2σ Guide

リスクアセスメントの実施方法
企業法務のための10段階手順

企業活動に伴う法的・コンプライアンス上の不確実性を、業務実態に基づいて特定し、分析し、評価し、対応と記録へつなげるための実務手順を整理します。

3段階 特定・分析・評価
10手順 準備から再評価まで
5段階 発生可能性と影響度
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

リスクアセスメントの実施方法 企業法務のための10段階手順

法務、コンプライアンス、内部統制、事業部門が同じ地図を見ながら動くための基本設計です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
リスクアセスメントの実施方法 企業法務のための10段階手順
法務、コンプライアンス、内部統制、事業部門が同じ地図を見ながら動くための基本設計です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • リスクアセスメントの実施方法 企業法務のための10段階手順
  • 法務、コンプライアンス、内部統制、事業部門が同じ地図を見ながら動くための基本設計です。

POINT 1

  • リスクアセスメントの実施方法の全体像をつかむ
  • 法務、コンプライアンス、内部統制、事業部門が同じ地図を見ながら動くための基本設計です。
  • リスクアセスメントは問題発見の手続であり、経営判断の合理性を説明する証拠です。
  • リスクを特定します
  • リスクを分析します

POINT 2

  • リスクアセスメントの実施方法を支える標準と公的資料
  • ISO、JIS、NIST、COSO、日本法上の内部統制、安全衛生、サイバー、人権、AIを実務に接続します。
  • ISO 31000・JIS Q 31000
  • IEC 31010
  • NIST SP 800-30

POINT 3

  • リスクアセスメントの実施方法で使う評価基準とスコアリング
  • 低頻度・高影響
  • 発生可能性が低くても、刑事事件、重大労災、許認可取消し、粉飾決算は優先度が高くなります。
  • 統制の実効性
  • 規程があっても、承認ログ、教育記録、例外管理、委託先確認がなければ残余リスクは下がりません。

POINT 4

  • リスクアセスメントの実施方法を10段階で進める
  • リスクを具体的に記述します
  • 準備、棚卸し、特定、分析、評価、対応、記録、再評価までを一つの手順にします。

POINT 5

  • リスクアセスメントの実施方法を主要分野別に使い分ける
  • 契約、統治、労務、個人情報、サイバー、知財、M&A、競争法、税務、人権、AIを横断します。
  • 分野別の評価では、同じ採点表を使っても、見るべき資料と重大リスクは変わります。
  • 契約なら条項と運用、個人情報ならデータの流れ、労務なら勤怠と現場実態、M&Aなら価格や補償への反映が重要です。
  • 読者は、自社の事業に関係する分野を選び、どの部署とどの資料を確認するかを読み取ります。

POINT 6

  • リスクアセスメントの実施方法を帳票とチェックリストに落とす
  • 1. 1. 実施計画を作ります:目的、対象範囲、責任者、参加部門、期間、成果物、承認者を決めます。
  • 2. 2. 資料を収集します:組織図、権限規程、契約、法令一覧、監査報告、通報記録、台帳、システム一覧を集めます。
  • 3. 3. ヒアリングを行います:現場で不安な業務、例外承認、苦情、未解決指摘、無相談取引、権限過大を確認します。
  • 4. 4. リスクを登録します:リスク名、原因、事象、影響、対象、関連法令・契約を登録簿に記録します。
  • 5. 5. 採点し、根拠を書きます:発生可能性、影響度、統制有効性、残余リスク、緊急度を根拠付きで評価します。
  • 6. 6. 対応策を決めます:抽象的な表現を避け、誰が、何を、いつまでに行うかを明確にします。
  • 7. 7. 承認・報告します:何を決めてほしいか、決めない場合に何が残るか、決めた後に誰が動くかを示します。
  • 8. 8. 改善状況を追跡します:未完了、遅延、証跡不足、例外承認を定期的に確認します。

POINT 7

  • リスクアセスメントの実施方法を事例で確認する
  • SaaS、個人情報漏えい、M&A労務、生成AI、中小企業の最小構成を扱います。
  • 新規SaaSサービス開始
  • 個人情報漏えい疑い
  • 買収対象会社の労務リスク

POINT 8

  • リスクアセスメントの実施方法に関するFAQ
  • 一般的な制度説明として整理しています。個別事情によって結論は変わります。
  • Q1. リスクアセスメントは法務部だけでできますか。
  • Q2. 小規模企業でもリスクアセスメントは必要ですか。
  • Q3. リスクスコアは必ず数値化する必要がありますか。

まとめ

  • リスクアセスメントの実施方法 企業法務のための10段階手順
  • リスクアセスメントの実施方法の全体像をつかむ:法務、コンプライアンス、内部統制、事業部門が同じ地図を見ながら動くための基本設計です。
  • リスクアセスメントの実施方法を支える標準と公的資料:ISO、JIS、NIST、COSO、日本法上の内部統制、安全衛生、サイバー、人権、AIを実務に接続します。
  • リスクアセスメントの実施方法で使う評価基準とスコアリング:発生可能性、影響度、法務特有の評価軸、残余リスクを分けて設計します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

リスクアセスメントの実施方法の全体像をつかむ

法務、コンプライアンス、内部統制、事業部門が同じ地図を見ながら動くための基本設計です。

リスクアセスメントの実施方法は、単に危険を探す作業ではありません。企業活動に伴う不確実性を、経営判断、法的判断、統制設計、説明責任に耐える形で可視化し、優先順位を付け、対策の要否と水準を決める方法です。

対象は法務部だけに閉じません。契約、労務、知財、個人情報、サイバーセキュリティ、会計、税務、M&A独占禁止法下請法、景品表示法、消費者法、輸出管理、AI、サプライチェーン、人権、環境、安全衛生など、企業活動の広い領域にまたがります。

次の重要ポイントは、ページ全体で押さえるべき結論を示しています。読者にとって重要なのは、リスクアセスメントを「危険探し」ではなく、経営判断に使える情報処理として読むことです。

リスクアセスメントは問題発見の手続であり、経営判断の合理性を説明する証拠です。

目的、対象範囲、判断基準、役割分担、情報源、記録方法を明確にし、残余リスクを承認できる状態まで整理することが中心になります。

次の3つの項目は、リスクアセスメントの中核を表しています。どの項目が欠けても、重大リスクの見落としや説明不足につながるため、順番に確認することが重要です。

Identify

リスクを特定します

原因、事象、影響、関係者を含めて、何が起こり得るかを記述します。抽象的なリスク名だけでは実務に使いにくくなります。

Analyze

リスクを分析します

発生可能性、影響度、既存統制、統制の設計と運用、残余リスク、不確実性を検討します。

Evaluate

リスクを評価します

組織の基準と照らし、優先順位、追加対応、経営層への報告、承認、記録の要否を決めます。

次の比較表は、企業法務で扱う主なリスクの種類と代表例を整理したものです。幅広い領域が対象になるため、自社の事業、契約、データ、組織に当てはめて漏れを確認することが重要です。

リスクの種類代表例読み取り方
法令違反個人情報保護法、独禁法、労働法、下請法景品表示法、金融商品取引法の違反です。違反の明確性、当局関心、行政処分の可能性を確認します。
契約契約不履行、解除、損害賠償、表明保証違反、秘密保持違反、知財帰属の不明確性です。条項だけでなく、実際の運用と証跡を確認します。
訴訟・紛争顧客、取引先、従業員、株主との紛争、差止請求、仮処分です。相手方、証拠、時期、波及範囲を見ます。
行政対応業務改善命令、報告徴求、立入検査、許認可取消し、課徴金、行政指導です。報告期限、当局対応体制、再発防止策の準備を見ます。
刑事贈収賄、横領、背任、インサイダー取引、不正競争、虚偽表示、安全衛生違反です。低頻度でも高優先度として扱います。
ガバナンス取締役会の監督不全、利益相反、内部統制不備、子会社管理不全です。情報収集、付議、承認、議事録の質を確認します。
情報・サイバー情報漏えい、ランサムウェア、委託先事故、不正アクセス、ログ不足です。法務、IT、広報、個人情報対応を一体で見ます。
人的リスクハラスメント、長時間労働、メンタルヘルス、労働災害、内部不正です。現場実態、相談窓口、勤怠、是正措置を確認します。
知財・技術特許侵害、商標侵害、営業秘密流出、共同開発成果の帰属不明確性です。権利の棚卸しと契約上の権利処理を見ます。
社会的責任人権侵害、環境汚染、児童労働・強制労働、グリーンウォッシュです。自社だけでなく、サプライチェーンと取引関係を見ます。
要点リスクアセスメントの成果物は、リスク登録簿、評価シート、統制一覧、改善計画、取締役会報告、監査証跡として残すと、後日の説明責任に使いやすくなります。
Section 01

リスクアセスメントの実施方法を支える標準と公的資料

ISO、JIS、NIST、COSO、日本法上の内部統制、安全衛生、サイバー、人権、AIを実務に接続します。

信頼できる標準や公的資料は、企業法務のリスクアセスメントを属人的な判断から切り離すための土台になります。各資料を丸写しするのではなく、目的、対象範囲、技法、記録、報告に置き換えて使うことが重要です。

次の一覧は、参照されやすい標準や公的資料を、企業法務での使いどころに置き換えたものです。読者は、自社の評価対象に近い資料から優先して確認すると、評価基準の抜けを見つけやすくなります。

ISO / JIS

ISO 31000・JIS Q 31000

リスクマネジメントを統治、戦略、計画、報告、文化に組み込む考え方を参照します。

Technique

IEC 31010

チェックリスト、インタビュー、シナリオ分析、ボウタイ分析など、目的に合う評価技法を選びます。

Security

NIST SP 800-30

サイバーと個人情報の評価で、脅威、脆弱性、影響、既存統制、残余リスクを構造化します。

ERM

COSO ERM

戦略、業績、組織価値とリスクを結びつけ、法務・コンプライアンスを経営課題として扱います。

Internal Control

会社法・金融商品取引法

内部統制、取締役会の監督、開示統制、財務報告と接続してリスクを評価します。

Safety

厚生労働省の安全衛生資料

危険性・有害性の特定、見積り、優先度、低減措置、記録の考え方を応用します。

Cyber

経済産業省・IPAの指針

サイバー攻撃とサプライチェーンを経営リスクとして捉え、契約や広報も含めて準備します。

Privacy

個人情報保護委員会の資料

漏えい等の報告、本人通知、委託先事故、契約上の通知を事前評価に組み込みます。

RBC

OECD・ビジネスと人権

自社、サプライチェーン、取引関係の負の影響を特定し、予防、軽減、説明につなげます。

AI

AI事業者ガイドライン

AIの開発、提供、利用で、個人情報、知財、差別、透明性、説明責任を横断評価します。

次の比較表は、標準や公的資料を業務に落とし込む際の対応関係を示しています。資料名ではなく、自社で何を決め、何を記録するかを読み取ることが大切です。

参照軸企業法務での使い方成果物
原則と方針リスクを経営判断に組み込み、目的と責任者を明確にします。リスク管理方針、委員会規程、職務分掌です。
評価技法契約には条項分析、個人情報にはデータマッピング、労務には勤怠分析などを使い分けます。評価手順書、質問票、シナリオ一覧です。
内部統制設計有効性と運用有効性を分けて確認し、証跡を残します。統制一覧、監査証跡、改善計画です。
危機対応漏えい、行政調査、不正、労災、サイバー攻撃の初動と報告を事前に整理します。連絡網、初動手順、取締役会報告です。
社会的要請人権、環境、AI、サプライチェーンの説明責任を契約と監査に反映します。取引先審査、行動規範、是正計画です。
注意標準や公的資料は、個別企業の結論を自動的に決めるものではありません。業種、規制、取引先、海外拠点、データの性質によって評価結果は変わるため、具体的には弁護士等の専門家へ相談する必要があります。
Section 02

リスクアセスメントの実施方法で使う評価基準とスコアリング

発生可能性、影響度、法務特有の評価軸、残余リスクを分けて設計します。

評価基準がないままリスクを採点すると、担当者の主観に左右されます。企業法務では、発生可能性と影響度に加え、違法性の明確性、当局関心、役員責任、契約波及、開示・報告義務、社会的非難、是正困難性、越境性を見ます。

次の表は、発生可能性を5段階で見る例です。点数は結論そのものではなく、過去事例、統制状況、外部環境、内部通報、監査指摘などをそろえて比較するために使います。

点数発生可能性目安
1極めて低い理論上はあり得ますが、現時点の統制と業務量から通常は想定しにくい状態です。
2低い過去発生は少ないものの、条件がそろえば起こり得る状態です。
3中程度類似事例があり、現行統制では一定の発生可能性があります。
4高い社内外で頻発しており、現行統制に弱点があります。
5極めて高い既に発生している、または短期的に発生する蓋然性が高い状態です。

次の表は、影響度を5段階で見る例です。企業法務では金額だけでなく、許認可、刑事事件、人身被害、開示、信用毀損、役員関与などを合わせて読むことが重要です。

点数影響度目安
1軽微部門内で是正でき、外部影響は限定的です。
2顧客・取引先への限定的影響や軽微な契約違反が想定されます。
3損害賠償、行政対応、複数部門対応、一定の信用低下が生じ得ます。
4重要取引停止、行政処分、重大な訴訟、報道、役員関与が必要になり得ます。
5重大事業停止、許認可取消し、刑事事件、上場維持、重大人身被害、企業価値毀損に関わります。

次の比較表は、法務特有の評価軸を整理しています。単純な点数だけでは拾いにくい影響を見える化し、経営層へ上げるべきリスクを見落とさないために使います。

評価軸確認する内容優先度が上がる例
違法性の明確性明確な違反か、グレーゾーンか、解釈が分かれるかを見ます。明確な法令違反、行政処分例がある領域です。
刑事・行政リスク刑事責任、課徴金、業務停止、許認可取消しの可能性を見ます。贈収賄、カルテル、安全衛生違反、粉飾です。
役員責任善管注意義務、監督義務、開示責任との関係を見ます。取締役会がリスク情報を把握していない状態です。
契約波及表明保証違反、期限の利益喪失、解除権発生を見ます。M&A、重要顧客契約、資金調達契約です。
開示・報告義務適時開示、法定報告、本人通知、監督官庁報告を見ます。個人情報漏えい、重大事故、不正会計です。
社会的非難報道、SNS、取引先離反、採用ブランドへの影響を見ます。人権、環境、ハラスメント、消費者被害です。
越境性海外法、制裁、データ越境移転、国際仲裁を見ます。海外子会社、代理店、クラウド、グローバル調達です。

次の縦の比較グラフは、リスクスコアの目安を低・中・高の3段階に分けたものです。高さは優先度の強さを示し、15以上でも点数だけで結論を出さず、法的コメントと証拠を合わせて読みます。

1-6
低リスク
8-12
中リスク
15+
高リスク

次の注意点一覧は、点数化で見落としやすい論点を示しています。読者は、点数が低く見えても、刑事事件、重大漏えい、許認可取消し、人権侵害、粉飾などが含まれていないかを確認します。

低頻度・高影響

発生可能性が低くても、刑事事件、重大労災、許認可取消し、粉飾決算は優先度が高くなります。

統制の実効性

規程があっても、承認ログ、教育記録、例外管理、委託先確認がなければ残余リスクは下がりません。

違法状態の受容

受容できるのは、適法な統制を尽くした後に残る残余リスクです。明確な違法状態を放置する意味ではありません。

不確実性の記録

資料不足や海外法未確認などがある場合は、不確実性と追加調査の方法を記録します。

Section 03

リスクアセスメントの実施方法を10段階で進める

準備、棚卸し、特定、分析、評価、対応、記録、再評価までを一つの手順にします。

リスクアセスメントは、思いついた順にリスクを書き出すだけでは品質が安定しません。目的、範囲、基準、情報源、責任者、承認者を決めたうえで、業務実態に沿って進めます。

次の時系列は、企業法務で実施しやすい10段階の流れを示しています。上から順に進めるほど、抽象的な不安が、記録と改善策を伴う管理対象へ変わることを読み取れます。

Step 01

ガバナンスと責任を定めます

オーナー、事務局、評価対象、頻度、承認者、記録方法、外部専門家の関与を決めます。

Step 02

目的・対象範囲・前提条件を定義します

対象組織、業務、法領域、資産、取引、地域、期間、評価時点を記録します。

Step 03

リスク基準と評価尺度を設定します

発生可能性、影響度、統制有効性、検知可能性、残余リスク、エスカレーション基準を定めます。

Step 04

業務・法令・契約・データ・資産を棚卸しします

業務プロセス、関連法令、契約、社内規程、データ、資産、関係者、過去事例、外部環境を一覧化します。

Step 05

リスクを特定します

原因により事象が発生し、影響が生じる可能性がある、という形で具体的に記述します。

Step 06

リスクを分析します

固有リスク、既存統制、設計有効性、運用有効性、残余リスク、不確実性を検討します。

Step 07

リスクを評価し、優先順位を付けます

重大性、緊急性、法令違反の明確性、波及範囲、是正可能性、経営戦略との関係を見ます。

Step 08

リスク対応策を決定します

回避、低減、移転、共有、受容の類型を使い、誰がいつまでに何をするかを決めます。

Step 09

記録し、報告し、承認を得ます

リスク登録簿、評価シート、改善計画、議事録、専門家意見、承認記録を残します。

Step 10

モニタリングし、再評価します

法改正、事故、M&A、システム変更、監査指摘、生成AI導入などをきっかけに見直します。

次の判断の流れは、発見したリスクを部門内で処理するか、経営層へ上げるかを整理するものです。分岐では、刑事・行政・人身・漏えい・役員関与・海外法の有無を優先して読みます。

重大リスクのエスカレーション判断

リスクを具体的に記述します

原因、事象、影響、関係者、関連法令・契約を一文で整理します。

刑事・行政・人身・大規模漏えいに関係しますか

該当する場合は、点数にかかわらず優先的に扱います。

はい
経営層または取締役会へ報告します

初動、証拠保全、専門家関与、開示・報告義務を確認します。

いいえ
基準に沿って優先順位を付けます

残余リスク、期限、責任者、承認者を登録簿に残します。

次の表は、三線モデルとRACIを合わせた役割分担です。読者は、実行する人、説明責任を負う人、相談する人、報告を受ける人が混ざっていないかを確認します。

領域R ― 実行A ― 説明責任C/I ― 相談・報告
年次法務リスク評価法務・コンプライアンスCLO・CCO外部弁護士、事業部門、経営会議、監査役等です。
個人情報リスク評価プライバシー担当・情報システムCPOまたは責任役員外部弁護士、セキュリティ専門家、取締役会です。
労務リスク評価人事・労務法務人事担当役員社労士、弁護士、産業医、経営会議です。
M&Aリスク評価M&A担当・法務経営企画担当役員弁護士、会計士、税理士、弁理士、取締役会です。
サイバーリスク評価CISO・情報システム経営責任者法務、セキュリティ専門家、監査役等です。
AI利用リスク評価事業部門・AI担当AIガバナンス責任者法務、知財、情報セキュリティ、倫理委員会です。
重要「管理を強化します」という抽象的な対応では足りません。改善策は、誰が、何を、いつまでに、どの証跡で完了確認するかまで具体化します。
Section 04

リスクアセスメントの実施方法を主要分野別に使い分ける

契約、統治、労務、個人情報、サイバー、知財、M&A、競争法、税務、人権、AIを横断します。

分野別の評価では、同じ採点表を使っても、見るべき資料と重大リスクは変わります。契約なら条項と運用、個人情報ならデータの流れ、労務なら勤怠と現場実態、M&Aなら価格や補償への反映が重要です。

次の一覧は、主要分野ごとに評価の焦点を整理したものです。読者は、自社の事業に関係する分野を選び、どの部署とどの資料を確認するかを読み取ります。

契約法務

契約書と実際の業務が一致しているか、成果物、検収、支払、解除、損害賠償、秘密保持、個人情報、知財、再委託を確認します。

契約台帳例外承認

商事法務・ガバナンス

取締役会付議、権限規程、利益相反、関連当事者取引、子会社管理、内部通報、監査役等との共有を確認します。

議事録役員責任

労務・人事

労働時間、未払残業代、管理監督者、固定残業代、ハラスメント、休職・復職、派遣・業務委託の実態を確認します。

勤怠労災

個人情報・プライバシー

個人情報台帳、利用目的、第三者提供、共同利用、委託、越境移転、アクセス権限、ログ、漏えい時の手順を確認します。

データ本人通知

サイバーセキュリティ

重要システム、多要素認証、脆弱性管理、バックアップ、ログ監視、委託先、クラウド、インシデント対応を確認します。

ログ初動

知的財産・営業秘密

特許、商標、意匠、著作権、営業秘密、職務発明、共同研究、OSS、AI生成物、退職者対策を確認します。

権利帰属秘密管理
M

M&A・組織再編

会社法手続、重要契約、許認可、労務、知財、個人情報、サイバー、税務、会計、偶発債務を価格と契約条件に反映します。

法務DDPMI

独禁法・下請法・競争法

競合接触、価格情報、業界団体、優越的地位、返品・減額・買いたたき、販売店への拘束を確認します。

競合接触課徴金

税務・会計・不正

収益認識、引当金、減損、移転価格、交際費、不正会計、架空売上、循環取引、経費不正を確認します。

証跡不正調査

サプライチェーン・人権・環境

サプライヤー行動規範、児童労働、強制労働、環境汚染、監査、是正計画、取引停止基準を確認します。

調達人権DD
AI

AI・生成AI・データ利活用

用途、入力データ、出力利用、個人情報、秘密情報、著作権、バイアス、利用規約、ログ、教育を確認します。

AI利用人手確認

次の比較表は、分野ごとの重大リスクと初期確認資料をまとめています。リスク名だけでなく、確認資料がそろっているかを読むことで、評価の空白を見つけやすくなります。

分野重大リスクの例初期確認資料
契約契約未締結、知財帰属不明、個人情報委託条項不足、損害賠償上限なしです。契約台帳、ひな形、個別契約、注文書、例外承認です。
労務実労働時間との乖離、未払残業代、ハラスメント調査不足、長時間労働です。勤怠、PCログ、賃金台帳、就業規則、相談記録です。
個人情報目的外利用、委託先事故、退職者アカウント残存、越境移転整理不足です。個人情報台帳、契約、アクセス権限、ログ、通知手順です。
サイバーバックアップ同時暗号化、ログ不足、クラウド設定ミス、通知期限徒過です。システム一覧、監視ログ、復旧手順、委託先契約です。
M&Aチェンジ・オブ・コントロール、許認可不承継、未払残業代、簿外債務です。DDリスト、重要契約、許認可、賃金資料、補償条項です。
AI秘密情報入力、虚偽情報利用、差別的出力、利用規約違反、監査不足です。利用ツール一覧、入力禁止情報、API契約、ログ、教育記録です。
Section 05

リスクアセスメントの実施方法を帳票とチェックリストに落とす

手順書、登録簿、評価シート、取締役会報告、成熟度モデル、失敗例を実務用に整理します。

実務で使うには、手順を帳票に落とすことが欠かせません。計画書、資料収集、ヒアリング、リスク登録、採点、対応策、承認、改善追跡を一連の作業として管理します。

次の判断の流れは、企業法務部門が日常業務に応用しやすい8手順です。順番に実施すると、抽象的な課題が、責任者、期限、承認、証跡を持つ改善計画へ変わることを読み取れます。

実務で使える8手順

1. 実施計画を作ります

目的、対象範囲、責任者、参加部門、期間、成果物、承認者を決めます。

2. 資料を収集します

組織図、権限規程、契約、法令一覧、監査報告、通報記録、台帳、システム一覧を集めます。

3. ヒアリングを行います

現場で不安な業務、例外承認、苦情、未解決指摘、無相談取引、権限過大を確認します。

4. リスクを登録します

リスク名、原因、事象、影響、対象、関連法令・契約を登録簿に記録します。

5. 採点し、根拠を書きます

発生可能性、影響度、統制有効性、残余リスク、緊急度を根拠付きで評価します。

6. 対応策を決めます

抽象的な表現を避け、誰が、何を、いつまでに行うかを明確にします。

7. 承認・報告します

何を決めてほしいか、決めない場合に何が残るか、決めた後に誰が動くかを示します。

8. 改善状況を追跡します

未完了、遅延、証跡不足、例外承認を定期的に確認します。

次の表は、リスク登録簿のサンプルです。各行では、リスクの内容だけでなく、固有リスク、既存統制、統制評価、残余リスク、対応策、責任者、期限まで読むことが重要です。

IDリスク名リスク記述残余リスク対応策責任者期限
L-001契約未締結取引開始前に契約締結が完了せず、責任範囲・知財・秘密保持が不明確なまま業務が進む可能性があります。発注前契約締結をシステム上必須にし、例外承認をCLO決裁にします。法務部長2026-09-30
P-002個人情報漏えい委託先管理不足により顧客データが漏えいし、報告・本人通知・損害賠償が生じる可能性があります。重要委託先監査、契約改定、アクセス権限確認を行います。CPO2026-10-31
HR-003未払残業代勤怠記録と実労働時間が乖離し、未払残業代請求・労基署対応が生じる可能性があります。PCログとの突合、管理職研修、長時間者面談を行います。人事部長2026-08-31
IP-004生成AI入力従業員が秘密情報を生成AIに入力し、営業秘密流出や契約違反が生じる可能性があります。AI利用規程、利用可能ツール指定、DLP、教育を整備します。AI責任者2026-07-31
M-005M&A表明保証対象会社に未把握の労務・税務・個人情報リスクがあり、買収後に損害が生じる可能性があります。追加DD、価格調整、補償、クロージング条件を検討します。M&A担当役員契約締結前

次の表は、計画書、評価シート、取締役会報告の使い分けです。どの帳票に何を書くかを分けることで、現場確認と経営判断の情報が混ざりにくくなります。

帳票主な記載項目使う場面
リスクアセスメント計画書目的、対象範囲、対象期間、対象法領域、実施体制、評価基準、成果物です。評価開始前に、関係者の認識をそろえる場面で使います。
リスク評価シートリスクID、リスク名、原因・事象・影響、関連法令、固有リスク、既存統制、残余リスク、改善策です。個別リスクの根拠と対応を記録する場面で使います。
取締役会報告報告目的、評価対象、重要リスク、残余リスク、対応方針、必要資源、未解決事項、承認事項です。経営判断や追加予算の承認を求める場面で使います。

次の横棒グラフは、成熟度モデルを5段階で示しています。右に長いほど、事故後対応から経営判断と監査に接続した運用へ進んでいることを読み取れます。

初期
1/5
事故後対応が中心で、属人的かつ記録不足になりやすい状態です。
基礎
2/5
チェックリストと規程はありますが、現場実態との乖離が課題です。
標準
3/5
年次評価とリスク登録簿があり、経営報告や改善追跡を強化します。
統合
4/5
経営判断、内部統制、監査と接続し、外部環境変化に追随します。
高度
5/5
データ分析、シナリオ、早期警戒が機能し、意思決定支援へ整理されています。

次の一覧は、よくある失敗と改善策をまとめています。読者は、点数化や規程整備で安心せず、現場実態、構造原因、第三者リスク、記録の有無を確認します。

チェックリストだけで終わります

ヒアリング、資料確認、サンプルテスト、システムログ確認を組み合わせます。

点数だけを見ます

スコアに加え、法的コメント、エスカレーション要否、専門家確認要否を記載します。

現場だけを責めます

個人原因だけでなく、業務設計、権限、システム、教育、監督の構造原因を見ます。

法務が抱え込みます

部門横断チームを作り、RACIで責任と相談先を定義します。

記録を残しません

登録簿、議事録、専門家意見、承認記録、改善計画を保存します。

第三者リスクを軽視します

委託先、代理店、販売店、クラウド事業者、共同研究先、M&A対象会社も評価対象にします。

Section 06

リスクアセスメントの実施方法を事例で確認する

SaaS、個人情報漏えい、M&A労務、生成AI、中小企業の最小構成を扱います。

事例で考えると、リスクアセスメントが単なる点検ではなく、契約、データ、初動、価格調整、承認、教育を組み合わせる作業だと分かります。次の一覧では、状況、リスク、対応を同じ型で比較します。

SaaS

新規SaaSサービス開始

顧客データ、個人情報、営業秘密、SLA、損害賠償、海外クラウド、開発委託、生成AI機能を評価します。利用規約、DPA、情報セキュリティ別紙、データの流れ、インシデント手順を整えます。

Privacy

個人情報漏えい疑い

漏えいの有無、対象データ、件数、要配慮情報、原因、通知期限、証拠保全、報道対応を確認します。対応本部、ログ保全、専門家連携、報告・通知判断を行います。

M&A

買収対象会社の労務リスク

裁量労働制、管理監督者、固定残業代、未払残業代、簿外債務を確認します。勤怠、賃金台帳、就業規則、労使協定、サンプル調査、表明保証、補償、価格調整を検討します。

AI

生成AIの社内導入

秘密情報や個人情報の入力、著作権侵害、虚偽情報、差別的出力、契約上の利用制限、ログ不足を評価します。利用可能ツール、入力禁止情報、人手確認、追加承認、教育、監査を整えます。

次の表は、中小企業が最初に確認しやすい5項目と、優先すべき領域を整理したものです。規模が小さい企業ほど、重大リスクを早期に絞り、外部専門家を効率的に使うことが重要です。

最初に行うこと確認する理由優先領域
重要契約の一覧を作ります契約未締結、不利契約、解除期限、損害賠償、知財帰属を把握するためです。契約未締結・不利契約です。
個人情報と重要データの保管場所を把握します漏えい、アクセス権限、委託先、バックアップ、通知手順を確認するためです。個人情報漏えい、ランサムウェアです。
労務管理の危険箇所を確認します未払残業代、ハラスメント、長時間労働、休職対応を早く見つけるためです。未払残業代・ハラスメントです。
主要取引先・委託先の依存度を把握します供給停止、価格変更、委託先事故、契約解除の影響を確認するためです。重要取引先への依存です。
事故発生時の連絡先と初動手順を決めます初動遅れ、証拠散逸、通知期限徒過、広報混乱を防ぐためです。許認可、業法、知財、税務です。

次の表は、外部専門家の使い分けを示しています。読者は、自社で判断する領域と専門家に確認する領域を分け、前提資料をそろえて相談することを読み取れます。

専門職関与しやすいリスク相談時にそろえる資料
弁護士契約、労務紛争、個人情報、訴訟、業法、M&A、不祥事です。契約、時系列、関係資料、論点メモです。
社労士就業規則、労働時間、社会保険、労務管理です。勤怠、賃金台帳、就業規則、36協定です。
税理士・公認会計士税務、会計、不正調査、内部統制、IPOです。会計資料、税務申告、監査指摘、取引資料です。
弁理士特許、商標、意匠、ライセンス、共同開発です。権利一覧、契約、製品資料、開発経緯です。
セキュリティ専門家脆弱性診断、インシデント対応、バックアップ、認証です。システム構成、ログ、権限、復旧手順です。
FAQ

リスクアセスメントの実施方法に関するFAQ

一般的な制度説明として整理しています。個別事情によって結論は変わります。

Q1. リスクアセスメントは法務部だけでできますか。

一般的には、法務部だけで完結させることは難しいとされています。法務部は法令、契約、紛争の専門性を提供しますが、業務実態、システム、労務、会計、現場運用、委託先管理は各部門の情報が必要です。具体的な体制は、事業内容や組織規模に応じて弁護士等の専門家へ相談する必要があります。

Q2. 小規模企業でもリスクアセスメントは必要ですか。

一般的には、企業規模が小さくても、契約、個人情報、労務、税務、サイバー、許認可のリスクは存在するとされています。ただし、実施範囲や深さは人的体制や事業内容で変わります。まず重大リスクを絞り込み、具体的には弁護士等の専門家へ相談する必要があります。

Q3. リスクスコアは必ず数値化する必要がありますか。

一般的には、数値化は比較に役立つ一方で、法的リスクでは定性的判断も不可欠とされています。刑事事件、重大漏えい、許認可取消し、人身被害などは、点数が低く見えても優先度が高くなる可能性があります。具体的な評価基準は、業種や規制に応じて専門家と確認する必要があります。

Q4. リスクを受容するとは、違法でも進めるという意味ですか。

一般的には、そのような意味ではないとされています。受容できるのは、適法な統制や合理的対応を行った後に残る残余リスクです。明確な違法状態や重大な法令違反を放置することは統制不備となる可能性があり、具体的には弁護士等の専門家へ相談する必要があります。

Q5. 外部弁護士の意見があれば十分ですか。

一般的には、外部弁護士の意見は重要ですが、それだけで十分とは限らないとされています。前提事実が誤っていれば結論も変わり、法的に可能でも、統制、契約、運用、広報、当局対応、倫理面の検討が必要となる可能性があります。意見の前提、射程、未検討事項を確認する必要があります。

Q6. どの頻度で実施するとよいですか。

一般的には、全社的評価は年1回から始める企業が多いとされています。ただし、重要領域では四半期、半期、プロジェクト開始時、法改正時、事故発生時に再評価することがあります。サイバー、個人情報、AI、海外規制など変化が速い領域では、常時モニタリングが必要となる可能性があります。

Q7. 監査とリスクアセスメントは同じですか。

一般的には、同じものではないとされています。リスクアセスメントはリスクを特定・分析・評価する作業であり、監査は統制の設計・運用を独立的に検証する作業です。ただし、両者は密接に連携するため、監査指摘を次回評価に反映することが重要です。

Q8. 重大リスクを発見したら、すぐ公表する必要がありますか。

一般的には、一律に判断できるものではないとされています。法定開示、適時開示、監督官庁報告、本人通知、契約上の通知義務、証拠保全、事実確認、二次被害防止によって結論が変わる可能性があります。重大案件では、早期に弁護士、監査人、広報、関係部門と連携する必要があります。

Reference

この記事の参考情報源

公的・中立的な資料名を中心に整理しています。

リスクマネジメント・内部統制

  • International Organization for Standardization, ISO 31000 Risk management Guidelines
  • 日本規格協会, JIS Q 31000 リスクマネジメント指針
  • International Electrotechnical Commission / ISO, IEC 31010 Risk assessment techniques
  • Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management Integrating with Strategy and Performance
  • 金融庁, 財務報告に係る内部統制の評価及び監査の基準並びに実施基準

情報セキュリティ・個人情報・AI

  • National Institute of Standards and Technology, SP 800-30 Guide for Conducting Risk Assessments
  • 経済産業省, サイバーセキュリティ経営ガイドライン
  • IPA, サイバーセキュリティ経営ガイドライン実践のためのプラクティス集
  • IPA, 中小企業の情報セキュリティ対策ガイドライン
  • 個人情報保護委員会, 漏えい等の対応とお役立ち資料
  • 経済産業省・総務省, AI事業者ガイドライン

会社法・安全衛生・人権

  • 会社法
  • 金融商品取引法
  • 厚生労働省, 職場のあんぜんサイト リスクアセスメント等関連資料・教材一覧
  • 厚生労働省, 職場のあんぜんサイト リスクアセスメント実施支援
  • OECD, Due Diligence Guidance for Responsible Business Conduct
  • 経済産業省, ビジネスと人権に関する資料