Pマークから全社リスクマネジメントへ展開

「営業秘密管理」のススメ

pmark-anchor 2010年7月4日 日曜日

「営業秘密管理」のススメ

2010年7月1日、不正競争防止法の一部を改正する法律が施行された。

経済産業省の広報誌である「METI Journal 経済産業ジャーナル平成22年7・8月号」には、

「営業秘密管理」のススメが6ページにわたって具体的な取り組み事例やその重要性について

特集されているので参考まで。

 

また、同省の担当者の声として以下のコメントが紹介されている。

 

経済産業政策局知的財産政策室

課長補佐 石原徹弥

 

営業秘密の管理は、どのような規模の企業でも行えることです。

 

例えば、朝礼で定期的に営業秘密の取扱いについて注意喚起するなど、

 

できることを組み合わせて合理的に管理することが大切です。

 

どの情報をどうやって管理・活用するかを考えることは、

 

自社を強くする知的資産経営にもつながります。

 

管理ができていない企業に、営業秘密の管理は自社にもできることであって、

 

自社を強くすることだと気づいてもらいたいです。

 

その気づきを得てもらい、実際に管理してもらうために、

 

私たちは様々な場面を利用して営業秘密管理指針などを周知・普及して行きます。

 

是非、営業秘密の管理について次の一歩を踏み出してみてください。

 

METI Journal 経済産業ジャーナル平成22年7・8月号(電子ブック)

http://www.meti.go.jp/publication/data/2010_07.html

 

言うまでもなく個人情報はこの「営業秘密」の一部であり、

漏えいや目的外利用が経営に与えるインパクトは周知のとおりである。

 

 

予防的措置としても、また事後措置の有効性を高める意味においても

「営業秘密管理のススメ」は必要な備えと思うのだが。

 

情報セキュリティコンサルタント 岸本雅美

 

速報!改正不正競争防止法の施行日が決まる

pmark-anchor 2010年4月28日 水曜日

速報!改正不正競争防止法の施行日が決まる

 

4月23日、経済産業省より「不正競争防止法の一部を改正する法律の施行期日を定める政令について」、

施行期日を平成22年7月1日と定めるものとするの発表があった。

 

 

1.不正競争防止法の一部を改正する法律(平成21年法律第30号)の概要

 

① 営業秘密侵害罪の目的要件の変更

営業秘密侵害罪における目的要件を、「不正の競争の目的」から「不正の利益を得る目的で、

又はその保有者に損害を加える目的で」に改めます。

 

② 営業秘密の不正取得に対する刑事罰の対象範囲の拡大

詐欺等行為又は管理侵害行為による営業秘密の不正な取得について、記録媒体の取得、

複製の作成という方法に限定することなく、一般に刑事罰の対象とします。

 

③ 営業秘密の領得行為自体への刑事罰の導入

営業秘密の管理に係る任務を負う者が、当該任務に背いて営業秘密を領得する行為について、

記録媒体の横領、複製の作成等による場合に限り、新たに刑事罰の対象とします。

 

ということで、公布は平成22年4月28日(水)、施行は平成22年7月1日(木)となった。

 

同法の施行はこれまでの法的不備を一掃し、営業秘密の管理について極めて重要な意味を持つものとなる。

施行まであと2ヶ月余りとなったが、今一度、自社が保護すべき営業秘密管理について再点検してみてはどうであろうか。

 

情報セキュリティコンサルタント 岸本雅美

改訂された営業秘密管理指針の中身

pmark-anchor 2010年4月20日 火曜日

改訂された営業秘密管理指針の中身

~第21条における営業秘密侵害罪について~

 

こんにちは、個人情報保護アドバイザーの目木知明です。

本日は情報セキュリティコンサルタント岸本雅美のコラムとなります。

 

改訂された営業秘密管理指針の中身

~第21条における営業秘密侵害罪について~

 

営業秘密侵害罪という言葉はあまり耳慣れないこともあって

一般的な認知度は低いのではないかと思う。

今回改訂された営業秘密管理指針ではその問題も含め、

理解を深めるための具体的な事例を採用していることもあり、少しポイントを整理してみた。

 

まずは営業秘密侵害とは何か?ということであるが、

具体的には「不正の利益を得る目的」又は「営業秘密の保有者に損害を加える目的」

(「図利加害目的(とりかがいもくてき)」に該当するかどうかである。

 

同指針では、「不正の利益を得る目的」とは、公序良俗又は信義則に反する形で

不当な利益を図る目的のことをいい、自ら不正の利益を得る目的(自己図利目的)のみならず、

第三者に不正の利益を得させる目的(第三者図利目的)も含まれるとある。

また、「保有者に損害を加える目的」とは、営業秘密の保有者に対し、

財産上の損害、信用の失墜その他の有形無形の不当な損害を加える目的のことをいい、現実に損害が生じることは要しないとある。

 

図利加害目的に当たる事例としては以下のケースが紹介されている。

 

1.金銭を得る目的で、競業企業以外に営業秘密を不正に開示する行為

保有者の営業秘密を、自ら不正に使用して不当に収益を上げる目的(自己図利目的)や、

開示した者に不正に使用させることによって、その者に不当な収益を上げさせる目的(第三者図利目的)は、

営業秘密の保有者と自己又は第三者とが競争関係にある必要はない。

 

2.保有者に営業上の損害を加えるため又はその信用を失墜させるため、

営業秘密をインターネット上の掲示板に書き込む行為

 

財産上の損害、信用の失墜その他の有形無形の不当な損害を加える目的は

「保有者に損害を加える目的」に当たり、また、現実に損害が生じることを要しない。

 

 

これらは、改正前の不正競争防止法ではカバーできなかった範囲である。

特に1.については競争関係にあることが前提条件であったため同法の適用は極めて困難であった。

 

近年、顧客情報の不正持出し・開示(目的外利用)による事件が多発しているが、

不正競争防止法での告訴、刑事罰が適用された例は残念ながら少なかったのが実情である。

多くの場合、その情報が営業秘密として特定・管理されていなかったことが原因ではあるが、

特に秘密管理性の立証が大きな障害ではなかったかと思う。

 

この点に関しては、JISQ15001やJISQ27001における個人情報、資産情報の特定及びリスク分析、管理手法は

この秘密管理性を検討する上で参考となる。また、法の不備も否めない。

無形物である情報の窃盗、搾取等を取り締まれる法律もなかったとは信じがたいことではあるが・・・。

 

今後、自社の営業秘密を侵害されないための対策だけでなく、他社の営業秘密を侵害しない、させないためにも

経営者、従業者が一体となって取り組むことで自社の競争優位性は確保されるのではないかと考える。

 

4月20日 情報セキュリティコンサルタント 岸本雅美

与信力にリスクマネジメント能力は不可欠

pmark-anchor 2010年1月8日 金曜日

明けましておめでとうございます。

アンカーの目木です。

本年もどうぞよろしくお願いいたします。

 

今週で挨拶回りが終了し、来週から本格的にお仕事開始の

皆さまが多いのではないでしょうか?

 

わたくしも来週から本格的な活動となります。

 

さて、本日は「与信力にリスクマネジメント能力は不可欠」をお届けします。

 

昨今のような不確実な時代、5年後の先は、おそらく誰も分からないと思います。

 

特に、企業の成長戦略を考える上で

資金は絶対に必要なのですが

金融機関から資金を調達しようと思っても

なかなかお金を貸してくれないのが昨今の現実です。

 

昨年の年末ですが、

とある所から相談がありました。

 

相談者は、資金調達をメインに行っている公認会計士事務所で

弊社とのアライアンス(連携)についてでした。

 

わたしは当初、公認会計士事務所が

弊社の業務にどのような関係がと正直おもっていたのですが

資金調達にはリスクマネジメント能力を証明することが不可欠であり

そのため、(資金調達を行いたい企業の)

今後の事業計画に合わせリスクへの取り組み状況について評価し

不足部分について相談に乗ってやって欲しい、という内容のものでした。

 

今までに無い新しい相談だったのですが、

たしかに、今後、商売を営んでいく上で金融機関に対し

企業の与信力を証明する新たな指標として

リスクマネジメント能力が求められることは間違いないのでしょう!

 

今回、この公認会計士事務所とアライアンスすることになりました。

 

与信力強化のためのリスクマネジメントサービスを

近日、発表させて頂きます。

 

資金調達を考えている企業様は是非ご利用頂ければと思います。

 

2010.0108 目木

 

全社リスク対応はリスクアセスメントを2ステップで!

pmark-anchor 2009年10月27日 火曜日

こんにちは、リスクマネジメントアドバイザーの目木知明です。

読書の秋ですね!

最近読んだ本で大変参考になりましたのが

「会社に潜むビジネスリスク100」です。

澤田 宏之 (著), 飯村 北 (著), 吉川 達夫 (著), 勝又 幹英 (著)

 

ケーススタディでリスクを取り上げているので大変読み易く、理解し易いものでした。

ぜひ、今後のリスクマネジメントの参考にしてください。

 

さて、本日はリスクアセスメントについてコメントします。

 

最近、取り組みのスタートについてどういう風にリスクアセスメントを行ったら良いですかと

具体的な質問をしてこられる方も増えてきました。

 

さまざまなコンサルティング会社も増えているようで

リスクの洗い出し方法についても各社ごとに考え方も方法も違うようです。

 

そこで目木さんのご意見は・・・ということで聞かれるのですが

わたしはリスクの洗い出しは2回に分けて行うことをお勧めしています。

 

まず1回目のリスク洗い出しは

リスクを大きくとらえ、たとえば「個人情報保護」「メンタルヘルス」「災害対策」など

広い定義でリスクを捕らえ、企業運営上のリスクを洗い出します。

まずバグっと洗い出すです!

 

この段階で細かいリスクを洗い出すと

枝葉末節となって、今自分たちが何をしようとしているのか

ゴールが見えなくなることが多いです。

まずは木を見ず、森を見てということになります。

 

そして洗い出したリスクをマッピングしていきます。

(リスクマッピングの仕方については次号以降で詳しくお伝えします)

 

マッピングした結果、早期な取り組みが必要なカテゴリーについて

詳細なリスクの洗い出し、リスクへの対応状況を確認し

改善が必要な場合は予防・是正をについて検討していきます。

 

こういった手順で進めていくので、わたくしはリスクアセスメントは2回行うことが

ベターではないかという見解をもっています。

 

もっとベストな見解の方がいらっしゃれば、なんなりとお伝えいただければと思います。

 

本日はこのあたりで。

 

先が見えない時代だからこそ、売り上げ優先に走ることも当然ですが、

知恵をしぼり最適な方法で管理できる仕組みも合わせて持つことが

必要では・・・とあちこちで啓蒙しています。

 

2009.10.27 目木知明

一問一答シリーズ:プライバシーマーク運用監査について教えてください。

pmark-anchor 2009年9月25日 金曜日

 

こんにちは、個人情報保護アドバイザーの目木知明です。

本日は気持ちいい秋晴れというか夏のような暑さですね・・・

9月も下旬なのにクールビズ姿のサラリーマンさんを多く見かけます。

 

さて先日のコラムで

プライバシーマーク運用における

よくある質問と回答を「一問一答シリーズ」としてお届けしました。

 

大変好評でしたのでシリーズ化してお伝えしていきたいと思っています。

是非、今後の取組みの参考にしてください。

 

 

◆本日の質問:JISQ15001要求事項:監査(JISQ15001.3.7.2)

 

監査の部分では、このような質問が多いです。

 

「監査はどういった監査を毎年行う必要があるのですか?」

 

「監査チェックシート作成のポイントは?」

 

では、要求事項にそって解説していきます。

 

監査は“2つの監査”が必要となります。

 

この「2つの監査」を毎年、年に1回以上行うことが

なかなか理解出来ていない会社様が多い現状です。

 

まず一つめの監査、「JIS要求事項との合致監査」について

 

この監査は、作成したPMS文書がJIS要求事項に適合しているか

また、PMS文書に記載したことについて個人情報保護組織の運用が

しっかり励行できているかチェックを行う監査になります。

 

監査対象は個人情報管理責任者、監査責任者、事務局。

 

このJIS合致監査は審査機関発行の監査ガイドラインを参考にすると良いでしょう。

http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf

 

特に文書チェックについては、コンサル会社から審査に適合した文書を提供してもらったなど

自分たちで一から作成していない会社が多いので、

作成した文書をJIS要求事項に沿ってチェックするという認識に乏しいのでは・・・考えます。

 

また、このJIS適合監査は、毎年行う必要があるのですが、

毎年行うことについても認識が乏しい会社が多い現状です。

 

(毎年、JIS適合監査を行う理由!)

企業活動は生き残るために形を変えながらも継続しているものであるため

年に最低1回は、JIS適合監査を行いなさい!ということになっています。

 

つづいて2つ目の監査

これは、想定されるリスクに対し、定めた安全対策の

運用状況についてチェックする監査です。

 

監査対象は全部門。

 

この監査のチェックシートは

個人情報のライフサイクル上で、洗い出したリスクに対し定めたの安全対策について

全てチェックシートに反映される必要があります。

また、リスクの特定漏れが無いかや、

リスク対応できない安全対策を実施していないか

などのチェック項目も含まれることが良いかと思います。

 

今後も、一問一答をお届けしますので

PMSの運用の参考となればと考えます。

 

本日はこのあたりで。

 

2009.0925

個人情報保護アドバイザー 目木知明

 

全社リスクマネジメント、何か参考になる指針は?

pmark-anchor 2009年9月15日 火曜日

 

こんにちは、リスクマネジメントアドバイザーの目木知明です。

朝夕、たいへん涼しくなってきました。秋の気配を少しずつ感じる今日この頃です。

 

さて本日は、これから全社のリスクマネジメントに取り組まれる

企業のご担当者さまからの問い合わせでよくある相談内容です。

 

「体制の構築で何か参考になる指針はありますか?」

 

この内容の相談が多いです現状です。

 

実際に全社のリスクマネジメントといっても、かなり漠然しているものなので

何から手をつけて良いか解らないというのが現状ではないでしょうか!

 

わたくしが全社のリスクマネジメントで基本(ベース)にする考え方は

「JISQ2001 リスクマネジメントシステム構築のための指針」を

基点に体制構築を推し進めています

 

ここで簡単にJISQ2001の内容を説明します。

JISQ2001とは、企業活動上のリスクをコントロールするための指針で

2001年3月に「リスクマネジメント構築の為の指針」として制定されました。

企業の不祥事、災害、メンタル不全、情漏漏洩など

企業・組織・ステークフォルダにとってマイナスの影響を与えるものを

洗い出し(リスクの特定)、顕在化している部分への低減活動および

緊急事態が発生した場合の措置についてPDCAサイクルで定義しています。

 

 

また、この指針は、リスクマネジメントを組織的に実行していくための

枠組み(フレームワーク)を提供するとともに

どのような種類及び規模の組織にも適用できるように作成されています。

 

これから本メルマガにおいてもJISQ2001の解説も行っていきたいと思っています。

是非、これから全社リスクマネジメントに取り組まれる方はJISQ2001をご参考とされてはと思います。

 

本日はこのあたりで。

 

 

何を、どこまで対策すれば良いのか?情報セキュリティリスク管理の最適化

pmark-anchor 2009年9月11日 金曜日

 

何を、どこまで対策すれば良いのか?情報セキュリティリスク管理の最適化

 

個人情報保護アドバイザーの目木知明です。

本日は情報セキュリティコンサルタント 岸本雅美のコラムをお届けします。

 

JISQ15001要求事項では個人情報の取扱い局面に想定されるリスクを洗い出すことが求められる。

一般的にはライフサイクル毎に個々のリスクを特定する作業を進めることになるが

業務が多岐にわたる場合や委託が複数発生する場合は作業手間がかかることになる。

さらにリスクはゼロにならないという前提があるため、リスクに相応した安全管理措置を検討する場合、

当然ながら経済合理性も考慮する必要がある。

また何を残存(残留)リスク又は受容リスクとして管理するかの見極めも必要となる。

そのため“リスクアセスメント結果”に対する“管理策”の妥当性や合理性は判断が難しいところだろう。

「何を、どこまで対策すれば良いのか?」よく聞かれる質問でもある。

 

ひとくちにリスクといっても漏えい、滅失、毀損等だけでなく目的外利用やその結果の本人への影響。

インシデントが発生した場合は、当然ながら会社としての信用失墜による

営業機会の損失や再発防止に向けた投資や損害賠償等、経済的な損失もある。

さらに、過失であれ、確信犯であれ法令違反という事態も考えられるだろう。

つまり、すべてのリスクを捕捉しコントロールすることは容易なことではない。

では、こうしたリスクをいかに管理するのが合理的であろうか。

 

情報セキュリティマネジメントにおいてはCIAという考え方をベースにリスクを数値化するのが一般的であるが

対象が情報資産管理ではなく、個人情報保護の場合には不足が生じる。

これは個人情報となる当該本人の権利利益を保護するという考え方が基本となるからである。

そのため洗い出されたリスクをリスクマトリクスとしてマッピングすると全体像がつかみやすい。

仮に縦軸を影響度、横軸を発生確率とした場合

影響度合いは機密性×件数、発生確率は利用者数×利用頻度といった尺度を考慮すると

おおよそのリスクレベルは把握することができる。

この結果から対応すべきリスクの優先順位付けが可能となるだろう。

 

こうすることで何が見えてくるか。

それはリスクに対する管理策の妥当性、合理性である。

個人情報保護においてはIT対策だけではすべてをカバーできない。

インシデント発生による影響度でみれば情報セキュリティ対策が優先されるべきは周知の事実であるが

一方で、人的ミスや盗難・紛失、不正行為による事件も多発している。

選択された対策がリスクレベルに対して最適な管理策となっているか。

その管理策が実効性をもって機能しているか。

極論すれば、管理策の多重化、高機能化といった見直しも考えられる一方で

過剰対策による運用負担については負荷軽減という見直しもある。

まずはリスク管理状況が適切かどうかを5W2Hという視点で再評価してみることで

次のステップ(スパイアルアップ)へ進むきっかけになるのではと考える。

 

(補足)

「ISO/IEC 27005:2008 情報セキュリティリスクマネジメント」では

国際標準化機構(ISO)と国際電気標準会議(IEC)が新たに策定した

「ISO/IEC 27005:2008」はリスク管理プロセスと情報セキュリティ管理にかかわる作業を規格化し

情報セキュリティリスク管理向けのガイドラインを提示するとともに

ISMS規格の「ISO/IEC 27001:2005」で規定された一般概念を補足している。

このISOの情報セキュリティリスク管理プロセスは、組織全体に適用できる。

組織内の各グループ(例:部門別,所在地別,担当サービス別など)やあらゆる情報システム、

既存または計画中、特定の状況にある体制(例:事業継続計画)に当てはめられる。

 

とある。

 

2009.0911 情報セキュリティコンサルタント 岸本雅美

個人情報の持ち出しが不正競争防止法違反??

pmark-anchor 2009年9月6日 日曜日

 

個人情報の持ち出しが不正競争防止法違反??不正競争防止法って何!!

 

こんにちは、個人情報保護アドバイザーの目木知明です。

まだまだ残暑が残りますね、ここ数日は真夏のような暑さが続いています。

熱射病には気をつけてください。

 

さて、先日、丸三証券元社員ら、顧客情報流出による不正競争防止法違反で逮捕されました。

皆様の中で、不正競争防止法は食品偽装のニュースなどではお馴染みですが、

個人情報の流出で不正競争防止法違反となることについて

ピンと来ていない方も多いのではないでしょうか?

 

本日は、再度この事件の概要と不正競争防止法についておさらいします。

 

 

事件の概要(2009.9.2 産経新聞より)

 

勤務先の証券会社から顧客情報を持ち出し、転職希望先のライバル会社の社員に渡したとして、

大阪府警生活経済課などは1日、不正競争防止法違反(営業秘密の不正取得など)の疑いで、

丸三証券(東京)の大阪支店元社員、橋本杏子容疑者(25)ら3人を逮捕した。

 

ほかに逮捕されたのは、キャピタル・パートナーズ証券(東京)の大阪支店社員、

茂木由暁(45)=堺市南区=と中野春彦(32)の両容疑者。

 

府警によると、橋本容疑者はキャピタル社から内定が出た際、顧客情報の提供を持ちかけられたという。

3人は容疑をおおむね認めている。

逮捕容疑は、橋本容疑者が平成20年7月30日~8月12日、

丸三証券の顧客5人の住所や名前、契約内容を携帯メールなどで茂木、中野両容疑者に漏洩(ろうえい)。

3人は8月上旬、顧客宅を訪問し、キャピタル社の金融商品を勧めたとしている。

 

橋本容疑者は20年7月、丸三証券で同じ部に所属し、19年にキャピタル社に転職した茂木容疑者らに誘われ、

キャピタル社を受験。内定を受けた際、茂木容疑者らから「客を紹介してほしい。

契約が取れたら契約金額の3割を支払う」と依頼され、自分の顧客名簿から計約40人の情報をメモし、伝えていたという。

 

契約していないキャピタル社からの営業を不審に思った顧客が丸三証券に連絡し、

事件が発覚。丸三証券は20年9月に橋本容疑者を懲戒解雇し、今年1月に府警に告訴していた。

 

↓↓↓↓

不正競争防止法って何!! 今から不正競争防止法について解説します。

 

本年、4月に弊社コンサルタントの岸本雅美が不正競争防止法について

コラムをまとめていますので再度掲載いたします。

 

―――――――――――――――――――――――

 

「不正競争防止法の一部を改正する法律案」が成立

 

2009年4月21日、企業の競争力を支える先端技術やノウハウの保護強化を狙いとする改正不正競争防止法が衆院本会議で可決、成立した。

 

改正の背景としては、グローバル化や情報化の進展によって

事業者の経験や知恵の結晶である技術やノウハウ等の営業秘密に対する侵害が容易になり、

企業は大きな損害を被る危険に直面していることがあげられる。

実際、営利や企業への嫌がらせを目的とした営業秘密の開示行為や、

従業員による機密情報の不正な持ち出しなど、

現行制度では対応できない営業秘密の流出事例が相次いでいることも事実である。

 

こうした状況を踏まえ、事業者間の公正な競争を確保し、

事業者間の連携によるイノベーション基盤の整備を通じて、

我が国の産業競争力を維持・強化する観点から、

営業秘密侵害罪の要件を見直すことになったとある。

 

具体的な課題としては

① 「不正の競争の目的」が認められない限り、刑事罰の対象とはならないため、

競業関係にない第三者に営業秘密を開示する行為や、

単に保有者に損害を加える目的で公衆に開示する行為などが処罰できない。

 

②盗まれた情報の「使用・開示」は、侵害者や競争相手の企業内、

あるいは海外で行われるため、その立証は困難を極め、法律が十分な抑止を果たしていない。

などが考えられる。

 

改正された不正競争防止法では

(1)営業秘密侵害罪における現行の目的要件である「不正の競争の目的」を改め、

「不正の利益を得る目的」又は「保有者に損害を与える目的」とする。

 

(2)原則として「使用・開示」行為を処罰の対象としている営業秘密侵害罪の行為態様を改め、

営業秘密の管理に係る任務を負う者がその任務に背いて営業秘密を記録した媒体等を横領する行為、

無断で複製する行為等について、処罰の対象とする。

 

つまり、不正競争目的以外であっても罰則の対象となること、

また営業秘密を記録した記憶媒体の横領、無断複製も罰則の対象となった。

 

当然、営業秘密としての非公知性、有用性はもとより秘密管理性が

確保されていることが条件であることに変わりはない。

改正法の施行は平成22年中になる見通しだが、

これにより不正競争防止法のカバーする範囲が明確になり、

抑止力としても効果を発揮することが期待できる。

 

個人情報保護においては保有する個人データが“営業秘密”に該当する可能性が高いため

同法の理解を深めることも有効な保護対策となる。

長年、Pマークの個人情報保護教育において同法の解説を行ってきたが、

今回の法改正により個人情報を取り扱う上での役割、権限及び責任が一層明確になったことは

望ましいと考える。

同法違反となれば1000万円以下の罰金、10年以下の懲役あるいは両罰の適用もある。

つまり、個人情報の不正取得や不正開示は多少のお金を手にできても“割に合わない”のである。

 

―――――――――――――――――――――――

 

本日はこのあたりで。

 

2009.0906 目木

リスク戦略、「リスク低減」「リスク回避」「リスク移転」「リスク保有」

pmark-anchor 2009年9月1日 火曜日

 

こんにちは、リスクマネジメントアドバイザーの目木知明です。

今日から9月です、急に涼しくなってきました。

季節の変わり目は風邪を引き易いですが気をつけてください。

こうコメントしている私ですが、本日少し鼻声です。。。

 

さてさて、本題にはいります。

本日は、リスクマネジメントを行う上で、「リンク戦略」が大変重要になります。

 

まず、リスク戦略とは、これから対策に取り組むべきリスクを選定した後、

選定された個々のリスクについて今後の戦略を検討する必要があります。

この戦略こそがリスク戦略であり、洗い出した個々のリスクについて

現在の状況(発生確率、影響度等)を分析し、その結果を踏まえて

当該リスクに対してとるべき戦略を決定することを言います。

 

企業がとるべきリスク戦略には、

「リスク低減」、「リスク回避」、「リスク移転」、「リスク保有」があります。

下記、リスク戦略の内容についてまとめます。

 

・リスク低減とは

特定のリスクに関する確からしさもしくは発生確率、好ましくない結果

又はその両者を低減する行為。

すなわち、リスクの発生頻度を低減させる「リスクの予防・防止」、

影響度を低減する「リスクの軽減」の観点からリスクをコントロールするものです。

リスク低減はリスク戦略の中で最も多く採用される戦略で、

企業が自ら積極的にリスクを低減させる戦略です。

 

・リスク回避とは

リスクのある状況に巻き込まれないようにする意思決定又はリスクのある状況から撤退する行動。

つまり、リスクを伴う業務をすべて中止するということです。

リスク回避戦略により、リスクはゼロとなります。

リスクをゼロにすることは究極的なリスク戦略ですが、同時に得られるリターンもゼロになる点に注意が必要です。

企業が営利を目的として設立されている以上、リスクを回避することで営利活動を阻害してしまう恐れがあります。

 

・リスク移転とは

特定のリスクに関する損失の負担を他者と分担すること。

リスク移転は保険や契約によって行われる場合が多いようです。

例えば、リスクの顕在化により被ることが予想される損害額を算出し、

その金額と同等の保険をかけるという対応は、保険会社へのリスク移転を意味します。

 

・リスク保有とは

特定のリスクに関する損失の負担の享受。

ここで注意したいのは、リスクを享受することもリスク戦略となることです。

つまり、リスクの発生頻度が低く、影響度が小さなリスクについては、

何がなんでもリスク対策を講じる必要はないということです。

そのようなリスクについては、あらかじめリスクを保有することを宣言し、

無駄なコストは発生させないことが費用対効果の観点からも有用となります。

 

下記に、リスク戦略のイメージ図を表現してみました。

今後の統合的な事業リスクマネジメントのご参考にしてください。

 

 

本日はこのあたりで。