ITパスポート 令和5年度 問72：securityに関する問題

答えは c です。

リスク（危険）への向き合い方は4種類あります。「リスク共有」は、その危険を自分だけで抱えずに、ほかの誰かと“分け合う”やり方です。

いちばん分かりやすい例が保険。火事になったら大損ですが、保険に入っておけば保険会社がお金を出してくれます。つまり損を会社と分け合っているのです。

👉 覚え方：「共有＝シェア＝保険でみんなで負担」。

ほかの選択肢：a は危険なことを“やめてしまう”（回避）／b は被害を“小さくする”工夫（低減）／d は小さい危険だから“そのまま受け入れる”（保有）。

なぜこれが正解か

正解は c。リスク共有（リスク移転）は、保険加入やアウトソーシングなどによって、リスクが顕在化したときの損害を他組織へ移転・分散する対応策。リスクそのものをなくすのではなく、「損害を肩代わりしてもらう」点が特徴。

各選択肢の解説

• a：リスク回避。リスクを伴う活動自体を停止・排除する（個人情報を扱わない等）。
• b：リスク低減。発生確率や損害を減らす対策（多拠点分散など）。
• d：リスク保有（受容）。影響が小さいため対策せず受け入れる。

覚え方・ひっかけ注意

4分類は「回避（やめる）・低減（減らす）・共有（分け合う）・保有（受け入れる）」。保険＝共有は最頻出の組み合わせ。b の「分散（多拠点）」は損害を“減らす”低減であり、共有の「分散（他組織へ）」と言葉が紛らわしいので注意。

理論的背景

リスク対応の4分類はJIS Q 31000（ISO 31000:2018「リスクマネジメント」）の枠組みに基づく。同規格ではリスクを「目標に対する不確かさの影響」と定義し、リスクアセスメント（特定・分析・評価）の後に対応方針を選択する。リスク共有（risk sharing）は英語では「risk transfer」とも呼ばれ、損害の経済的影響を第三者（保険会社・委託先・JV相手）へ転嫁または分散する手法を指す。重要な原則として、リスク共有は財務的損害を移転できるが、「説明責任（アカウンタビリティ）」は委託元・契約当事者に残る。個人情報保護法（第25条）は委託先監督義務を課しており、クラウド事業者に個人データを預けて漏えいが発生した場合、委託元の管理責任が問われる。この「責任は消えない」という点がリスク保有との概念的差異を理解する上でも重要である。

実務での使われ方

情報セキュリティ分野では、サイバー保険（Cyber Liability Insurance）がリスク共有の代表例として近年急速に普及している。米国では2021年のランサムウェア被害急増を受け、保険各社が加入審査を厳格化した結果、EDR導入・MFA適用・定期バックアップ実施が保険加入の事実上の要件になった。これは「保険会社が間接的にセキュリティ水準を引き上げる」という市場メカニズムとして注目されている。また、クラウドサービスの利用契約では、SLA（サービス品質保証）や免責条項・損害賠償上限が典型的なリスク移転の道具となる。例えば「月次稼働率99.9%未満の場合に利用料の10%をクレジット」というSLAは、可用性リスクの一部を事業者側に移転する仕組みである。

試験での位置づけ

リスク対応の4分類はITパスポートのセキュリティマネジメント分野で最頻出のテーマであり、各分類の定義と具体例を1対1で対応させる問題が繰り返し出題される。「保険＝共有（移転）」「分散バックアップ＝低減」「事業中止＝回避」「小さいから放置＝保有」の4パターンを事例から逆引きできることが合格への最短経路である。情報セキュリティマネジメント試験（SG）では「残留リスク」（対応後に残るリスク）「リスク受容基準」「リスク所有者」といった上位概念まで問われる。応用情報技術者では定量的リスク分析（期待損失＝発生確率×損害額の計算）まで踏み込んだ出題がある。

選択肢の発展補足

リスク回避（選択肢a）は最も確実な対策だが、事業機会を完全に失うというトレードオフがある。「個人情報を取り扱わない」という選択は収益機会の喪失でもあり、回避はリスクが極めて高く代替手段がない場合にのみ正当化される経営判断であることを理解しておきたい。リスク低減（選択肢b）の「複数データセンターへの地理的分散」は可用性向上策であり、発生確率と影響度の両方を下げる。これに対してリスク共有が「損害を分け合う」という財務的手当てである点が根本的な違いである。リスク保有（選択肢d）は経営が明示的に「このリスクは自己負担する」と判断した場合に選択され、無意識に放置する「識別漏れ」とは区別される。基本情報技術者では残留リスクの保有判断プロセスとして問われることがある。