プロジェクトを進めていると、「想定外のトラブルでスケジュールが遅れた」「予算がオーバーした」といった事態は珍しくありません。
こうした不確実性に体系的に立ち向かう手法がリスクマネジメントです。この記事では、4つのプロセスと代表的な対応策を、試験で得点するレベルまで噛み砕いて解説します。
対象試験と出題頻度
リスクマネジメントは、基本情報技術者・応用情報技術者で出題されるテーマです。
プロジェクトマネジメント分野の定番論点で、「リスク対応の4分類(回避・転嫁・軽減・受容)」と「定性的分析と定量的分析の違い」が頻出です。
PMBOKの考え方をベースにした出題が中心となります。
詳細をクリックして確認
基本情報技術者
応用情報技術者
★★★★☆
ランクA(重要)必ず覚えておくべき
用語の定義
情報処理試験を勉強していると、「リスクマネジメントって結局、危機管理と何が違うの?」と混乱しがちです。
リスクマネジメント(Risk Management)とは、一言で言うと
「プロジェクトに潜む不確実性を洗い出し、影響を最小化するために計画・対応・監視を行う一連の活動」
のことです。
イメージとしては、「登山前のルート計画と装備チェック」です。
山に登る前、地図を見て「ここで天候が崩れたら危ない」「ここは落石がある」と危険箇所を洗い出します。
そして雨具を持つ、ヘルメットを被る、迂回ルートを用意するといった備えを整えます。歩き始めたら天気と体調を見ながら必要に応じて引き返す判断もします。
プロジェクトでも同じで、「起きそうな問題を事前に予測し、備えを準備し、進行中も見張り続ける」一連の活動がリスクマネジメントです。
📊 リスクマネジメントの基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | Risk Management |
| 準拠標準 | PMBOK、ISO 31000、JIS Q 31000 |
| 主なプロセス | リスク特定 → 分析 → 評価 → 対応 → 監視 |
| 対応策の分類 | 回避・転嫁・軽減・受容(マイナスリスクの場合) |
解説
プロジェクトには「期限までに終わるか」「想定通りの予算でできるか」「人員が確保できるか」など、未確定の要素が無数に存在します。
これらを場当たり的に対処すると、被害が拡大したり、対応コストが膨らんだりします。
そこでPMBOKやISO 31000は、不確実性を体系立てて管理する枠組みを定めました。これにより、組織内で同じ手順・同じ用語で議論できるようになります。
リスクの2つの側面:プラスとマイナス
「リスク」は危険だけを指す言葉ではありません。
PMBOKでは、目的達成に影響を与える不確実性すべてをリスクと定義し、マイナス(脅威)とプラス(好機)の両面を扱います。
| 種類 | 具体例 |
|---|---|
| マイナスリスク(脅威) | 納期遅延、要員離脱、要件変更、コスト超過、セキュリティ事故 |
| プラスリスク(好機) | 為替変動による利益増、新技術導入による工期短縮、優秀な要員の追加参画 |
5つのプロセス
リスクマネジメントは以下の流れで進めます。試験では各プロセスの「順番」と「目的」を区別できるかが問われます。
リスクマネジメントの流れ
STEP 1
リスク特定
何が起こり得るか洗い出す
STEP 2
リスク分析
発生確率と影響度を測る
STEP 3
リスク評価
優先順位を決める
STEP 4
リスク対応
回避・転嫁・軽減・受容
STEP 5
監視・コントロール
継続的に見直す
STEP2の分析手法には2種類あります。
定性的リスク分析は発生確率と影響度を「高・中・低」のような区分で評価する簡易な方法、定量的リスク分析は金額や日数といった数値で評価する厳密な方法です。
実プロジェクトでは定性的分析で絞り込んだ重要リスクのみ定量的分析にかける、という二段構えが一般的です。
リスク対応の4分類(マイナスリスク)
試験で最頻出なのが、STEP4の対応策の分類です。脅威に対しては以下の4つの戦略から選びます。
| 戦略 | 内容 | 具体例 |
|---|---|---|
| 回避 (Avoid) |
リスクの原因そのものを取り除く | 未知の技術を使う計画をやめて実績のある技術に切り替える |
| 転嫁 (Transfer) |
リスクの責任や影響を第三者に移す | 保険に加入する、専門業者に外注する |
| 軽減 (Mitigate) |
発生確率や影響度を下げる対策を打つ | バックアップを取得する、テスト工数を増やす、要員を冗長化する |
| 受容 (Accept) |
特別な対策をせず、起きたら対処する | 影響が軽微なので予備費だけ確保して通常運用を継続する |
プラスリスク(好機)の場合は、活用・共有・強化・受容の4戦略となります。マイナスリスクの「回避→転嫁→軽減」がそれぞれ「活用→共有→強化」に対応する形で覚えると整理しやすいです。
図解:リスクマトリックス(評価の可視化)
STEP3の評価でよく使われるのが、発生確率と影響度を2軸で配置するリスクマトリックスです。右上に位置するリスクほど優先的に対応します。
📈 リスクマトリックス(影響度×発生確率)
| 発生確率 → | 高 | 中 (軽減) |
高 (軽減/回避) |
最重要 (回避) |
| 中 | 低 (受容) |
中 (軽減) |
高 (軽減/転嫁) |
|
| 低 | 無視 (受容) |
低 (受容) |
中 (転嫁) |
|
| 小 | 中 | 大 | ||
| 影響度 → | ||||
▲ 右上ほど優先度が高い。色分けで対応策を判断する
では、この用語が試験でどのように出題されるか見ていきましょう。
💡 リスクマネジメントの核心を3行で
・不確実性を体系的に管理する活動で、PMBOK・ISO 31000がベース
・プロセスは「特定→分析→評価→対応→監視」の5段階
・対応策は脅威に対して「回避・転嫁・軽減・受容」の4分類
試験ではこう出る!
この分野はFE・APの午前問題で繰り返し出題されています。特に対応策の4分類は得点源にすべき定番です。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| AP R5春 午前 問52 |
PMBOKにおけるリスク対応戦略のうち「転嫁」に該当する例を選ぶ問題。 | ・保険加入や外注が「転嫁」 ・予備費確保は「受容」のひっかけ |
| FE R4春 午前 問52 |
定量的リスク分析の説明として正しいものを選ぶ問題。 | ・「数値で表す」が定量的 ・「高中低で表す」は定性的 |
| AP H30秋 午前 問51 |
「リスクの発生確率と影響度を低減する活動」に該当する戦略を問う問題。 | ・正解は「軽減」 ・「回避」と「軽減」の混同が頻発 |
| FE H29秋 午前 問52 |
プロジェクトを中止することでリスクをなくす戦略を選ぶ問題。 | ・正解は「回避」 ・原因そのものを排除する点が決め手 |
📝 IPA試験での出題パターン
パターン1:「対応策の分類を選べ」
具体例(保険加入、バックアップ、プロジェクト中止、予備費確保など)が示され、それが回避・転嫁・軽減・受容のどれに該当するかを問う形式。「保険=転嫁」「バックアップ=軽減」「中止=回避」「予備費=受容」のキーワード対応を覚えれば9割正解できます。
パターン2:「定性的vs定量的の区別」
「数値で表現するのはどちらか」「高中低で評価するのはどちらか」を問う形式。定量=数値、定性=区分(質的)と覚えれば即答できます。
ひっかけ注意:「回避」と「軽減」の混同が定番のひっかけです。原因を取り除くなら回避、確率や影響を下げるだけなら軽減と区別してください。ここだけは確実に押さえてください。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. PMBOKにおけるリスクマネジメントの説明として、最も適切なものはどれでしょうか?
- A. 情報資産に対する機密性・完全性・可用性を維持するため、技術的・組織的な管理策を実装する活動である。
- B. プロジェクト目的に影響を与える不確実性を特定・分析・評価し、回避・転嫁・軽減・受容といった戦略で対応する一連の活動である。
- C. プロジェクトの作業をWBSで階層的に分解し、各作業の所要期間と先行関係から全体スケジュールを算出する活動である。
正解と解説を見る
正解:B
解説:
選択肢Bは、PMBOKが定めるリスクマネジメントの定義そのものです。「不確実性を特定・分析・評価し対応する」というプロセスの流れと、対応戦略として「回避・転嫁・軽減・受容」を挙げている点が決め手になります。
選択肢Aは情報セキュリティマネジメント(ISMS)の説明です。CIA(機密性・完全性・可用性)を扱う点で、プロジェクトの不確実性全般を扱うリスクマネジメントとは目的が異なります。選択肢Cはスケジュールマネジメント(特にクリティカルパス法など)の説明であり、WBSや先行関係を扱う点でスコープ・タイムマネジメントの領域です。
よくある質問(FAQ)
Q. リスクマネジメントと危機管理(クライシスマネジメント)はどう違いますか?
リスクマネジメントは「起きる前」の予防・準備を含む包括的な活動です。一方、危機管理は「実際に重大事象が発生した後」の被害最小化・復旧に焦点を当てます。例えば、データ漏えいに備えてアクセス制御を設計するのが前者、漏えい発覚後に顧客通知や原因究明を行うのが後者にあたります。両者は対立する概念ではなく、危機管理はリスクマネジメントの一部を担うと整理されます。
Q. 「コンティンジェンシー計画」とは何ですか?
コンティンジェンシー計画(緊急時対応計画)は、特定のリスクが顕在化した場合に発動する事前準備済みの行動計画です。受容戦略を選んだリスクや、軽減してもなお残る残存リスクに対して用意します。AP午後ではコンティンジェンシー予備費(特定リスク用)とマネジメント予備費(未知のリスク用)の違いが問われることがあります。
Q. 残存リスクと二次リスクの違いは?
残存リスクは、対応策を実施した後でも残ってしまうリスクです。例えば、バックアップ取得(軽減)を行っても、バックアップ取得から障害発生までの差分データは失われます。一方、二次リスクは対応策を実施したことで新たに生じるリスクです。外注(転嫁)を選んだ結果、外注先の品質・納期に依存するという別のリスクが発生する、といったケースです。
Q. プロジェクトのリスク登録簿(リスク登録簿/リスクレジスター)には何を書きますか?
リスクID、リスクの内容、発生確率、影響度、優先度、対応戦略、責任者、トリガー(発動条件)、状況などを記録します。プロジェクト開始時に作成し、進行に応じて更新し続ける生きたドキュメントです。実務ではExcelやプロジェクト管理ツール上で運用するのが一般的で、定例会の議題として残存リスクの状況確認を行います。
Q. ISO 31000とPMBOKのリスクマネジメントは何が違いますか?
ISO 31000は組織全般のリスク管理に適用できる汎用的な国際規格です。PMBOKはプロジェクトに特化したガイドで、ISO 31000の考え方をプロジェクト管理向けに具体化したものと位置づけられます。試験ではPMBOKベースの出題が中心ですが、ISO 31000・JIS Q 31000という名称も選択肢に登場するため、両者が「リスクマネジメントの代表的な標準」であることは知っておけば十分です。
