確定 

外部状況とは,組織が自らの目的を達成しようとする状態を取り巻く外部環境である。

外部状況を理解することは,リスク基準の策定の場合に,外部ステークホルダの目的及び関心事を考慮

することを確実にするために重要である。これは,組織全体の状況に基づくものであるが,同時に,法律

及び規制の特有な要求事項,ステークホルダの認知,並びにリスクマネジメントプロセスの適用範囲に特

有なその他のリスクの側面に特有な事情を含むものである。

外部状況には,次の事項を含むことができる。ただし,これらに限らない。

−  国際,国内,地方又は近隣地域を問わず,社会及び文化,政治,法律,規制,金融,技術,経済,自

然並びに競争の環境

−  組織の目的に影響を与える主要な原動力及び傾向

−  外部ステークホルダとの関係並びに外部ステークホルダの認知及び価値観

5.3.3 

内部状況の確定 

内部状況とは,組織が自らの目的を達成しようとする状態を取り巻く内部環境である。

リスクマネジメントプロセスは,組織の文化,プロセス,体制及び戦略と整合していることが望ましい。

内部状況とは,組織がリスクを運用管理する方法に影響を及ぼすことがある組織内のすべてを意味する。

次のような理由から,内部状況を確定することが望ましい。

a)

リスクマネジメントは,組織の目的に沿って実施される。


17

Q 31000

:2010 (ISO 31000:2009)

b)

ある特定のプロジェクト,プロセス又は活動に関する目的及び基準は,組織全体の目的に照らし合わ

せて考慮することが望ましい。

c)

組織によっては,自らの戦略的目的,プロジェクト目的又は事業目的を達成する機会を認識できない

こともあり,このことが,現行の組織のコミットメント,信認,信頼及び価値に影響を与える。

内部状況を理解する必要がある。これらには,次の事項を含むことがある。ただし,これらに限らない。

−  統治,組織体制,役割及びアカウンタビリティ

−  方針,目的及びこれらを達成するために策定された戦略

−  資源及び知識として把握される能力(例えば,資本,時間,人員,プロセス,システム,技術)

−  内部ステークホルダとの関係並びに内部ステークホルダの認知及び価値観

−  組織の文化

−  情報システム,情報の流れ及び意思決定プロセス(公式及び非公式の両方を含む。

−  組織が採択した規格,指針及びモデル

−  契約関係の形態及び範囲

5.3.4 

リスクマネジメントプロセスの状況の確定 

リスクマネジメントプロセスが適用されている組織の全体又は部分の活動の目的,戦略,適用範囲及び

要因を確定することが望ましい。リスクの運用管理は,それを実行する場合に使用する資源の妥当性を十

分に考慮しながら,実行することが望ましい。必要とされる資源,責任及び権限,並びに残すべき記録も

規定することが望ましい。

リスクマネジメントプロセスの状況は,組織のニーズによって様々に異なる。これらには,次の事項を

含むことがある。ただし,これらに限らない。

−  リスクマネジメントの活動について到達目標及び目的を規定する。

−  リスクマネジメントプロセスに関する責任及びリスクマネジメントプロセス内の責任を規定する。

−  実行すべきリスクマネジメントの活動の適用範囲とともに,特有の盛り込む活動と除外する活動を含

めて,深さ及び広がりを規定する。

−  活動,プロセス,機能,プロジェクト,製品,サービス又は資産について,時期及び場所の観点から

規定する。

−  ある特定のプロジェクト,プロセス又は活動と組織内のその他のプロジェクト,プロセス,活動との

関係を規定する。

−  リスクアセスメントの方法論を規定する。

−  リスクの運用管理におけるパフォーマンス及び有効性を評価する方法を規定する。

−  下すべき意思決定を特定し,規定する。

−  必要な調査,その程度及び目的,並びにこのような調査で必要となる資源の特定,範囲設定又は枠組

み設定を行う。

周辺状況,組織及び組織の目的の達成に影響を与えるリスクに対して,採択されたリスクマネジメント

の取組みが適切であることを確実にすることを助けるように,これらの要素及びその他の関連する要素に

注目することが望ましい。

5.3.5 

リスク基準の決定 

組織は,リスクの重大性を評価するために使用される基準を規定することが望ましい。この基準は,組


18

Q 31000

:2010 (ISO 31000:2009)

織の価値観,目的及び資源を反映したものであることが望ましい。基準の中には,法律及び規制の要求事

項,並びに組織が合意するその他の要求事項によって組織に課せられる,又は導き出されるものがある。

リスク基準は,組織のリスクマネジメント方針(4.3.2 参照)との矛盾がなく,あらゆるリスクマネジメン

トプロセスにおいて最初に規定され,継続的にレビューされることが望ましい。

リスク基準を規定する場合に考慮するのが望ましい要素には,次の事項を含めることが望ましい。

−  原因及び発生し得る結果の特質及び種類,並びにこれらをどのように測定するか。

−  起こりやすさをどのように規定するか。

−  起こりやすさ及び/又は結果を考える時間枠。

−  リスクレベルをどのように決定するか。

−  ステークホルダの見解。

−  リスクが受容可能又は許容可能になるレベル。

−  複数のリスクの組合せを考慮に入れるのが望ましいか,また,考慮に入れる場合には,どのような組

合せをどのように考慮するか。

5.4 

リスクアセスメント 

5.4.1 

一般 

リスクアセスメントとは,リスク特定,リスク分析及びリスク評価を網羅するプロセス全体を指す。

注記  リスクアセスメント手法に関する手引を ISO/IEC 31010 に提供する。

5.4.2 

リスク特定 

組織は,リスク源,影響を受ける領域,事象(周辺状況の変化を含む。

,並びにこれらの原因及び起こ

り得る結果を特定することが望ましい。リスク特定のねらいは,組織の目的の達成を実現,促進,妨害,

阻害,加速又は遅延する場合もある事象に基づいて,リスクの包括的な一覧を作成することである。ある

機会を追求しないことに伴うリスクを特定することが重要である。包括的に特定を行うことが極めて重要

である。なぜならば,この段階で特定されなかったリスクは,その後の分析の対象からは外されてしまう

からである。

リスク源が組織の管理下にあるか否かにかかわらず,たとえ,リスク源又はリスクの原因が明らかでは

ないかもしれないリスクであっても,リスク特定に含めることが望ましい。リスク特定には,波及効果及

び累積効果を含めた,特定の結果の連鎖を注意深く検討することを含むことが望ましい。また,たとえリ

スク源又はリスクの原因が明らかではないかもしれない場合でも,広範囲の結果について考慮することが

望ましい。何が起こり得るかの特定に加えて,考えられる原因及びどのような結果が引き起こされること

があるかを示すシナリオについて考慮する必要がある。すべての重大な原因及び結果を考慮することが望

ましい。

組織は,自らの目的及び能力並びに組織が直面するリスクに見合ったリスク特定の手段及び手法を適用

することが望ましい。リスクを特定するときは,現況に即した最新の情報が重要である。可能な場合には,

これには適切な背景情報も含めることが望ましい。適切な知識をもつ人をリスクの特定に参画させること

が望ましい。

5.4.3 

リスク分析 

リスク分析には,5.4.2 で特定したリスクの理解を深めることが含まれる。リスク分析は,リスク評価及

びリスク対応の必要性,並びに最適なリスク対応の戦略及び方法に関する意思決定に対するインプットを

提供する。意思決定のために,選択が必要であり,選択肢に異なったリスクの種類及びレベルが含まれる

場合には,リスク分析は,その意思決定に対するインプットを提供できる。


19

Q 31000

:2010 (ISO 31000:2009)

リスク分析には,リスクの原因及びリスク源,リスクの好ましい結果及び好ましくない結果,並びにこ

れらの結果が発生することがある起こりやすさに関する考慮が含まれる。結果及び起こりやすさに影響を

与える要素を特定することが望ましい。リスクは,結果及び起こりやすさ,並びにリスクのその他の属性

を決定することによって分析される。一つの事象が複数の結果をもたらし,複数の目的に影響を与えるこ

とがある。既存の管理策並びにそれらの有効性及び効率をも考慮に入れることが望ましい。

結果及び起こりやすさを表す方法,並びにリスクレベルを決定するためにこの二つを組み合わせる方法

は,リスクの種類,利用可能な情報,及びリスクアセスメントからのアウトプットを使用する目的を反映

していることが望ましい。これらはすべて,リスク基準と矛盾しないものであることが望ましい。また,

異なったリスク及びそれらのリスク源の間の相互依存性を考慮することも重要である。

リスクレベルの決定に対する確信,並びに必要条件及び前提に対する機微性は,リスク分析の中で考慮

し,意思決定者及び適切な場合にはその他のステークホルダに効果的に伝達されることが望ましい。専門

家の間の意見の相違,情報の不確かさ,利用可能性,品質,量,現況性,モデル化の限界などの要素は,

明記することが望ましく,強調されることがある。

リスク分析がどの程度まで詳細に実行されるかは,リスク自体,分析の目的並びに利用可能な情報,デ

ータ及び資源によって,様々である。分析は,周辺状況によって,定性的,半定量的,定量的,又はそれ

らを組み合わせた形で行うことができる。

結果及びその起こりやすさは,一つ以上の事象の結末をモデル化することによって,又は実験調査若し

くは利用可能なデータから外挿することによって,決定されることがある。結果は,有形及び無形の影響

として表現されることがある。場合によっては,異なった時間,場所,集まり,状況における結果及びそ

の起こりやすさを規定するために,複数の数値又は記述用語が必要となる。

5.4.4 

リスク評価 

リスク評価の目的は,リスク分析の成果に基づき,どのリスクへの対応が必要か,対応の実践の優先順

位はどうするかについて意思決定を手助けすることである。

リスク評価には,組織の状況を考慮して確定されたリスク基準と,リスク分析プロセスで発見されたリ

スクのレベルとの比較が含まれる。この比較に基づいて,対応の必要性について考慮することができる。

意思決定では,リスクのより広い範囲の状況を考慮し,そのリスクから便益を得る組織以外の,他者が

負うリスクの許容度についても考慮に含めることが望ましい。意思決定は,法律,規制及びその他の要求

事項に従って行われることが望ましい。

周辺状況によっては,リスク評価の結果,更なる分析を実行するという意思決定が導き出されることが

ある。また,リスク評価の結果,そのリスクについては,既存の管理策を維持する以外はいかなる対応も

しないという意思決定が行われることがある。この意思決定は,組織のリスクに対する態度及び確定され

ているリスク基準に影響される。

5.5 

リスク対応 

5.5.1 

一般 

リスク対応には,リスクを修正するために一つ以上の選択肢を選び出すこと及びそれらの選択肢を実践

することが含まれる。一度選択肢が実践されると,リスク対応は,新たな管理策を提供する又は既存の管

理策を修正することとなる。

リスク対応には,次の循環プロセスが含まれる。

−  あるリスク対応のアセスメントの実施

−  残留リスクレベルが許容可能かの判断


20

Q 31000

:2010 (ISO 31000:2009)

−  許容できない場合の,新たなリスク対応の策定

−  その対応の有効性のアセスメントの実施

リスク対応の選択肢は,必ずしも相互に排他的なものではなく,また,すべての周辺状況に適切である

とは限らない。この選択肢には,例えば,次の事項を含むことがある。

a)

リスクを生じさせる活動を開始又は継続しないと決定することによって,リスクを回避する。

b)

ある機会を追求するために,そのリスクを取る又は増加させる。

c)

リスク源を除去する。

d)

起こりやすさを変える。

e)

結果を変える。

f)

一つ以上の他者とそのリスクを共有する(契約及びリスクファイナンシングを含む。

g)

情報に基づいた意思決定によって,そのリスクを保有する。

5.5.2 

リスク対応の選択肢の選定 

最適なリスク対応の選択肢の選定には,法律,規制,その他社会的責任,自然環境保護などの要求事項

を尊重しつつ,導き出される便益と,実践に要する費用及び労力との均衡をとることが含まれる。意思決

定に際しては,経済的な立場からは認め難いリスク対応を正当化することがあるリスク[例えば,深刻 (極

めて好ましくない結果)だが,まれな(起こりやすさは低い)リスク]についても考慮に入れることが望

ましい。

数多くの選択肢を個別に又は組み合わせて考慮し,適用できる。組織は,通常,複数の対応選択肢の組

合せを採択し,便益を得ることができる。

リスク対応の選択肢を選定する場合には,組織は,ステークホルダの価値観及び認知,並びにステーク

ホルダとのコミュニケーションの最適な方法について考慮することが望ましい。リスク対応の選択肢が組

織内の他部署のリスク又はステークホルダのリスクに影響を与える可能性がある場合,そのことも意思決

定に含むことが望ましい。有効性は同じでも,ステークホルダによってリスク対応策の受け入れやすさは

異なることがある。

対応計画では,優先順位を明確に特定することが望ましく,その中で個々のリスク対応を実践すること

が望ましい。

リスク対応自体がリスクをもたらすことがある。重大なリスクとしては,

リスク対応策が失敗すること,

効果を上げないことなどがある。リスク対応策が継続して効果的であることを保証するために,モニタリ

ングをリスク対応計画の不可欠な部分とする必要がある。

また,リスク対応によって,アセスメント,対応,モニタリング及びレビューが必要な,二次的リスク

がもたらされることがある。これらの二次的リスクは,新たなリスクとして対応するのではなく,もとも

とのリスクと同じ対応計画に盛り込むことが望ましい。また,この二つのリスクのつながりを特定し,維

持管理することが望ましい。

5.5.3 

リスク対応計画の準備及び実践 

リスク対応計画の目的は,選定した対応選択肢の実践方法を文書化することである。対応計画で提供す

る情報には,次の事項を含む。

−  期待される取得便益を含む対応選択肢選定の理由

−  リスク対応計画を承認するアカウンタビリティをもつ人,及びその計画を実践する責任をもつ人

−  提案された活動


21

Q 31000

:2010 (ISO 31000:2009)

−  不測の事態への対応を含む,資源に関する要求事項

−  パフォーマンスの尺度及び制約要因

−  報告及びモニタリングに関する要求事項

−  時期及び日程

対応計画は,組織のマネジメントプロセスに統合され,適切なステークホルダと議論されることが望ま

しい。

意思決定者及びその他のステークホルダは,リスク対応後の残留リスクの特質及び程度を認識している

ことが望ましい。その残留リスクは,文書化を行い,モニタリング及びレビューをし,適切な場合には,

更なる対応の対象とすることが望ましい。

5.6 

モニタリング及びレビュー 

モニタリング及びレビューの両方は,リスクマネジメントプロセスの中の一部として計画されること,

及び定常的な点検又は調査が含まれることが望ましい。モニタリング及びレビューは,定期的に又は臨時

で行うことができる。

モニタリング及びレビューに関する責任を明確に規定することが望ましい。

組織のモニタリング及びレビューのプロセスは,

リスクマネジメントプロセスのすべての側面を網羅し,

次の目的を果たすことが望ましい。

−  管理策が,設計及び運用の双方において,効果的かつ効率的であることを確実にする。

−  リスクアセスメントを改善するための更なる情報を入手する。

−  事象(ニアミスを含む。

,変化,傾向,成功例及び失敗例を分析し,そこから教訓を学ぶ。

−  リスク基準,並びにリスク対応及びリスクの優先順位の見直しを必要とすることがあるリスク自体の

変化を含む,外部及び内部の状況の変化を検出する。

−  新たに発生しているリスクを特定する。

リスク対応計画実践の進ちょく状況は,パフォーマンスの尺度を提供する。その結果は,組織の全体的

なパフォーマンスのマネジメント,

測定,

外部及び内部への報告にかかわる活動に取り込むことができる。

モニタリング及びレビューの結果は記録に残し,適切に,外部及び内部に報告し,リスクマネジメント

の枠組みのレビュー(4.5 参照)に対するインプットとして活用することが望ましい。

5.7 

リスクマネジメントプロセスの記録作成 

リスクマネジメント活動は,

追跡可能であることが望ましい。リスクマネジメントプロセスにおいては,

記録は,プロセス全体とともに,方法及び手段の改善の基礎を提供する。

記録作成に関する意思決定では,次の事項を考慮することが望ましい。

−  継続的学習に関する組織のニーズ

−  経営の目的のために情報を再利用することの便益

−  記録の作成及び維持管理に含まれる費用及び労力

−  記録に関する法律上,規制上及び業務上のニーズ

−  閲覧方法,検索の容易性及び保存媒体

−  保有期間

−  情報の機微性


22

Q 31000

:2010 (ISO 31000:2009)

附属書 A

(参考)

高度リスクマネジメントの属性

A.1

  一般 

すべての組織は,自らが下す意思決定の重要度と調和のとれた,リスクマネジメントの適切なパフォー

マンスレベルを目指すことが望ましい。A.3 に示す各属性は,リスクの運用管理においての高レベルのパ

フォーマンスを示す。組織が,これらの基準に照らして自らのパフォーマンスを測定することを手助けす

るために,それぞれの属性について幾つかの具体的な指標を提示する。

A.2

  主要な成果 

A.2.1

  組織は,自らのリスクを,最新,正確かつ包括的に理解している。

A.2.2

  組織のリスクは,組織のリスク基準内に収まっている。

A.3

  属性 

A.3.1

  継続的改善 

組織のパフォーマンス到達目標の設定,測定,レビュー並びにそれに続くプロセス,システム,資源,

能力及び技能の修正によるリスクマネジメントの継続的改善に重きが置かれている。

この属性は,組織及び個々の管理者のパフォーマンスを測定する場合の基準となる,明示的なパフォー

マンス到達目標の存在によって,示すことができる。組織のパフォーマンスは,公表され,伝達されるこ

とがある。通常,少なくとも年に一度のパフォーマンスのレビューがあり,それに続いて,プロセスの変

更,来期に向けての改訂パフォーマンス目的の設定がある。

このリスクマネジメントパフォーマンスのアセスメントは,部門及び個人に対する組織の全体的なパフ

ォーマンスのアセスメント及び測定システムの不可欠な部分である。

A.3.2

  リスクに対する十分なアカウンタビリティ 

高度リスクマネジメントは,リスク,管理策及びリスク対応任務に関して,包括的で,十分に定義され,

かつ,十分に受け入れられたアカウンタビリティを含む。十分なアカウンタビリティを受け入れる特定者

は,管理策の点検,リスクのモニタリング,管理策の改善,リスク及びそのマネジメントに関して外部及

び内部のステークホルダとの効果的なコミュニケーションをとるために,適切な技能及び資源をもつ。

この属性は,組織の構成員すべてが,自分はどのリスク,管理策及び任務についてアカウンタビリティ

をもつのかを十分に認識しているということで示される。通常,これは,職務分掌又は職位規定書,デー

タベース又は情報システムに記録される。リスクマネジメントに関する役割,アカウンタビリティ及び責

任の明確化は,組織のすべての導入プログラムに盛り込まれていることが望ましい。

組織は,アカウンタビリティをもつ人に,アカウンタビリティを果たすのに十分な権限,時間,教育訓

練,資源及び技能を提供することによって,自らの役割を遂行する力をもたせることを確実にする。

A.3.3

  すべての意思決定へのリスクマネジメントの適用 

組織内におけるすべての意思決定に,その重要性及び意義の大小にかかわらず,リスクを明示的に考慮

すること,及びリスクマネジメントが適切な度合いで適用されることが含まれている。

この属性は,リスクに関する明示的な議論が行われたことを示す会議及び意思決定の記録によって,示


23

Q 31000

:2010 (ISO 31000:2009)

すことができる。さらに,リスクマネジメントのすべての構成要素が,組織における意思決定の主要プロ

セス,例えば,資本の配分,主要プロジェクト,組織再編,組織体制変更に関する意思決定などの中に反

映されていることが見てとれることが望ましい。

このため,

確固たる基盤をもったリスクマネジメントは,

組織の中で,効果的な統治の基礎を提供するものとみなされる。

A.3.4

  継続的コミュニケーション 

高度リスクマネジメントには,良好な統治の一環としてのリスクマネジメントパフォーマンスの包括的

かつ頻繁な報告を含む,外部及び内部のステークホルダとの継続的コミュニケーションが存在する。

この属性は,リスクマネジメントの不可欠かつ必す(須)の構成要素として,ステークホルダとのコミ

ュニケーションが存在していることによって,示すことができる。コミュニケーションが双方向のプロセ

スとして適正に理解され,これによって,リスクレベル及びリスク対応の必要性について,適切に確定さ

れた包括的リスク基準に照らし,適切な情報に基づいた意思決定を行うことができる。

重大なリスク及びリスクマネジメントパフォーマンスの双方に関して,包括的かつ頻繁に外部及び内部

に報告することは,組織内の効果的な統治に大きく寄与する。

A.3.5

  組織の統治体制への十分な統合 

リスクマネジメントが,組織のマネジメントプロセスの中心とみなされ,これによって,リスクは,目

的に対する不確かさの影響として考慮されている。統治体制及び統治プロセスは,リスクの運用管理に基

づいている。管理者は,効果的なリスクマネジメントを,組織の目的達成に必すであるとみなしている。

この属性は,組織の管理者の発言及び重要書類において,

“不確かさ”という言葉をリスクとのつながり

で使用することによって示される。また,通常,この属性は,組織の方針の記述,特にリスクマネジメン

トに関連する方針の記述に反映されている。通常,この属性は,管理者との面談を通して,並びに管理者

の行動及び発言の証拠を通して検証される。


24

Q 31000

:2010 (ISO 31000:2009)

附属書 JA

(参考)

JIS Q 2001:2001

とこの規格との対比

この附属書は,JIS Q 2001:2001 を活用している組織が,この規格を活用するときの参考として,項目の

対比を

表 JA.1 に記載する。

表 JA.1JIS Q 2001:2001 とこの規格との対比 

JIS Q 2001:2001

この規格

0.

序文

序文

1.

適用範囲

1

適用範囲

2.

定義

2

用語及び定義

3.

リスクマネジメントシステムの原則及び要素

3.1

一般原則

4

枠組み

4.1

一般

3.2

リスクマネジメントシステム構築及び維持のための

体制

4.3.3

アカウンタビリティ

3.2.1

組織の最高経営者の役割

4.2

指令及びコミットメント

4.3.3

アカウンタビリティ

4.3.5

資源

3.2.2

リスクマネジメントシステム担当責任者の役割

4.3.3

アカウンタビリティ

3.3

リスクマネジメント方針

4.3.2

リスクマネジメント方針の確定

3.3.1

リスクマネジメント方針の表明

4.2

指令及びコミットメント

3.3.2

リスクマネジメント行動指針

3

原則

3.3.3

リスクマネジメント基本目的の設定

4.3.2

リスクマネジメント方針の確定

3.4

リスクマネジメントに関する計画策定

5

プロセス

5.1

一般

3.4.1

リスク分析

5.4.2

リスク特定

5.4.3

リスク分析

3.4.2

リスク評価

5.3.5

リスク基準の決定

5.4.4

リスク評価

3.4.3

リスクマネジメントの目標

4.3.2

リスクマネジメント方針の確定

3.4.4

リスク対策の選択

5.5

リスク対応

5.5.1

一般

5.5.2

リスク対応の選択肢の選定

3.4.5

リスクマネジメントプログラムの策定

5.5.3

リスク対応計画の準備及び実践

3.5

リスクマネジメントの実施

3.5.1

リスクマネジメントプログラムの実施

4.4.2

リスクマネジメントプロセスの実践

3.5.2

緊急時に特徴的な追加事項

    a)

緊急時における対応手順の策定及び準備

    b)

緊急時実行組織の整備

3.5.3

復旧に特徴的な追加事項

3.5.4

運用管理

4.4.2

リスクマネジメントプロセスの実践


25

Q 31000

:2010 (ISO 31000:2009)

表 JA.1JIS Q 2001:2001 とこの規格との対比(続き) 

JIS Q 2001:2001

この規格

3.6

リスクマネジメントパフォーマンス評価及びリスク

マネジメントシステムの有効性評価

3.6.1

リスクマネジメントパフォーマンス評価

    a)

リスクマネジメントの実施状況の監視・測定

        1)

リスクマネジメントに関する計画策定の実施状

況の監視・測定

        2)

リスク対策の実施状況の監視・測定

    b)

リスクマネジメントパフォーマンス評価

        1)

緊急時対策に関するリスクマネジメントパフォ

ーマンス評価

        2)

復旧対策に関するリスクマネジメントパフォー

マンス評価

5.6

モニタリング及びレビュー

3.6.2

リスクマネジメントシステムの有効性評価

4.5

枠組みのモニタリング及びレビュー

3.7

リスクマネジメントシステムに関する是正・改善の

実施

3.7.1

リスクマネジメントシステムに関する是正・改善の

継続的実施

4.6

枠組みの継続的改善

3.7.2

実施の確認

3.8

リスクマネジメントシステム維持のための仕組み

3.8.1

能力・教育・訓練

3.8.2

シミュレーション

3.8.3

リスクコミュニケーション

4.3.6

内部のコミュニケーション及び報告の仕組みの確

4.3.7

外部のコミュニケーション及び報告の仕組みの確

5.2

コミュニケーション及び協議

3.8.4

リスクマネジメントシステム文書の作成

4.3

リスクの運用管理のための枠組みの設計

3.8.5

文書管理

3.8.6

発見したリスクの監視

5.6

モニタリング及びレビュー

3.8.7

記録の維持管理

5.7

リスクマネジメントプロセスの記録作成

3.8.8

リスクマネジメントシステム監査

3.9

組織の最高経営者によるレビュー

4.3.1

組織及び組織の状況の理解

4.3.4

組織のプロセスへの統合

4.4

リスクマネジメントの実践

4.4.1

リスクの運用管理のための枠組みの実践

5.3

組織の状況の確定

5.3.1

一般

5.3.2

外部状況の確定

5.3.3

内部状況の確定

5.3.4

リスクマネジメントプロセスの状況の確定

5.4

リスクアセスメント

5.4.1

一般


26

Q 31000

:2010 (ISO 31000:2009)

附属書 JB

(参考)

緊急時対応への事前の備え

JB.0

  一般 

この規格は,リスクマネジメントをどのように実施するかについての指針である。一方では備えを実施

している場合であってもリスクは顕在化することがある。この規格では,対象範囲をリスクが顕在化する

までの備えまでとし,リスクが顕在化した場合を想定して事前にどのような準備をするか,また実際のリ

スクが顕在化した場合の具体的な行動は対象としていない。

一方,JIS Q 2001:2001 では,好ましくない影響にかかわるリスクが顕在化した場合の対応手順の策定及

びその準備に対する指針が整理されているため,この規格の活用に当たって参考になる部分をこの附属書

で紹介する。

なお,リスクが顕在化して緊急時対応を行うのは顕在化したリスクが好ましくない影響をもたらすもの

だけであることから,ここでは好ましくない影響をもたらすリスクを軽減する際の表現を用いている。

JB.1

  リスク対策の時間軸から見た整理 

リスク対策には,時間軸から見た場合に事前対策と事後対策とがある。事後対策において特に組織に大

きな影響を与える事態への対策には,緊急時対策及び復旧対策の二つがある。

事前対策はリスク顕在化前,つまり組織運営が問題なく無事に行われている平常時において実施するも

のであって,その目的はリスクの顕在化の防止及びリスクを低減することである。

緊急時対策はリスク顕在化直後に実施するものであって,その目的は被害の最小化,被害拡大防止,二

次被害の防止及び復旧対策の早期立ち上げである。

復旧対策は,緊急時対策に引き続き実施されるもので,その目的は二次被害の防止及び通常組織活動へ

の早期復旧にある。

なお,リスクの種類によって,適切な対策を策定し組み合わせて選択することが望ましい。

JB.2

  緊急時における対応手順の策定及び準備 

組織は,リスクマネジメントに関する計画に示された緊急時対策について,その具体的施策の対応手順

を策定することが望ましい。対応手順には,次の事項を含む。

−  緊急時対応の発動及び終了

−  組織の内部及び外部の機関との協力関係

−  組織の内外への連絡

緊急時対応を担当する者は,緊急時における対応手順を関連部門及び部署に提示し,その内容について

調整を図り,相互理解を深めておくことが望ましい。

具体的施策及び対応手順の策定については,各部門及び部署に委任することができる。

JB.3

  緊急時実行組織の整備 

組織は,緊急時対応の発動があった場合,適切で有効な緊急時実行組織を遅滞なく編成する手順及びそ


27

Q 31000

:2010 (ISO 31000:2009)

の実行責任者を規定する手順を明確に定めておくことが望ましい。

緊急時対応を担当する者並びに各関係部門及び部署は,リスクごとに緊急時に必要な動員計画を策定す

ることが望ましい。また,予見していなかった緊急事態の場合についても,速やかに実行責任者を含む対

応する緊急時実行組織の編成に関する手順を定めておくとともに,事態の把握,対応方針の立案及び対策

の実施を行うための手順を定めておくことが望ましい。

緊急時実行組織は,少なくとも次の機能をもつことが望ましい。

a) 

実行責任者  緊急時実行組織の実行責任者は,緊急時対策に関するすべての判断の権限及び責任をも

つ。実行責任者は,緊急事態に対応できる者の中で組織の最高責任者に近い者から順に任命されるこ

とが望ましい。

b) 

情報機能  緊急事態に関連する情報を,情報担当が一元的に収集及び管理する。この機能で管理すべ

き情報には,次の事項がある。

−  緊急事態の現状及び対応状況に関する情報

−  組織の活動再開に関する情報

c) 

分析及び/又は評価機能  収集された情報及び緊急時計画に基づいて,必要な対応策の立案及び/又

は選択,及び対策の優先順位付けを行う。

d) 

対応機能  実行責任者の判断に基づいて,具体的な対応策実施の指揮をとる。また,必要な資機材,

要員及び資金の調達を行うための後方支援並びに外部への応援要請を行う。

e) 

広報機能  緊急事態に関する組織内外への発表に当たっては,組織の見解として一元的に行う。

JB.4

  復旧にあたっての検討事項 

復旧対応を担当する者は,リスクマネジメントに関する計画に示された復旧対策についてその具体的施

策の検討を行い,復旧における対応手順を策定することが望ましい。

復旧におけるリスクマネジメントプログラム策定の際には,特に次の事項に留意する。

−  外部の機関との間に復旧に関し協力関係を構築する。

−  経営資源が不足する事態に備え,限られた経営資源の有効活用の手順を整備する。

具体的施策及びその実施手順の策定に際しては,各部門及び部署に委任することもできる。

JB.5

  緊急時対策に関する評価 

JB.5.1

  一般 

組織は,緊急事対策に関する評価を緊急時対策の収拾後に行うことが望ましい。また,組織は,平常時

にはシミュレーションによる方法などによって,緊急時対策の有効性を検証することが望ましい。

緊急時対策に関する評価のための指標として,次の事項を含むことが望ましい。

−  緊急事態及びその変化に対して緊急時対策が適切に追従している度合い

−  対応の実行可能度及び達成度

−  組織の立ち上げ時間,規模及び場所の適否

−  適切な対策要員及び資材確保の度合い

−  組織内関連部門及び部署並びに外部機関との連携度

−  内部情報及び外部情報の一元管理並びにリスクコミュニケーションの適切さ

JB.5.2

  シミュレーション 

シミュレーションの目的は,各リスクへの対応実施手順の有効性の検証を行うことである。


28

Q 31000

:2010 (ISO 31000:2009)

シミュレーションは,関係者の出席者の下,それぞれに役割を付与し,活用できる経営資源を設定した

上で,特定のリスクが顕在化していく過程,リスクが顕在化して緊急時になる過程,緊急時を脱して復旧

時になる過程などを想定して実施することが望ましい。

シミュレーションの実施に当たっては,次の事項に留意する。

−  シミュレーションで想定している各段階において必要とされる技術力及び判断力

−  想定についての妥当性

−  教育・訓練を兼ねる場合は,出席者の業績評価との切り離しを明記する。

シミュレーションの手順には,次の事項を含めることが望ましい。

−  シミュレーションの目的を明確にする。

−  特定のシナリオが顕在化する過程,リスクが顕在化して緊急時になる過程,緊急時を脱して復旧時に

なる過程などのシナリオの策定及び環境変化の設定

−  特定のリスクが顕在化する過程,リスクが顕在化して緊急時になる過程,緊急時を脱して復旧時にな

る過程などにおけるリスク対策及び手順の確認

−  シミュレーションの実行計画の策定

−  特定のリスクが顕在化する過程,リスクが顕在化して緊急時になる過程,緊急時を脱して復旧時にな

る過程などにおける緊急時実行組織の編成,適切性及び機能の確認

−  組織内関連部門及び部署,並びに外部機関との調整及び協力の確認

−  情報管理,リスクコミュニケーション及び広報の機能検証

−  対策又は手順が不適切な場合に,是正及び改善を実施する基準の設定

JB.5.3

  リスクコミュニケーション 

リスクコミュニケーションの目的には,次のような事項がある。

−  リスクの発見及びリスク特定のための情報収集

−  関係者との間の誤解又は理解不足に基づくリスクの顕在化の防止

−  関係者に及ぼす可能性のある被害の回避又は低減

組織は,リスクコミュニケーションを行うための手順を確立し維持することが望ましい。この手順には,

次の事項を含むことが望ましい。

−  リスクコミュニケーションの目的及び/又は目的の明確化

−  コミュニケーション手段の決定及び代替手段の検討

−  リスクコミュニケーションの対象者及び内容の明確化

−  リスクコミュニケーションの過程,それによる対応経緯,対応者などのコミュニケーションのプロセ

ス,及び結果の記録並びにその保存

組織は,リスクへの対応に関して,組織としていかに対処しているかを明らかにするため,広報活動計

画を策定しておくことが望ましい。広報活動計画には,次の事項を含むことが望ましい。

−  平常時における広報計画

−  緊急時における広報計画

組織は,関係する機関及び関係者に対してリスクに関する情報を開示することが望ましい。開示に際し


29

Q 31000

:2010 (ISO 31000:2009)

ては,リスクごとに開示する対象者の範囲及び内容の範囲を明確にすることが望ましい。ただし,当該組

織の判断及び自己責任において,内容を開示する対象者の範囲及び内容の範囲を限定する場合にはその理

由を明記し,記録しておくことが望ましい。また,リスクに関する情報を開示できない場合には,リスク

ごとに,情報へのアクセス制限を行うセキュリティ基準を規定することが望ましい。

許可された要員に対しては,いつでも必要に応じ情報を閲覧可能な体制を構築することが望ましい。

機密保持を理由にしたリスクに関する情報の秘匿は,必ずしも組織のリスク低減に寄与しない場合があ

ること及びそれによって新たな責任が組織に課せられることがあることを認識しておかなければならない。

JB.6

  復旧対策に関する評価 

復旧対策に関する評価は,復旧直後に行うことが望ましい。また,組織は,平常時にはシミュレーショ

ンによる方法などによって,復旧対策の有効性を検証することが望ましい。

復旧対策に関する評価のための指標として,次の事項を含むことが望ましい。

−  復旧対策の実行度

−  復旧の時期及び復旧度

−  復旧対策が状況変化に対して適応した度合い

−  復旧体制の編成時期及び規模の適否

−  適切な対策要員及び資材確保の度合い

−  復旧費用の費用対効果

−  組織内関連部門及び部署並びに外部機関との連携度

−  内部情報及び外部情報の一元管理並びに情報流通の適切さ

参考文献 [1] JIS Q 0073  リスクマネジメント−用語

注記  対応国際規格:ISO Guide 73:2009,Risk management−Vocabulary(IDT)

[2]  ISO/IEC 31010

,Risk management−Risk assessment techniques