基本情報 平成26年度 春期 問55：マネジメント系に関する問題

※ 本問は選択肢dが文字化け（「江/憶」）しており、内容として 「転嫁」「回避」「軽減」「受容」 等の脅威対応戦略のいずれかが入っていたと推測されます。

「PMBOK」のリスク対応戦略は 脅威（マイナス）と好機（プラス）で別物:

• 脅威側：回避・転嫁・軽減・受容
• 好機側：活用・強化・共有・受容

選択肢 a 活用／b 強化／c 共有 は全て好機側。dのみが脅威側の戦略（おそらく「転嫁」or「回避」or「軽減」）。

👉 覚え方：「マイナスは『回・転・軽・受』、プラスは『活・強・共・受』」。受容だけ両方共通。

なぜこれが正解か

PMBOKのリスクマネジメントでは脅威（マイナスリスク）と好機（プラスリスク）に対し異なる対応戦略を定義:

• 脅威への対応: 回避（Avoid）/転嫁（Transfer）/軽減（Mitigate）/受容（Accept）
• 好機への対応: 活用（Exploit）/強化（Enhance）/共有（Share）/受容（Accept）

本問の正解 d は脅威側の戦略であり、選択肢の本文（文字化け）が「転嫁」または「回避」「軽減」のいずれかである。

各選択肢の解説

• a 活用（Exploit）：好機側。好機を確実に発生させる戦略。
• b 強化（Enhance）：好機側。好機の発生確率や影響を高める戦略。
• c 共有（Share）：好機側。好機を第三者と共有して活用する戦略。
• d （文字化け、おそらく転嫁/回避/軽減）：脅威側戦略のため正解。

覚え方・ひっかけ注意

「脅威は『回避・転嫁・軽減・受容』、好機は『活用・強化・共有・受容』」。受容（Accept）は両方共通。「転嫁」と「共有」が紛らわしい: 転嫁＝脅威を第三者に移転（保険、SI契約）、共有＝好機を第三者と一緒に獲得（JV、戦略提携）。脅威の「軽減（Mitigate）」と好機の「強化（Enhance）」もペア概念で覚える。

理論的背景

PMBOK第6版のプロジェクトリスクマネジメント領域では、リスクを「脅威（マイナスリスク）」と「好機（プラスリスク）」に分け、それぞれ4つの対応戦略を定義（第7版では原則ベースに再編されたが対応戦略は実務で継続使用）。

脅威への対応4戦略:

1. 回避（Avoid）: リスクを排除する。計画変更、要件削除、技術選定変更等

2. 転嫁（Transfer）: リスクを第三者に移転。保険、契約条項、外注

3. 軽減（Mitigate）: リスクの発生確率や影響を減らす

4. 受容（Accept）: リスクを受け入れる。能動的受容（コンティンジェンシー予備）/受動的受容（モニタリングのみ）

好機への対応4戦略:

1. 活用（Exploit）: 好機を確実に発生させる

2. 強化（Enhance）: 好機の確率や影響を高める

3. 共有（Share）: 第三者と協力して好機を獲得（JV、提携）

4. 受容（Accept）: 好機が発生した時点で対応

リスクは定性分析（確率/影響マトリクス、リスクヒートマップ）→定量分析（モンテカルロシミュレーション、感度分析、期待金額価値）→対応計画→監視のPDCAサイクルで管理。

実務での使われ方

IT プロジェクトの典型リスクと対応例:

• 技術リスク: 新技術採用→PoC実施で軽減、または採用回避
• 要件リスク: 要件変更→アジャイル/イテレーティブ開発で軽減
• スケジュールリスク: 遅延→クリティカルパス管理、リソース追加（軽減）、契約条項で転嫁
• セキュリティリスク: 漏洩→暗号化・アクセス制御（軽減）、サイバー保険加入（転嫁）
• サプライヤリスク: 単一ベンダー依存→複数調達先確保（軽減）

リスク登録簿（Risk Register）にリスク識別子・概要・確率・影響・対応戦略・オーナー・期限を記録し、プロジェクト管理ツール（Jira、ServiceNow、Microsoft Project等）で追跡。EVMとの統合で「コンティンジェンシー予備」「マネジメント予備」を別管理する。

アジャイル開発ではスプリント単位のリスクレビュー、Definition of Done、デモ等を通じて継続的にリスクを検出・対応。

試験での位置づけ

FE/AP/PM/STのマネジメント系で必出。①リスクマネジメントのプロセス（識別→分析→対応→監視）、②脅威/好機の4戦略×2、③定性的/定量的分析手法、④EMV計算、⑤デシジョンツリー、⑥モンテカルロ法、が主要論点。本問は基礎中の基礎で取りこぼし厳禁。

選択肢の発展補足

ERM（Enterprise Risk Management）は企業全体のリスク管理フレームワークで、COSO ERM 2017、ISO 31000等が国際標準。プロジェクトリスクはERMの一部として位置付けられる。

サイバーセキュリティリスク管理ではNIST CSF、ISO 27005が標準。最近はSCRM（Supply Chain Risk Management、NIST SP 800-161）が重要性を増している。SolarWinds事件以降のSBOMやSLSAフレームワークもサプライチェーンリスク対応の一環。

AIプロジェクトの台頭で「AIリスク管理」が新領域として注目（NIST AI RMF 2023）。データバイアス、モデルドリフト、ハルシネーション、プライバシー、ガバナンス等の固有リスクへの対応が必要。生成AI時代のリスク戦略は「回避（使わない）」から「活用＋ガードレール構築」への移行が進む。