セキュリティ管理のメモ帳

セキュリティに関する備忘録

「risk acceptable(受容可能なリスク)」 と「risk tolerable(許容可能なリスク)」の違いについて

はじめに

 海外のセキュリティ関連のガイドラインでは、リスク(特に残留リスク)を保有する場合、"risk acceptable""risk tolerable" という2つの言葉による使い分けがされていることがあります。
 セキュリティマネジメントを効果的なものとするためには、リスクマネジメントが欠かせないため、この2つの言葉の違いを理解し残しておきたいと思います。
 注)なお、本稿は筆者が文献の参照と経験に基づき独自に解釈した内容のため、認識が間違っている可能性があります。(誤りに気付いた方は、コメントいただけると幸いです)

"risk acceptable" と "risk tolerable" の各文献での取り扱い

 "risk acceptable" と "risk tolerable"の2つの言葉(以下、「2つの言葉」とします)の違いを理解するため、文献(ガイドライン)での取り扱われ方を調べてみます。

ISO Guide 73

 まずは、ISOです。リスクマネジメントの用語を定義しているISO Guide 73 では「リスク評価(risk evaluation)」の定義の中に2つの言葉が出てきます。

ISO Guide 73:2009 より引用
3.7.1 risk evaluation
process of comparing the results of risk analysis (3.6.1) with risk criteria (3.3.1.3) to determine whether the risk (1.1) and/or its magnitude is acceptable or tolerable.

JIS Q 0073:2010 より引用
3.7.1 リスク評価(risk evaluation)
リスク評価(risk evaluation) リスク(1.1)及び/又はその大きさが,受容可能か又は許容可能かを決定するために,リスク分析(3.6.1)の結果をリスク基準(3.3.1.3)と比較するプロセス。

 上記JISの和訳に従い、本稿でも以下のように定義します。

  •  acceptable:受容可能
  •  tolerable:許容可能

 これだけでは情報が足りないため、他のISO関連の規格も斜め読みしてみましたが、残念ながら、2つの言葉の定義(違い、または同義であるなど)に行き着くことはできませんでした。

ALARP principle

 前項から引き続きセキュリティ系のガイドラインを探しましたが、なかなか見つかりません。
 そこで、対象をリスクマネジメント全般に拡げ(特に、リスクマネジメントの考え方が浸透している安全系と金融系を重点的に)探してみたところ、英国で安全衛生関連の行政を担っているHSE(Health & Safety Executive)が発行している文献 "The tolerability of risk from nuclear power stations" の中でも提唱されている "ALARP principle(as low as reasonably practicable)"という考え方*1が深く影響しているらしいことがわかりました。以下に関連する部分を抜粋します。

The tolerability of risk from nuclear power stations より引用

RlSK AND TOLERABILITY OF RISK
10. 'Tolerability' does not mean 'acceptability'.
It refers to a willingness to live with a risk so as to secure certain benefits and in the confidence that it is being properly controlled.
To tolerate a risk means that we do not regard it as negligible or something we might ignore, but rather as something we need to keep under review and reduce still further if and as we can.
For a risk to be 'acceptable' on the other hand means that for purposes of life or work, we are prepared to take it pretty well as it is.

リスクとリスク許容性
10.「許容性」は「受容性」を意味するものではありません。
リスクが適切にコントロールされているという確信のもと、一定の利益を確保するために、リスクと共存していこうとする意思のことです。
リスクを許容するということは、そのリスクを無視するのではなく、常に検討し、可能な限り低減していく必要があるということです。
一方、リスクが「受容可能」であるということは、生活や仕事の目的上、それをそのまま受け入れる準備ができているということです。

※)英語部分は原文から引用、日本語部分は、DeepLで翻訳した結果を筆者が修正

 また、上記文献に記載されている ALARP principle の概念図では、リスクの大きさ(横幅の長さによりリスクの大きさを表しています)と許容(需要)について3段階の領域に分けています。

  • Unacceptable region(受容できない領域)
  • The ALARP or Tolerability region(ALARPまたは許容可能な領域)
  • Broadly acceptable region(広く受容可能な領域)

結果

 ここまでの結果を元に、2つの言葉の違いについて理解した内容をALARP principle の概念図に加筆してみます。

図 ALARP principle の概念と需要・許容基準の違い

 同じく、比較結果を表にまとめます。

表 リスク受容とリスク許容の比較

まとめ

 今回は、"risk acceptable(受容可能なリスク)" と "risk tolerable(許容可能なリスク)"の違いについて考察した結果、リスクの許容について深く理解することができました。
 リスクをゼロにすることはできません。また、特定したリスクに対し考え得る管理策全てを実施し、リスク対応することは資源面(費用対効果)から現実的ではありません。組織の特定の状況下において、合理的な根拠の下でリスクを許容するという考え方は、正に合理的であり現実的です。ほとんどの組織でそのようにセキュリティマネジメント(リスクマネジメント)されていると思います。
 また、上記のリスク許容レベルが決められた合理的な根拠は、デューケア(デューディリジェンス)やアカウンタビリティには必要不可欠な要素です。
 例えば、インシデント発生時に想定外ではなく、リスクアセスメント時(またはモニタリング時)の環境において、漏れなくリスク特定とリスク対応の検討が行われ、合理的に個々の管理策の採否が実施されていることの説明可否が組織の評価につながるからです。
 また、インシデント発生時だけではなく、普段から内外の利害関係者とのリスクコミュニケーションによりリスク許容の合理性に関し、合意を得ておくことも組織の評価をあげる行為だと思います。

参考資料

 本稿は、以下のガイドラインを参考にしています。より詳細な情報を得たい、正確性を重視したい方は以下を参照して下さい。

  • ISO Guide 73:2009(JIS Q 0073:2010)

  • The tolerability of risk from nuclear power stations(HSE)

脚注

*1:リスクを可能な限り合理的に実施可能な程度に低減するという考え方