基本情報技術者 2017年 秋期 午前（科目A） 問43

リスクアセスメントを構成するプロセスの組合せはどれか。 【午前2 解説】

要点まとめ

• 結論: 正解は イ（リスク特定、リスク分析、リスク評価）であり、リスクを識別し影響と発生確率を分析して評価基準と照合する三段階です。
• 根拠: ISO 31000 等のリスクマネジメント標準や教科書は、アセスメントを「特定→分析→評価」の順で定義し、評価は分析結果の判断と優先付けを行う工程としています。
• 差がつくポイント: 「分析」と「評価」を混同しないこと。分析は発生確率と影響の測定、評価は基準との比較と優先順位付けが役割です。

正解の理由

• リスク特定：リスク要因や事象を洗い出す工程。
• リスク分析：各リスクの発生確率や影響度を定性的・定量的に把握する工程。
• リスク評価：分析結果を事前に定めたリスク基準（許容水準など）と照合し、対応の優先順位や許容可否を判断する工程。
  「リスク対応（リスクトリートメント）」や「リスク受容」は、評価の結果に基づいて行う後続のマネジメント活動であり、アセスメントそのものの構成要素ではありません。したがって選択肢イが正解です。

よくある誤解

• リスク対応（対応策の策定・実行）をアセスメントの一部と考える誤り：対応は評価の次に行われる管理フェーズです。
• リスク受容をアセスメントに含める誤解：受容は判断（評価）の結果として採られる措置で、プロセス自体の構成要素ではありません。
• 分析と評価を同義と扱うミス：分析はデータ収集・測定、評価は基準との照合と意思決定で目的と手順が異なります。

解法ステップ

1. 問題文のキーワード「リスクアセスメント」を確認し、一般的な定義を思い出す。
2. 各選択肢の語句を「識別（特定）・分析・評価・対応・受容」に対応づける。
3. 「アセスメント＝特定→分析→評価」であることを基準に該当する組合せを選ぶ。
4. 「対応」や「受容」が含まれる選択肢は後続フェーズであり除外する。

選択肢別の誤答解説

• ア: リスク特定、リスク評価、リスク受容
  誤り。評価はあるが「分析」が欠けており、受容はアセスメントの構成要素ではなく評価後の判断です。
• イ: リスク特定、リスク分析、リスク評価 — 正解
  正しい順序と要素が揃っており、標準的なアセスメントの定義に合致します。
• ウ: リスク分析、リスク対応、リスク受容
  誤り。特定（識別）が抜けており、対応と受容はアセスメントの後工程です。
• エ: リスク分析、リスク評価、リスク対応
  部分的に近いが誤り。対応はアセスメントの後の処置（トリートメント）であり、アセスメントの構成要素として並べるのは不適切です。

補足コラム

• 出力物例：リスクレジスター（リスク一覧）、リスクマトリクス、リスク評価表などがアセスメントの成果物です。
• 分析手法：定性的（専門家評価、ヒートマップ）と定量的（期待損失の算出、故障確率のモデル化）があり、目的に応じて使い分けます。
• 標準との関係：ISO 31000 や関連ガイド（NIST など）でも同様の三段階を提示しており、用語のズレに注意して定義を確認すると試験対策に有利です。

FAQ