残留リスクとは、リスク対策(リスク低減策や管理策)を実施した後でも、完全にはなくならずに残ってしまうリスクのことです。これは「残存リスク」や「保有リスク」とも呼ばれ、対策の限界、コスト、技術的制約などからゼロにできないリスクを指し、製品の安全情報(注意書き)や情報セキュリティ対策後に残るリスクなどが具体例です。
残留リスクの具体例
- 情報セキュリティ: パスワードを設定しても、推測されたり、のぞき見されたりするリスク。
- 製品安全: 本質的安全設計や保護手段を講じても、完全に危険がなくなるわけではなく、「注意」として残るリスク。
- 組織運営: 対策を講じても、予期せぬマスコミ報道など、新たな問題として残るリスク。
なぜ残留するのか
- 対策の限界: 対策には費用や時間がかかり、完璧にはできないため。
- 未知のリスク: 対策後に新たなリスク(コントロールギャップ)が発生する可能性。
- 許容範囲: 損失が小さすぎるリスクや、対策コストが損失を上回るリスクは、あえて「保有」する(受け入れる)判断がされる。
関連するリスクの概念
- 固有リスク: 対策を講じる前の、本来持っているリスク。
- 統制リスク: 内部統制の不備によって生じるリスク。
- 残留リスク: 固有リスクに統制が施された後、それでも残るリスク。
残留リスクは、リスクマネジメントにおいて「リスクをゼロにする」のではなく、「許容できるレベルまで低減させ、残ったリスクを管理・保有する」という考え方に基づいています。
コメント