対象試験と出題頻度
JIS Q 31000:2019(リスクマネジメント-指針)は、基本情報技術者・応用情報技術者で出題されるテーマです。
規格そのものを直接問う出題頻度は高くありませんが、リスクアセスメントの構成プロセスやリスク対応の分類など、規格の内容を土台にした問題は繰り返し登場しています。
詳細をクリックして確認
基本情報技術者
応用情報技術者
★☆☆☆☆
ランクD(発展)参考程度
用語の定義
情報処理試験を勉強していると、「JIS Q 31000って何の規格?JIS Q 27001と何が違うの?」と混乱しがちです。
JIS Q 31000:2019(リスクマネジメント-指針)とは、一言で言うと
「業種や規模を問わず、あらゆる組織がリスクマネジメントを行うための共通の考え方と手順を示した規格」
のことです。
イメージとしては、「どんな会社でも使える『危険への備え方マニュアル』の国際標準版」です。
情報セキュリティに限らず、自然災害、法規制の変更、財務リスクなど、あらゆる種類のリスクに対応する汎用的なガイドラインという位置づけです。
解説
JIS Q 31000は、国際規格ISO 31000:2018の日本語版として2019年に制定された
「組織がリスクとどう向き合うべきか」を示す指針(ガイドライン)です。
3つの構成要素
この規格は「原則」「枠組み」「プロセス」の3本柱で成り立っています。
原則:リスクマネジメントを行ううえで順守すべき基本的な考え方です。「組織に合わせて作られる」「動的で、変化に対応する」「利用可能な最善の情報に基づく」など8つの原則が定められています。
枠組み(フレームワーク):経営層のリーダーシップのもと、リスクマネジメントを組織全体に統合するための仕組みです。「設計→実施→評価→改善」のサイクルで継続的に運用します。
プロセス:実際にリスクを扱う手順です。このプロセスの中核が「リスクアセスメント」であり、「リスク特定→リスク分析→リスク評価」の3段階で構成されます。
▶ 混同しやすい規格との違い(クリックで展開)
| 規格名 | 対象範囲 | 認証制度 |
|---|---|---|
| JIS Q 31000 (ISO 31000) |
あらゆるリスク全般(汎用的なガイドライン) | なし(指針のみ) |
| JIS Q 27001 (ISO/IEC 27001) |
情報セキュリティマネジメントシステム(ISMS)の要求事項 | あり(ISMS認証) |
| JIS Q 27000 (ISO/IEC 27000) |
情報セキュリティマネジメントに関する用語の定義 | なし(用語規格) |
最大の区別ポイントは「対象範囲」と「認証の有無」です。
JIS Q 31000は情報セキュリティに限定せず、組織が直面するすべてのリスクに対する考え方を示す汎用規格であり、認証制度もありません。
では、この規格が試験でどのように出題されるか見ていきましょう。
💡 JIS Q 31000の核心を3行で
・業種を問わず使える汎用的なリスクマネジメントの指針(認証制度なし)
・「原則・枠組み・プロセス」の3本柱で構成される
・リスクアセスメントは「リスク特定→リスク分析→リスク評価」の3段階
試験ではこう出る!
JIS Q 31000は、規格名を直接問う出題よりも、規格の内容を前提にした問題として登場するパターンが中心です。
📊 過去問での出題実績(クリックして表示)
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| FE H29秋 午前 問43 |
リスクアセスメントを構成するプロセスの組合せを選ぶ問題。 | ・「リスク特定・リスク分析・リスク評価」が正解 ・「リスク受容」「リスク対応」を混ぜたひっかけ選択肢 |
| AP R4秋 午前 問41 |
FE H29秋 問43と同一の問題(流用)。JIS Q 31000:2019の規格名が明記された。 | ・FEとAPで同じ問題が出回る典型例 ・規格名が明記されても問われるポイントは同じ |
| AP R6春 午前 問40 |
JIS Q 31000:2019のリスク特定で考慮すべき事項を選ぶ問題。 | ・「資産及び組織の資源の性質及び価値」がリスク特定の考慮事項 ・「結果の大きさ」「起こりやすさ」はリスク分析の領域 |
📝 IPA試験での出題パターン
パターン1:「リスクアセスメントの構成プロセスを選べ」
最も多い出題形式。「リスク特定・リスク分析・リスク評価」の3つを正しく選べるかが問われる。ひっかけ選択肢に「リスク対応」「リスク受容」が紛れ込む。
パターン2:「リスク特定/リスク分析/リスク評価の区別」
AP R6春のように、特定・分析・評価それぞれの段階で考慮する事項を区別させる形式。
「何を洗い出すのか(特定)」「何を算定するのか(分析)」「何と比較するのか(評価)」を押さえておけば対応できる。
試験ではここまででOKです。
規格の8原則や枠組みの詳細構造まで問われることはないので、深追いは不要です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. JIS Q 31000:2019(リスクマネジメント-指針)におけるリスクアセスメントを構成するプロセスの組合せとして、最も適切なものはどれでしょうか?
- A. リスク特定、リスク分析、リスク評価
- B. リスク特定、リスク評価、リスク受容
- C. リスク分析、リスク評価、リスク対応
正解と解説を見る
正解:A
解説:
JIS Q 31000:2019では、リスクアセスメントを「リスク特定、リスク分析及びリスク評価を網羅するプロセス全体」と定義しています。この3段階の組合せを正確に覚えておくことが得点の鍵です。
選択肢Bの「リスク受容」は、リスク対応の選択肢の一つ(リスクを意図的に保有する判断)であり、リスクアセスメントの構成プロセスには含まれません。選択肢Cの「リスク対応」は、リスクアセスメントの結果を受けて実施する後続の活動であり、アセスメント自体の構成要素ではありません。また、選択肢B・Cはいずれも「リスク特定」または「リスク分析」が欠けている点でも不正解です。
よくある質問(FAQ)
Q. JIS Q 31000:2010と2019の違いは何ですか?
2010年版は「リスクマネジメント-原則及び指針」というタイトルで、11の原則を掲げていました。2019年版(ISO 31000:2018対応)では原則が8つに整理し直され、タイトルも「リスクマネジメント-指針」に変わっています。IPA試験では旧版の問題も流通していますが、問われるポイント(リスクアセスメントの構成プロセスなど)は共通です。
Q. リスク対応にはどのような選択肢がありますか?
JIS Q 31000では、リスク対応の選択肢として「リスク回避(リスクを生じさせる活動をやめる)」「リスク低減(発生確率や影響度を下げる)」「リスク移転(保険加入や外部委託でリスクを共有する)」「リスク保有(リスクをそのまま受け入れる)」の4つが代表的です。試験では「地震保険への加入はどの対応に該当するか」といった具体例で問われることがあります。
