ISMSにおけるリスク受容基準とは

ISMSにおけるリスク受容基準とは

ISMS（Information Security Management System：情報セキュリティマネジメントシステム）では、組織が抱える情報セキュリティリスクを評価・対応・受容するプロセスを明確に定めることが求められます。
その中で「リスク受容基準（risk acceptance criteria）」は、どの程度のリスクであれば組織として許容できるかを判断するための基準を意味します。

ISO/IEC 27001:2022では、リスクアセスメントプロセスの中でこの基準を事前に定めることが必須とされています。
つまり、「どのリスクを放置してよいか」「どのリスクに対策を講じる必要があるか」を判断するための“ものさし”となる考え方です。

なぜリスク受容基準が必要なのか

リスクアセスメントの結果、組織には多くのリスクが洗い出されます。
しかし、すべてのリスクに対して同じレベルの対策を行うのは現実的ではありません。
限られたコストや人的リソースの中で、優先順位をつけて効率的にリスク対応を行うためには、「どこまでなら受け入れられるか」という基準が必要です。

また、リスク受容基準を設定しておくことで、次のようなメリットがあります。

• 判断基準が明確になり、担当者によるばらつきを防げる
• リスク受容の妥当性を経営層（トップマネジメント）が確認できる
• 内部監査やマネジメントレビューでの説明責任を果たしやすい

リスク受容基準の設定方法

リスク受容基準の設定は、組織の事業内容・規模・セキュリティ要求レベルなどによって異なりますが、一般的には以下の手順で策定します。

① リスク評価の方法を明確にする

まず、リスクアセスメントにおける発生可能性と影響度の評価方法を定めます。

例：

• 発生可能性：高（3）、中（2）、低（1）
• 影響度：大（3）、中（2）、小（1）

リスク値は、

リスク値 ＝ 発生可能性 × 影響度

として算出するケースが一般的です。

② リスクレベルの区分を定義する

算出したリスク値をもとに、**リスクレベル（高・中・低など）**を設定します。

このように、リスク値の範囲ごとに受容の可否を明確に定義します。

③ 受容判断の基準を明文化する

次に、どのような条件でリスクを受容できるかを文書化します。

例文：

「算出したリスク値が3以下のリスクについては、事業への影響が軽微であり、追加の管理策を講じることなく受容するものとする。」

また、定量的な指標（コスト・影響額など）を設定することも有効です。

例：

「リスク発生時の推定損害額が50万円未満の場合は、受容可能とする。」

④ トップマネジメントの承認を得る

リスク受容は、最終的にトップマネジメントの責任範囲に属します。
したがって、設定したリスク受容基準は必ず経営層の承認を受け、ISMS方針やリスクマネジメント方針と整合を取る必要があります。

⑤ 定期的に見直す

事業環境やシステム構成、法令要件が変化すれば、リスク受容の許容範囲も変わります。
そのため、リスク受容基準はマネジメントレビュー時やISMS更新時に見直すことが推奨されます。

リスク受容の記録と説明責任

リスクを受容する場合は、次の点を明確にして記録に残します。

• どのリスクを受容したのか（リスク識別番号など）
• 受容の理由（コスト対効果、発生可能性の低さなど）
• 誰が承認したのか（トップマネジメントまたはリスクオーナー）
• 受容後の監視方法（再評価の頻度など）

このような記録を残すことで、内部監査や外部審査の際にも説明責任を果たせます。

リスク受容基準の例文（ISMS文書向け）

当社は、情報資産に関するリスクを評価し、リスク値が3以下の場合は受容可能と判断する。
ただし、法令・契約・社会的信用に関わる重大リスクについては、リスク値に関わらず受容しない。
受容するリスクについては、リスク対応計画書に理由を明記し、リスクオーナー及びトップマネジメントの承認を得る。

まとめ

ISMSにおけるリスク受容基準は、リスク対応を合理的かつ一貫性をもって行うための重要な枠組みです。

ポイントは次の3つです。

1. リスク受容基準は、リスクアセスメントの前に設定する
2. 経営層の責任において承認し、明文化する
3. 事業や環境の変化に応じて定期的に見直す

適切にリスク受容基準を運用することで、ISMSの信頼性と実効性を高めることができます。