2026年4月12日

リスクマネジメントの4象限とは｜回避・移転・低減・受容で考える対策フレームワーク

リスクマネジメントの4象限とは、企業が直面しうるリスクを「発生確率」と「影響度」の2軸で4つに分類し、それぞれに最適な対策(回避・移転・低減・受容)を当てはめる意思決定フレームワークです。

リスクマネジメントというと「とにかく備える」というイメージを持たれがちですが、すべてのリスクに同じ対策を取ると、コストも時間も足りなくなります。そこで「どのリスクに、どの対策を取るのか」を体系的に判断するのが4象限フレームワークの役割です。

本記事では、企業研修を年間多数提供している弊社の知見をもとに、リスクマネジメントの4象限フレームワークの基本と、企業で起こりうる具体的なリスクへの当てはめ方を解説します。

リスクマネジメントの4象限とは

結論: リスクマネジメントの4象限は、リスクを「発生確率の高低」と「影響度の高低」で分類し、4つのタイプ別に「回避」「移転」「低減」「受容」という対策を当てはめるフレームワークです。

リスクマネジメントには大きく2つの観点があります。

1. 事前対応: リスクを想定して、起きないように備える
2. 事後対応: 発生したリスクに対して、被害を最小化する

この2つの観点をさらに細分化したのが、以下の4象限フレームワークです。

リスクマネジメント 4象限フレームワーク

縦軸に影響度(リスクが顕在化したときの被害の大きさ)、横軸に発生確率(リスクが起きる頻度)を取り、それぞれの組み合わせで4つの対応戦略を選びます。

1. 回避: 発生確率が高く、影響度も高い → 事前にリスクの根を取り除く
2. 移転: 発生確率が低く、影響度が高い → 第三者にリスクを移す(保険・契約等)
3. 低減: 発生確率が高く、影響度が低い → 受容可能なレベルまで影響を抑える
4. 受容: 発生確率が低く、影響度も低い → 影響度を見極めた上で受け入れる

4象限の詳細解説

結論: 4象限の各対策は「コスト」と「効果」のバランスで使い分けます。すべてのリスクに「回避」を選ぶとコストが膨大になり、すべてに「受容」を選ぶと事業継続が危うくなります。

1. 回避(Avoid) — 発生確率:高 × 影響度:高

最もダメージが大きく頻度も高いリスクは、そもそもリスク要因をなくすのが基本戦略です。

例:

・違法な取引先との契約を結ばない(コンプライアンス違反の回避)
・サイバー攻撃を受けやすい古いOSの社内利用を禁止する
・倒産リスクの高い企業との大型取引を見送る

回避はもっとも確実な戦略ですが、ビジネス機会も同時に失う点に注意が必要です。

2. 移転(Transfer) — 発生確率:低 × 影響度:高

めったに起きないが、起きたら致命的というリスクは、影響を第三者に移す戦略を取ります。

例:

・火災保険・地震保険・サイバー保険の加入
・労災保険・生命保険による従業員リスクの分散
・業務委託契約で責任分界点を明確にする
・雇用調整助成金など公的制度による政府への移転

「保険料」というコストを払うことで、致命的な損害を回避します。

3. 低減(Mitigate) — 発生確率:高 × 影響度:低

頻繁に起きるが、1件あたりの影響は小さいリスクは、影響を許容範囲まで抑える努力をします。

例:

・社内の手洗い・換気・健康管理の徹底(感染症対策)
・パスワードの定期変更・多要素認証の導入
・ヒヤリハット報告制度による事故予防
・OJT・教育研修によるヒューマンエラーの削減

低減策は地道で目立ちにくいですが、組織文化として根付くと中長期で大きな効果を生みます。

4. 受容(Accept) — 発生確率:低 × 影響度:低

確率も影響度も低いリスクは、あえて対策を取らずに受け入れるのも合理的な選択です。

例:

・社内備品の軽微な紛失・破損
・社員が個人所有のマグカップを割る程度のトラブル
・極稀な天候不順による業務遅延

受容は「無策」ではなく「意思を持って対策しないと決める」ことが重要です。何が受容範囲かを事前に定義しておくと、現場が無駄に消耗しません。

自社のリスクを4象限に分類する3ステップ

結論: 4象限への分類は「リスト化 → 評価 → マッピング」の3ステップで進めます。年1回の定期見直しが理想です。

Step1: リスクのリストアップ

部門ごとに「うちで起こりうる困りごと」を洗い出します。最低でも20〜30個は出るはずです。観点として以下のカテゴリを意識します。

・財務リスク(資金繰り、為替、取引先倒産)
・人材リスク(離職、ハラスメント、メンタル不調)
・情報リスク(情報漏洩、サイバー攻撃、システム障害)
・法務リスク(訴訟、コンプライアンス違反、法改正対応)
・災害リスク(地震、火災、感染症、サプライチェーン断絶)
・市場リスク(競合参入、需要変動、評判悪化)

Step2: 発生確率と影響度の評価

各リスクに「発生確率(高/中/低)」と「影響度(高/中/低)」を付けます。影響度は金額換算するのが理想で、「もし起きたら売上の何%、もしくは何円の損失か」をざっくり見積もります。

Step3: 4象限へのマッピング

評価結果を縦横軸の図にプロットして、各リスクがどの象限に入るかを確認します。象限ごとに対応戦略(回避・移転・低減・受容)を決め、責任者と期限を設定して実行に移します。

企業で起こりうるリスクの分類例

結論: 実際の企業リスクを4象限に当てはめると、対応戦略の優先順位が一目でわかります。

具体例として代表的な企業リスクを4象限で整理してみます。

地震・自然災害(発生確率:低 × 影響度:高)
→ 移転: 地震保険・BCP策定・データセンター分散

サイバー攻撃・ランサムウェア(発生確率:中 × 影響度:高)
→ 回避+低減: 古いシステム廃止・多要素認証・サイバー保険併用

サプライチェーン断絶(発生確率:中 × 影響度:高)
→ 低減+移転: 仕入先の複線化・在庫確保・物流契約の柔軟化

主要人材の流出(発生確率:中 × 影響度:中)
→ 低減: 報酬体系の見直し・後継者育成・知識の文書化

パンデミック(発生確率:低 × 影響度:高)
→ 移転+低減: 在宅勤務体制・雇用調整助成金活用・複数オフィス

軽微な備品破損(発生確率:高 × 影響度:低)
→ 受容: 一定額までは経費処理で吸収

2020年の新型コロナウイルス禍を振り返ると、多くの企業が「発生確率:低 × 影響度:高」のパンデミックを完全に想定外として受容し、結果的に事業継続に大きな打撃を受けました。一方で、事前にBCPを整備し在宅勤務体制を持っていた企業は、移転と低減の組み合わせで影響を最小化できました。

このように、4象限フレームワークは「想定外」を減らし「想定内に近づける」ためのツールでもあります。

リスクマネジメント研修での4象限フレームワーク活用方法

結論: 4象限フレームワークは座学だけでなく、グループワーク形式で「自社のリスクを書き出して分類する」体験をセットにすると定着度が高まります。

研修プログラム例(120分)

1. リスクマネジメントの基本講義(15分)
2. 4象限フレームワークの解説(15分)
3. グループで自部署のリスクを20個書き出す(20分)
4. 各リスクを発生確率/影響度で評価(20分)
5. 4象限図にマッピング(20分)
6. 対応戦略を決めて発表(30分)

このワークを通じて、参加者は「リスクは漠然と備えるものではなく、選別して対応するもの」という思考が身につきます。

弊社では、リスクマネジメント研修の入り口としてコンセンサスゲーム「船長の決断」を提供しています。難破した船の乗員救助という極限状況の中で、何を優先し何を諦めるかを議論することで、リスクの優先順位付けを体験的に学べます。

リスクマネジメント研修におけるリスクの種類別解説や、マネージャーが伝えるべき要素については、それぞれ以下の記事もご参照ください。

リスクマネジメント研修で伝えたいビジネスにおける6種類のリスク

リスクマネジメント研修でマネージャーに伝えるべき6つの要素(QCDSME)

リスクマネジメントの4象限についてよくある質問

Q1. 4象限フレームワークは中小企業でも使えますか?

むしろ中小企業こそ使うべきフレームワークです。大企業のように潤沢な予算で「すべてに備える」ことが難しい中小企業では、限られたリソースをどのリスクに集中させるかの判断が経営の生命線になります。最初は20〜30個のリスクから始めれば十分です。

Q2. リスクマネジメントとクライシスマネジメントの違いは?

リスクマネジメントは「リスクが起きる前の備え」を対象にし、4象限で事前に対策を決めます。一方クライシスマネジメントは「リスクが顕在化した後の危機対応」を対象にし、初動対応・情報発信・復旧計画などを扱います。両者は時系列でつながっており、4象限フレームワークの「回避・移転・低減」を整えておくほど、クライシス時の被害も小さくなります。

Q3. 4象限の評価が主観的になりがちです。客観性を高めるには?

確率は「過去5年間の発生回数」や「業界統計」をベースにし、影響度は「想定損失額(円)」で揃えると客観性が上がります。完璧に客観化するのは難しいですが、「複数人で評価して中央値を取る」「年1回見直す」ことで継続的に精度を上げられます。