【5分で理解】ISMS（ISO27001）のリスク所有者は誰が適切？

「ISMSの情報セキュリティにおけるリスク所有者とは誰のこと？」
「どのような人がISMSのリスク所有者にふさわしいの？」
このような疑問やお悩みをお持ちの方はいらっしゃいませんか？

リスク所有者を明確にしておかないと、インシデントが発生した際に「誰が最終判断を下すのか」が分からず、対応が混乱する恐れがあります。
また、ISMSの審査ではリスク所有者の明確化が必須であるため、不備として指摘され、審査の合格が難しくなるリスクもあります。

リスク所有者をきちんと明確に定めることで、経営レベルでリスク対応をコントロールしやすくなり、トラブル発生時の初動も素早く対応することが可能になります。

本コラムでは、ISMSにおけるリスク所有者がどのような役割をもっているのか、また、どのような人がISMSのリスク所有者にふさわしいのか徹底解説いたします。

本コラムを読み終えることで、すぐに実務で活かせる知識が身につき、社内のリスク管理をスムーズに進められる体制づくりにつながります。その結果、組織全体の情報セキュリティ対策のレベルを底上げすることができるでしょう。

1.ISMSのリスク所有者は、資産の管理責任を負う者のこと

ISMSでは、リスクに対して「回避・軽減・移転・受容」といった対応方法を選択する必要がありますが、その最終判断を行うのがリスク所有者です。

通常、リスク所有者は個人が担当しますが、企業の場合は部署やチームがリスク所有者となるケースもあります。また、リスク所有者が必ずしもリスク対応の実務を行うとは限りません。

実際には、リスク所有者が意思決定を行い、具体的な対策の実施は別の担当部署が担うことも多くあります。

つまり、リスク所有者とは、特定のリスクに対して最終的な責任を持ち、そのリスクをどのように扱うかを決定する立場の人を指します。

2.ISMSにおけるリスク所有者の対応4つ

第1章で述べたように、ISMSのリスク所有者はリスクに対して「回避・軽減・移転・受容」といった対応方法を選ぶ必要があります。

(1)リスクの回避

リスク回避は、リスクを伴う活動自体を中止、あるいは開始しないことで、リスクの発生可能性をゼロにするアプローチです。

これは、4つの対応策の中で最も抜本的かつ強力な手段と言えます。

メリット

対象となるリスクによる損失を100%防げます。

デメリット

リスクと共存していたはずの収益機会や成長の可能性を完全に失うことがあります。

(2)リスクの軽減

リスク軽減は、リスクの発生確率（頻度）を下げる、あるいはリスクが発生した際の影響度（損失）を小さくするための対策を講じるアプローチです。

リスクそのものをゼロにする「回避」とは異なり、リスクの存在を前提とした上で、それを管理可能なレベルにまで抑え込むことを目的とします。

これは、リスク対応において最も一般的に用いられるアプローチであり、具体的な対策は多岐にわたります。

メリット

事業活動を継続しながら、リスクを現実的なレベルでコントロールできます。

デメリット

対策を講じるためのコストが発生することがあります。また、対策を施してもリスクがゼロになるわけではありません。

(3)リスクの移転

リスク移転は、リスクによって生じる経済的な損失の全部または一部を、契約などによって第三者に転嫁するアプローチです。

自社でリスクを抱え込むのではなく、他者にその責任を移すことで、財務的な安定性を確保することを目的とします。

メリット

発生頻度は低いものの、一度発生すると影響が非常に大きいリスクに対して、比較的少ないコストで備えられます。自社だけでは対応しきれないような巨大な損失から企業を守ることができます。

デメリット

保険料や委託料といった継続的なコストが発生します。また、すべてのリスクが移転できるわけではありません。

(4)リスクの受容

リスク受容（保有）は、リスクの存在を認識・評価した上で、特段の対策を講じずに、そのリスクを受け入れるというアプローチです。

これは、リスクに対して何もしていない状態とは異なり、分析と評価の結果、対策を講じないことが最も合理的であると判断した上での積極的な意思決定です。

メリット

対策コストが一切かかりません。

デメリット

もしリスクの評価を誤っていた場合、想定以上の損失を被る可能性があります。

これらの4つの選択肢は、それぞれ異なるアプローチと目的を持っており、リスクの性質や企業の状況に応じて最適なものを選択する必要があります。一つのリスクに対して単一の対応策をとるだけでなく、複数の対応策を組み合わせることもあります。

リスク所有者は上記4つのリスク対応の一長一短を正しく理解し、目の前にある特定のリスクに対して、どの対応策を選択するのが最も適切なのか判断を下すことが求められます。

3.どのような人がリスク所有者にふさわしい？

リスク所有者には、リスクが発生した際に迅速に状況を判断し、どのように対応すべきかを決定できる能力が求められます。

ISMSにおけるリスクとは、単なる危険やトラブルではなく、「目的に対する不確かさがもたらす影響」を指します。
この影響には、好ましい場合もあれば、好ましくない場合も含まれます。
理想的には好ましい影響だけであってほしいものの、実際には好ましくない影響が生じることが多いでしょう。

そのため、リスク所有者としてふさわしいのは、好ましくない影響が発生した際に責任を持って対応できる立場の人、つまり役職者や責任者クラスの人物です。

4.全てのリスク所有者を社長にしてもよいのか？

第3章で説明したように、「好ましくない影響が発生した際に責任を取れる人」や「役職者・責任者の立場にある人」と聞くと、多くの方はまず社長を思い浮かべるでしょう。
確かに、社長は会社の代表として最終的な責任を負う立場にあります。

しかし、扱う資産によってリスクの性質や管理方法、必要な対策は大きく異なります。
そのため、すべてのリスク所有者を社長にすることが最適とは限りません。

実際の事例をもとに考えてみましょう。

(1)取引先と交換した名刺を紛失してしまった場合

取引先から受け取った名刺の管理方法は、会社によってさまざまです。
専用ファイルで保管する、名刺入れに入れて持ち歩く、電子化してスマートフォンのアプリで管理するなど、運用ルールは企業ごとに異なります。

ここでは、次の状況を例として考えます。

（例）

• 社長の紹介で営業担当者が取引先と名刺交換をした
• 名刺は営業担当者が持ち帰り、会社の専用ファイルで保管するルールになっている
• その名刺を営業担当者が紛失してしまった

この場合、最終的な責任は会社の代表である社長にありますが、まず責任を負うべきは名刺を管理していた当事者、つまり営業担当者です。名刺という資産を適切に管理する義務があり、その対策を怠ったのが本人であるためです。

したがって、このケースにおける名刺のリスク所有者として最も妥当なのは、名刺を受け取って管理していた営業担当者となります。

(2)選考学生の履歴書を紛失してしまった場合

次に、選考学生の履歴書を紛失してしまったケースについて考えてみます。

面接の流れや管理方法は企業によって異なりますが、ここでは以下の状況を例とします。

（例）

• 選考学生から履歴書を人事担当が受け取り、社長へ渡した
• 面接は社長が直接実施
• 面接終了後、履歴書は再び人事担当へ戻された
• その後、人事担当が履歴書を紛失してしまった

この場合も、履歴書の管理体制に不備があった可能性が高く、まず責任を負うべきは履歴書を管理していた人事担当者です。
もちろん、最終責任は会社の代表である社長にありますが、実際に資産（履歴書）を管理し、適切に保管する義務があったのは人事担当者であるため、リスク所有者として最も妥当です。

ISMSにおけるリスク所有者は、すべて社長にすればよいというものではありません。
扱う資産によってリスクの性質や管理方法が異なるため、それぞれの資産に適したリスク所有者を選定する必要があります。

5.まとめ

今回は、ISMSにおけるリスク所有者について解説しました。
リスク所有者とは、特定のリスクに対して管理責任と説明責任を持つ人（または組織）のことを指します。
リスクが発生した際に迅速に状況を判断し、適切な対応を決定できる能力を持つ、役職者や責任者クラスの人物がふさわしいとされています。

ただし、「最終責任は社長にある」という理由だけで、すべてのリスク所有者を社長に設定するのは適切ではありません。
扱う資産によってリスクの性質や管理方法は異なるため、それぞれの資産に応じて最も適切な責任者を選定する必要があります。