情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成31年度春期 午前 問5: リスク対応のうち，リスクファイナンシングに該当するものはどれか。

問題本文

リスク対応のうち，リスクファイナンシングに該当するものはどれか。

選択肢

• ア.システムが被害を受けるリスクを想定して，保険を掛ける。
• イ.システムの被害につながるリスクの顕在化を抑える対策に資金を投入する。
• ウ.リスクが大きいと評価されたシステムを廃止し，新たなセキュアなシステムの構築に資金を投入する。
• エ.リスクが顕在化した場合のシステムの被害を小さくする設備に資金を投入する。

正解

ア. システムが被害を受けるリスクを想定して，保険を掛ける。

解説

リスクファイナンシングとは、リスクが顕在化したときの損失を補填するための資金面の備えを指し、保険への加入や引当金の積立てなど「損失移転・損失保有」がこれに当たる。一方、損失の発生確率や被害規模そのものを技術・設備で抑える活動はリスクコントロールに分類される。保険を掛ける行為は損失を保険会社へ移転する典型的なリスクファイナンシングであり、アが適切である。

選択肢ごとの解説

• ア.保険を掛けることは損失を第三者へ移転する資金的手当てであり、リスクファイナンシングに該当する。
• イ.リスクの顕在化を抑える（発生確率を下げる）対策はリスクコントロールであり、ファイナンシングではない。
• ウ.リスクの大きいシステムを廃止しセキュアな構築に投資するのは、リスクそのものを回避・低減するリスクコントロールである。
• エ.被害を小さくする設備への投資は被害規模を抑えるリスクコントロール（低減）であり、ファイナンシングではない。