「残留リスクの例にはどのようなものがありますか？」

ISO27001やPマークの支援をしていると

この質問がよく飛んできます。

「残留リスク」とは、会社が抱える固有のリスクの中で、

現在実施している若しくは今後実施することが決定している対策では対応できないリスクのことです。

したがって、どのようなリスクが「残留リスク」となり得るかは会社によって異なります。

一般的な「残留リスク」の例というものは存在し得ません。。。

例えば、盗難、紛失、破損の３つのリスクのある情報資産があり、

施錠ルールの運用により盗難、紛失の２つのリスクへの対応はできていても、

破損に対する追加の対策がなければ、破損リスクが「残留リスク」となります。

ここで注意して頂きたいのは、地震等の天災、悪意の第三者による行為を残留リスクに挙げているケースです。

これらは平時の対策ではどうにもならないリスクですので、

例え「残留リスク」として特定してもその後の対策には限界があります。

これらは事業継続のテーマとして切り分け、有事を想定したBCP（事業継続計画）によって対応する必要があります。