リスクを認識した上でそのリスクを低減させるための対策を講じた結果、まだ残っているリスクを「残存リスク」と言います。

個人情報は、わたしたち企業の情報資産である前に情報主体である個々人の情報です。ですから、企業の経済性だけで対処するのはいけません。

残存リスクとして残っているもので、リスクの低減が必要なものがあれば再度対策を検討しましょう。そして、最終的に残った残存リスクは役員・従業員が十分認識して「顕在化」しないように日々の業務で全員で注意して扱いましょう。

残存リスクと良く似たものに、ISMS(情報セキュリティ)の「許容リスク」があります。ISMSでもリスク評価して対策をとり、その結果残ったリスクを許容リスクといいます。しかしながら、これは残存リスクとは違って、当社が保有している情報資産を守るときに『この範囲は守れなくても良い』と許容するリスクのことです。

 峪饂魂礎諭廖漾屬修了饂困失われる確立」>「対策費用」
◆峪饂魂礎諭廖漾屬修了饂困失われる確立」<「対策費用」

対策費用が少ない,両豺腓蓮対策をとり、対策費用が高い△両豺腓狼容リスクとするかを決めます。

リスク分析に当たっては、環境の変化などによってリスクが変化しているかもしれませんので、改めてリスク分析を行い、必要があれば改善策を講じます。そして、残存リスクを更新します。

大切なことは、「残存リスク」を関係者が認識して「顕在化」しないようにすることです。