監修 NTT東日本 コワークストレージ開発担当

「リスク管理ってどうやったらいいんだろう？」

「企業でリスク管理というと、どういうことをするのかな？」

このようにお考えではないですか？

企業においてのリスク管理とは、想定しうるリスクを洗い出して損失を最小化するための施策を打つことを指します。

企業においてのリスクとしては、主に「事業機会における戦略的リスク」と「事業の遂行に関するリスク」のふたつに分けられます。そしてそれぞれが、いくつかの種類に分類されます。

これらリスクに対して企業が持つべき方針としては、実は「排除する」というものだけではありません。例えば事業拡大などはある程度リスクを想定しながら推し進めるべき場面もあるためです。

リスク管理の考え方として具体的には、以下の4つがあります。

この中でも特に企業が防ぎたいリスクの代表的なものが、災害リスクや情報セキュリティのリスクです。災害によるデータ破損や情報漏洩などは、確実に防がなければなりません。そしてこれらは適切な方法を取ることで、限りなくリスクをゼロに近づけることができます。

そこでこの記事では、リスク管理の基本的な情報を中心に、以下の内容について詳しく解説していきます。

この記事をお読みいただくことで、リスク管理について理解を深めて対応策を網羅できる事と思います。ぜひこの記事を参考に、リスク管理を始める第一歩を踏み出していただければ幸いです。

1.リスク管理とは何か

この章ではまず、リスク管理の概要について以下の内容を詳しく解説していきます。 それぞれについて見ていきましょう。

1-1.リスク管理はリスク想定して損失を最小化するために施策を打つこと

冒頭でも解説した通り、リスク管理とは想定しうるリスクを洗い出して損失を最小化するための施策を打つことを指します。

企業の価値を維持または高めるためには、万が一の際の損失を最小限に抑える必要があります。そのためには損失につながる可能性のあるリスクを洗い出して管理し、損失を回避したりできるだけ低減しなければなりません。

企業が管理すべきリスクとしては、例えば以下のようなものがあります。

• 災害リスク
• 情報漏えいのリスク
• データ破損のリスク
• サイバー攻撃のリスク
• 粉飾決済のリスク　など

こうしたリスクを十分に想定し、あらかじめ対策を取って管理しておくことで、万が一の際の損失を最小限に押さえることが可能です。

例えば、サイバー攻撃によって大切なデータが失われないように、あらかじめクラウドにバックアップを取っておく、などの施策もリスク管理のひとつの方法です。

1-2.リスク管理と危機管理の違い

リスク管理とよく似た言葉に「危機管理」というものがあります。このふたつは密接に関係のある言葉ではありますが意味は明確に違います。

リスク管理が損失を未然に防ぐための施策を打つことであるのに対し、「危機管理」は危機的状況が起きてしまった際に損失を最小限にするための施策を打つことです。

つまり、リスク管理は損失を「防止するための施策」です。自然災害や情報漏えいのリスク、サイバー攻撃のリスクなど管理すべきリスクは、いつどこでそのような状況において発生するかを正確に予測しづらいものです。そうしたリスクをそもそも「防ぐ」ための施策がリスク管理です。

そして、どれだけ対策を取っても全てのリスクを100％完全に排除することはできません。そこで、万が一危機的状況が起きてしまった際に、どのようにして損失を最小限にとどめるのかといった施策もあらかじめ準備しておく必要があるのです。それが、「危機管理」です。

1-3.リスク管理の必要性とは

リスク管理は現状どのような事業を行っている企業においても急務と言えるでしょう。リスク管理を行わなかった場合、万が一の状況において企業にとって大きな損失になるだけでなく、顧客の情報などを危険にさらしてしまう可能性があるためです。 例えばリスク管理を怠ってしまうと、地震や火災などの災害が起こった際に社内のデータサーバーで保管しているデータを損失してしまうといったことが考えられます。 あらかじめ災害などのリスクを検討しておくと、自社と地理的に離れたところにデータを保管したり、クラウドストレージにバックアップを取るといった対策を行うことで被害を最小化することが可能です。 特に近年は業務内容が複雑化しつつあり、情報の管理もしづらくなっているという事情があります。どのルートからどのように危機的状況に陥るのかを読むことが従来よりも難しくなっているのです。 また危機的状況になってしまった際の被害の拡大についても、従来よりもそのリスクは増していると言わざるを得ません。近年はアウトソーシング化が進んでいることもあり、どこかで危機的な状況が起きた場合に被害が連鎖的に拡大する可能性が高くなっているためです。 実はリスク管理は従来から、企業が無意識的に行ってきたものでした。情報を守るためにセキュリティソフトを導入したり、顧客情報を管理したりといったことはどこの企業でもなされていたことと思います。しかし以前よりもそのリスクが増している以上、より積極的な対策が企業には求められているのです。

2.企業における代表的なリスク例

この章では、企業が備えておくべき代表的なリスクについて解説します。

「リスク」というと一般的には「危険性」といった認識をされることが多いのですが、実はその限りではありません。企業におけるリスクには、「純粋リスク」と「投機的リスク」のふたつの種類があります。

それぞれについてみていきましょう。

2-1.純粋リスク

「純粋リスク」は、災害や情報漏えいなどのように損失のみを発生させるリスクのことです。例えば以下のようなものが純粋リスクとして挙げられます。

• 自然災害
• 機材の破損
• サイバー攻撃
• 事故
• 情報漏えい
• 粉飾決算　など

純粋リスクは発生の予測が難しいものの、一度発生してしまうと企業にとって再起不能なほど大きなダメージを与えかねません。従って企業としてはあらかじめ対策を取って、損失を回避させる必要があります。

2-2.投機的リスク

「投機的リスク」は、利益と損失の両方が発生する可能性のあるリスクです。例えば新規事業を行う際に、ある程度の損失を覚悟で積極的に利益を取りに行くといった戦略的なリスクです。

• 新商品の開発
• 新規事業の開始
• 為替や金利の変動　など

投機的リスクには以上のようなものがあります。これは「ビジネスリスク」とも呼ばれ、リスクを低減することだけが一概に良いこととは見られません。なぜなら、投機的リスクの場合はある程度損失を覚悟で積極的に動いたほうが大きなリターンが得られる可能性もあるためです。 投機的リスク管理を行う場合には、リスクを減らすことだけを考えるのではなく、社会情勢なども踏まえてリスクをなるべく正確に判断し、可能な限り抑える方法を取ることが求められます。

3.リスク管理における4つの考え方

それではここで、リスク管理における4つの考え方についてみていきましょう。ここまでにも解説した通り、リスクにも様々な種類があるため全てを完全に排除するといった方法を取ることはできません。

想定しうるさまざまなリスクに対してどのようなスタンスを取るべきかはあらかじめ決めておく必要があります。

ここでは、以下の4つの考え方について詳しく解説していきます。

3-1.【回避】リスクを取り除く

まずは、リスクそのものを完全に取り除くという考え方です。これは、特に危機的状況の発生頻度が高く、なおかつ発生した際の影響が大きいリスクに対して検討されます。具体的には以下のような状況において行われます。

• 為替リスクが大きく利益が見込めない事業からの撤退
• 地震発生率の高い地域で事業を行っている場合に、拠点を移転する

リスクに対して利益を見込めない場合に、その事業からの撤退や売却することが一般的な「リスク回避」の例です。自然災害リスクなどに関しては、リスクの高い地域からの移転でリスクをほぼ完全に取り除けることもあります。

3-2.【低減】リスクでの被害を低減する

リスクでの被害を低減することも重要な考え方です。例えば、リスクの中には企業がどれだけ対策を練っても避けられない危機的状況があります。例えば以下のような純粋リスクがそれにあたります。

• 地震や台風などの自然災害
• サイバー攻撃
• テロ
• 取引先の倒産
• 感染症　など

これらのリスクは企業がどれだけ防止に努めても、被害を受ける可能性はあります。例えば地震による影響を最小限に抑えるために、工場を耐震補強するといった方法がこれにあたります。新型コロナなど感染症に対しても、あらかじめテレワークも可能な環境を整備しておくことで被害を最小化することも可能です。 これらについての対策には、リスクによって様々な方法が検討されます。

3-3.【移転】リスクの影響を別の場所に移す

リスクの影響を別の場所に移す、「移転」という方法もあります。これはあらゆるリスクに関して検討しておくべき考え方です。 よくある例としては「保険への加入」などがあります。地震や台風などの自然災害はもちろん、保険に加入することで、危機的な状況が起こり被害があったとしても、別の場所から補填することが可能となります。 その他には、業務を専門家にアウトソースすることも移転の代表的な例です。 自社が保有するデータのバックアップを、データセンターやクラウドに保存してリスクに備えることも一般的です。近年では企業がクラウドストレージを導入することで、データを失うリスクを分散する企業が増えています。リスクを受け入れることも、リスクの種類によっては必要です。とくに投機的リスクの場合にはある程度のリスクを受け入れたうえで行動を起こす必要があるでしょう。

•  新商品の開発
• 新規事業の開始
• 為替や金利の変動　など

これらのリスクに関しては、関係する経済的情勢や為替変動、政治情勢などさまざまな状況を加味しつつ事業を進めていく必要があります。損失をある程度受け入れる覚悟は必要ながら、その損失を最小化する施策も必要となります。 自社が持っているリスクを以上4つのどのタイプに当てはめるかについては、本記事「「5.リスク管理を行う4つのプロセス」」 で詳しく解説していますのでぜひ参考にしてみてください。

4.リスク管理の具体的な事例

それではここからは、リスク管理の具体的な事例について解説します。ここでは、一般的に対策を取っておくべきリスクとして「自然災害リスク」と「情報セキュリティリスク」に対しての対策事例を見ていきましょう。

それぞれ解説していきます。

4-1.災害発生リスク管理の事例

90年以上ものあいだ食品・化学・医薬・環境など幅広い分野で事業を展開してきた株式会社オーカワラテックは、災害リスクの少ない地域のBCPの拠点を設置しリスク低減を目指しました。

BCPとは事業継続計画のことで、自然災害や火災、テロなどの緊急事態が起こった際にも損失を最小限に抑えて事業を継続するための計画のことです。

同社の親会社の所在地は、地震の発生率が高いことを懸念していました。

東日本大震災をきっかけに、親会社はBCPに力を入れるようになります。地理的に親会社から遠い九州が検討されました。地震の発生率がひくく「ものづくり」への環境が親会社のある静岡に近い長崎を候補地としました。また同社が保有する高度な技術を保管するために、長崎県内に協力企業も探しました。

その結果2020年には長崎にオーカワラグループのBCP拠点として「オーカワラテック（株）」を創業しました。特に、災害が発生した際にすぐにカバーができない医療分野に特化した会社となっています。

BCP拠点を作ったことで医薬分野の見直しだけでなく、グループ全体で事業継続のための対策を行うことができました。

出典:「災害リスクが少ない地域にBCPの拠点を設置」はこちら

4-2.情報セキュリティリスク管理の事例

訪問介護サービスを手掛ける株式会社ホスピタリティ・ワンは、カルテなどの個人情報管理で事故が発生した経験を重く受け止め、情報セキュリティ強化に取り組むことになりました。

同社は一般財団法人日本情報経済社会推進協会のプライバシーマーク取得を目指しました。プライバシーマークを取得すると、行政担当者や患者から高いレベルの情報セキュリティ環境があることが証明されます。同社は平成27年にプライバシーマークを取得しました。

しかし同社は現在においてはプライバシーマーク取得よりも、その過程に重きを置いています。プライバシーマーク取得に取り組むことで同社のセキュリティ上の問題点に気づき、従業員の間でも意識付けができるようになったことも大きな変化のひとつと言えます。

出典:「稼ぐ力を支えるリスクマネジメント｜中小企業庁」はこちら

5.リスク管理を行う4つのプロセス

ここからは、具体的にリスク管理を行うプロセスについて解説します。具体的には、以下の4つのプロセスでリスク管理を行います。 それぞれ見ていきましょう。

5-1.リスクを特定する

まずは想定できる限りのリスクを特定します。企業にとって（またはプロジェクトごとに）、過去に経験したリスクや考えを洗い出していきます。 この工程では抜け漏れなく徹底的にリスクを洗い出すことが必要です。社内でヒアリングやブレインストーミングを行うなどで具体的にリストアップしましょう。 リスクの特定は1つの部署内だけで行うことは危険です。関係部門で見落としているリスクがあると想定できない問題が発生する可能性もあります。1つのプロジェクトにかかわる全ての部署からヒアリングを行う必要があります。

5-2.リスクを分析・優先順位付けする

洗い出したリスクを分析します。リスクは、誰にとっても同じように認識されるものではありません。人によっては「軽い」と感じるものでも、別の人にとっては「重い」と感じるものもあります。具体的な指針がないと、社内またはチーム内でスタンスを共有できません。

そのため、分析を行って客観的評価を下すのです。

具体的にはひとつひとつのリスクに関して、「影響の大きさ」と「発生確率」を特定して分析します。それぞれを分析したうえで、先ほど第三章で解説した4つの考え方に当てはめていきます。

危機的状況が発生したときの影響度が大きく、且つ頻度も多いものが最優先で取り組むべきリスクです。続いて、発生頻度は低いものの発生したときの影響の大きいもの、発生したときの影響は低いものの頻度が多いものを想定し、最後に発生頻度も低く発生時の影響も低いものについて検討します。

5-３.リスクに対応する

全てのリスクについて優先順位を付けたら、いよいよリスクに対しての対応を行います。ここでも第三章で解説した考え方をベースに対策について考えます。 「回避」ができるリスクに関してはリスク回避を検討します。事業売却や停止を中心に施策を考慮し、対策を練ります。 リスク対応として最も多くなるのが「低減」となるでしょう。リスクを想定してなるべく大きな損失にならないように準備します。例えば地震などの災害時にデータを失うことないよう、クラウドサービスを活用するなどはそうした施策の一つです。 低減や改善ができない（またはする必要がない）と考えるのであれば「保有」を検討します。デメリットを受け入れても積極的に利益を取りに行きたい事業などの場合は特に対策を取らずにそのまま保有することも1つの戦略です。

6.リスク管理はすべての企業が取り組むべき急務

リスク管理は全ての企業が取り組むべき急務と言っていいでしょう。ここまでにも解説してきた通り、事業やプロジェクトを行うえであらゆるリスクは想定すべきなのです。

「リスク管理」というと、従来ははっきりした明確な指針などはありませんでした。企業によって、またはプロジェクトチームによって危機感は異なっており、それぞれの対策もここに委ねられているものだったのです。

しかし近年はリスク管理のプロセスや方法論に関し、手法が定まりつつあります。企業はリスクについて一から検討するのではなく、既存のプロセスに準じて行うことで効率的かつ安全にリスクを管理できるようになっています。

リスク管理を行うことの弊害は、企業の利益を損なうばかりではありません。信頼性を大きく損なうだけでなく、企業に再起不能のダメージを与えることもあります。またその影響は子会社や関連会社にも及びます。

リスク管理を怠ることによる最も重大なダメージは、顧客への影響です。顧客に大きな損害を与えかねないのが、企業の抱えるリスクだということを十分ご理解いただき、回避または低減できるようぜひ対策を取っておきましょう。

7.データのリスク管理を行うならご相談ください

もしも、データのリスク管理についてお悩みならぜひNTT東日本の「コワークストレージ」をご検討ください。コワークストレージは、中小企業向けのクラウドストレージサービスです。

コワークストレージの特徴としては以下の3つが挙げられます。

7-1.ストレージ保存でデータのリスク管理が可能

コワークストレージは、ストレージ上にデータを保存して活用するサービスです。例えばNASやファイルサーバーで大切なデータを保存している場合、災害や緊急時にデータを失ってしまう可能性があります。 コワークストレージを活用することで、データをWeb上のクラウドに保存できます。データは国内のデータセンターで保管されるため、安心して利用できます。

7-2.信頼できるセキュリティ

コワークストレージは強固なセキュリティシステムでお客様の大切なデータを守ります。

• 最高水準の暗号技術を使用
• 端末のキャッシュも暗号化
• データの機密性を保護
• 自動的に暗号化・復号化
• セキュリティ強化のための2段階認証

このような充実したセキュリティにより、万が一にもお客様のデータが破損されないように万全を期しています。

7-3.柔軟なアクセス権の設定が可能

コワークストレージは柔軟なアクセス権の設定が可能です。もしもすでに現在ファイルサーバーでアクセス権限を付与している場合は、同じ設定で利用が可能です。 アクセス権限を適切に付与することで、社内からの情報漏えいを防止することが可能となります。 コワークストレージについてより詳しい内容は、以下のリンクよりご覧ください。

• コワークストレージについて詳しくはこちら

8.まとめ

以上この記事では、リスク管理の基本的な情報を中心に、以下の内容について詳しく解説してきました。

この記事をお読みいただくことで、リスク管理について理解を深めて対応策を網羅できたかと事と思います。ぜひこの記事を参考に、リスク管理を始める第一歩を踏み出していただければ幸いです。

関連サービス

資料ダウンロード

関連するコラム

• コラムをもっと読む