竹有希堂の備忘録

店主の備忘録です。#マーケティング #インダストリアルエンジニアリング #SDGs #デジタルものづくり

挑戦する不安と戦っている人に伝えたい、論理的な対策プラン

まとめ

  • 「不安」とは、何かが気がかりで、落ち着かない(安らぎが得られない)心の状態だそうです。言い換えると、今はまだ起きていない、発生していない事柄が対象だと仮定します。

    であるならば、不安な対象を明確化して、どうなってしまったら、どれくらい困るのかをあらかじめ推定できれば、もう半分は消えたようなものです。

    さらに、発生したら困る事の対策まであらかじめ用意してしまえば、もう何も怖くない状態。つまり不安=リスクを制御=マネジメント 出来ていると言えます。

 

今回、PMBOK(Project Management Body of Knowledge=プロジェクトマネジメント知識体系)におけるリスクマネジメントの手法で、なるべく論理的に対策する方法をご紹介します。
  参考URL https://ja.wikipedia.org/wiki/PMBOK

この記事は規格であるISO31000 リスクマネジメント原則及び指針から抜粋し、私の言葉で語っています。ご興味を持たれたら、是非PMBOKと併せて読んで見てください。
  参考URL https://kikakurui.com/q/Q31000-2010-01.html

 

本文

  • 対策は大きく2つの手順で考えます。
    ①不安(リスク)の明確化。リスクアセスメントを行ないます
    ②不安(リスク)への対応。発生確率・影響度マトリクスを使います。

 

  • リスクアセスメントの手順
    ①リスクの特定  ②リスクの分析  ③リスクの評価

  • まず、発生したら困る事柄を考えてみてください。それはどんな時に誰に何が起きてどうなってしまう事でしょうか。

  • そうなった時に、誰がどれくらい困るのでしょうか。

  • そして、どれくらいの頻度で、もしくは確率で発生するのでしょうか。

  • リスクアセスメントを行うと皆さん驚かれるのが、意外にも本当にどうしようもない、という事態はなかなか発生しないという事なんです。

 

発生確率・影響度マトリクスでわかる定番の対策

  • リスクアセスメントが出来たら、図(作成中)の軸でマトリクスを作ってみます。縦軸が影響度の高低、横軸が発生確率の高低です。
  • 結論から言いますと、この軸で4つに切ると定番の対策があります。

 

回避

  • 「リスク回避」とは、脅威発生の要因を停止あるいは全く別の方法に変更することにより、リスクが発生する可能性を取り去ることです。例えば、「インターネットからの不正侵入」という脅威に対し、外部との接続を断ち、Web上での公開を停止してしまうような場合や、水害などの被害が頻繁にあり、リスクが高いため、そのリスクの低い安全な場所と思われる場所に移転する、などが該当します。リスクを保有することによって得られる利益に対して、保有することによるリスクの方が極端に大きな場合に有効です。

低減

  • 「リスクの低減」とは、脆弱性に対して情報セキュリティ対策を講じることにより、脅威発生の可能性を下げることです。ノートパソコンの紛失、盗難、情報漏えいなどに備えて保存する情報を暗号化しておく、サーバ室に不正侵入できないようにバイオメトリック認証技術を利用した入退室管理を行う、従業員に対する情報セキュリティ教育を実施するなどがあります。

移転

  • 「リスク移転」とは、リスクを他社などに移すことです。例えば、リスクが顕在化したときに備えリスク保険などで損失を充当したり、社内の情報システムの運用を他社に委託し、契約などにより不正侵入やウイルス感染の被害に対して損害賠償などの形で移転するなどが該当します。しかし、リスクがすべて移転できるとは限りません。多くの場合、金銭的なリスクなど、リスクの一部のみが移転できます。

保有

  • 「リスク保有」とは、そのリスクのもつ影響力が小さいため、特にリスクを低減するためのセキュリティ対策を行わず、許容範囲内として受容することです。「許容できるリスクのレベル」を超えるものの、現状において実施すべきセキュリティ対策が見当たらない場合や、コスト(人、物、金等)に見合ったリスク対応の効果が得られない場合等にも、リスクを受容します。

   参考URL https://www.ipa.go.jp/security/manager/protect/pdca/risk.html

最新の対策

  • 実は上記の対策は、「古典的な4つの分類」と言われ、最新のISO31000ではもう少し細分化されて7つの対策になっています。
    参考URL http://www.drs.dpri.kyoto-u.ac.jp/hayashi/lecture/lecture2013/risk/risk_20131120_lecture.pdf
  • 本格的にリスクマネジメントを学んだ方や、まさに実践されている方には否定されるのももっともかもしれません。
  • 今回は、本格的なプロジェクトの推進ではなく、例えば資格取得とか、例えばダイエットとか、特定の期日までに何かを達成したいときに、汎用的に使えるように書いています。

まとめ

誰だって不安にかられるときはあるものです。

でもそんな時に、押しつぶされてしまうとか、自分を否定したりとかするくらいなら、

まずは「まだ起きていない」ことを確かめて、

そもそもの目的に対してどれくらい影響があるのか、どれくらいの頻度で起きるのかを整理し、

回避、低減、移転、保有の4つから、どれで対策しようかなぁ

なんて考えられると、不安は小さくなると思います。