「リスク対応」を選択する場合には、まず前回説明したリスク分析の結果に基づき、自社におけるそのリスクの発生の可能性と発生した場合の影響の度合いの検討の作業（「リスク算定」と「リスク評価」）をします。左の図表は、リスクの発生の可能性と発生した場合の影響の度合いから、リスク対応を選択する、一般的な考え方を示したものです。

そして、「リスクの回避」「リスクの最適化（リスクの低減）」「リスクの移転」「リスクの保有」の4つの種類のうち、どのような対応にするかを選択することになります。

では、「ノートPCの紛失による情報漏えい」というリスクについて、リスク対応の4つの種類を当てはめてみましょう。

「リスクの回避」では、「ノートPCを持ち出さない」というような対応になります。ただし、リスクの回避は、ビジネス機会の損失など、デメリットが大きいことに注意しなければなりません。

「リスクの最適化（リスクの低減）」では、「ノートPCのデータを暗号化する」というような対応になります。「リスクの最適化（リスクの低減）」は、リスクを減らすために情報セキュリティ対策を講じることです。または、行き過ぎた情報セキュリティ対策の場合には、実施レベルを下げたり、対策の実施をやめたりします。

「リスクの移転」では、「ノートPCの紛失による被害に備え、損害保険に加入する」というような対応になります。リスクの移転は、このように保険をかけたり、情報セキュリティ対策をアウトソーシング（外部委託）したりすることです。

「リスクの保有」では、「ノートPCの紛失による損害を許容できるリスクとみなし何もしない」という対応になります。リスクの保有は、何もしていないように見えるかもしれません。しかし、リスクを評価せずに、結果として対策がとられなかったのではありません。リスクを評価しないことは、「リスクの保有」ではなく、リスクの見落としでしかありません。

今回は、リスク対応について説明いたしました。次回は、情報セキュリティ対策の種類とその選択について解説します。