サイバーセキュリティ

Mar 27, 2026

最終更新: Mar 27, 2026

【テンプレ付き】中小企業のIT-BCP策定ガイド ── システム停止時に業務を止めない計画の作り方

IT-BCPの意味、RTO・RPO、5ステップ、優先度ランク、3-2-1バックアップ、復旧手順、訓練、すぐ使えるテンプレート、中小企業事例まで。ひとり情シスでも明日から動ける実践ガイド。

バックアップやインシデント対応とセットで押さえたいのが、IT-BCP（ITシステムに焦点を当てた事業継続計画）です。バックアップ全般は「中小企業のデータバックアップ～3-2-1ルール」、初動対応は「インシデント対応マニュアル」、クラウドでの災害復旧の考え方は「中小企業のクラウドDR入門」もあわせてご参照ください。国の認定制度として計画書を提出し、補助金加点や税制優遇まで含めて進めたい場合は「【申請テンプレ付き】事業継続力強化計画（ジギョケイ）完全ガイド」が対になる記事です。

想定読者

中小企業の経営者・IT担当者で、BCPやIT-BCPをまだ整備していない方
「完璧な計画書」は作れないが、最低限の手順とテンプレートが欲しい方
ランサムウェアやシステム停止に備えたいひとり情シス

この記事で得られること

IT-BCPとは何か、なぜ中小企業に必要なのか
RTO・RPOを社長でも理解できる言葉での解説
明日から使えるIT-BCP策定テンプレート
データ復旧・訓練の具体的な手順
中小企業の実際のBCP策定事例

はじめに：「うちには関係ない」では済まされない時代へ

「うちは小さい会社だから、サイバー攻撃のターゲットにはならない」「システムが止まっても何とかなる」。そう思っている経営者の方に、まず一つの数字をお伝えします。

警察庁が公表した2025年のランサムウェア（※）被害件数は226件で、そのうち中小企業は143件と全体の6割を占めています。

※ランサムウェア：コンピューターのデータを人質に取り、身代金を要求する悪意のあるソフトウェア。感染するとファイルが暗号化され、業務が完全に停止してしまいます。

さらに深刻なのは復旧コストです。調査・復旧に1,000万円以上の費用を要した組織は50%に上り、1か月以上の復旧期間を要した組織は49%に達しています。

感染を未然に防ぐ多層防御の具体策は、「ランサムウェア被害の6割は中小企業 ── 今すぐできる5つの防御策」で整理しています。

日々の忙しさの中でBCP対策を後回しにしてしまう気持ちはよく理解できます。しかし、これだけの数字を見ると、もはや「いつか対応する」では企業存続に関わる問題になっています。本記事では、IT担当者が少ない中小企業でも現実的に取り組めるIT-BCP策定の手順とテンプレートをまとめました。

BCP・IT-BCPとは？中小企業に必要な理由
中小企業のBCP策定率の現状と政府の支援策
RTO・RPOをわかりやすく解説
IT-BCP策定の5ステップ
システム・情報資産の優先度ランク分け
データバックアップ・復旧手順
訓練の実施手順
IT-BCPテンプレート（すぐ使える）
中小企業のIT-BCP策定事例
明日からできる7つのアクション
よくある質問（FAQ）

1. BCP・IT-BCPとは？中小企業に必要な理由

BCPとは「会社が倒れないための事前準備」

BCP（Business Continuity Plan：事業継続計画） とは、地震や火災、感染症、サイバー攻撃などの緊急事態が起きたときでも、「できるだけ早く、できるだけ元に近い状態で事業を再開するための計画書」です。

料理に例えるなら、レシピ本のようなもの。普段は使わなくても、いざ調理するときに「何から手をつければいいか」が書いてある本があると、パニックにならずに済みます。

IT-BCPとは「システムに特化したBCP」

IT-BCP（IT Business Continuity Plan） は、BCPの中でも特にITシステムの継続・復旧に焦点を当てた計画です。

flowchart TD
    A["🏢 BCP<br>事業継続計画<br>（会社全体）"]
    B["🏭 物理的BCP<br>拠点・設備・人員の継続"]
    C["💻 IT-BCP<br>ITシステムの継続・復旧"]
    D["📊 業務システム<br>受注・在庫・会計"]
    E["🔒 セキュリティ<br>サイバー攻撃対策"]
    F["📡 通信インフラ<br>ネットワーク・電話"]

    A --> B
    A --> C
    C --> D
    C --> E
    C --> F

    style A fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style B fill:#2d5986,color:#ffffff,stroke:#4a9eca
    style C fill:#c0392b,color:#ffffff,stroke:#e74c3c
    style D fill:#7f1d1d,color:#ffffff,stroke:#e74c3c
    style E fill:#7f1d1d,color:#ffffff,stroke:#e74c3c
    style F fill:#7f1d1d,color:#ffffff,stroke:#e74c3c

なぜ今、IT-BCPが必要なのか？

総務省の「令和6年版情報通信白書」によると、企業のクラウドサービス利用率は74.6%と過去最高を更新し、業務の中核をITが支える時代になっています。

つまり、「ITが止まる＝業務が止まる」という構造が多くの企業で成り立っているのです。

flowchart TD
    R1["🌪️ 自然災害<br>地震・台風・洪水"]
    R2["🦠 ランサムウェア<br>サイバー攻撃"]
    R3["⚡ 停電・機器故障<br>ハードウェア障害"]
    R4["👤 人的ミス<br>誤操作・誤削除"]

    STOP["⛔ ITシステム停止"]

    I1["📉 売上・受注停止"]
    I2["😰 顧客・取引先への迷惑"]
    I3["💸 復旧コスト発生<br>平均1,000万円以上"]
    I4["🚫 企業信用の失墜"]

    R1 --> STOP
    R2 --> STOP
    R3 --> STOP
    R4 --> STOP

    STOP --> I1
    STOP --> I2
    STOP --> I3
    STOP --> I4

    style STOP fill:#c0392b,color:#ffffff,stroke:#e74c3c
    style R1 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style R2 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style R3 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style R4 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style I1 fill:#7f1d1d,color:#ffffff,stroke:#e74c3c
    style I2 fill:#7f1d1d,color:#ffffff,stroke:#e74c3c
    style I3 fill:#7f1d1d,color:#ffffff,stroke:#e74c3c
    style I4 fill:#7f1d1d,color:#ffffff,stroke:#e74c3c

2. 中小企業のBCP策定率の現状と政府の支援策

策定率はまだ低い──でも差をつけるチャンスでもある

中小企業庁が発表したデータによると、2021年における中小企業のBCP策定率はわずか15.0%でした。「現在策定中」と答えた企業を含めても、22.0%に留まっています。

「中小企業」におけるBCP策定率は上昇傾向にあるものの、「大企業」のBCP策定率と比較すると、その水準には依然として差があることが分かります。

策定できていない主な理由は「ノウハウ不足」と「人材不足」です。確かに、少人数で日々の業務をこなしながらBCPを作るのは容易ではありません。だからこそ本記事では、できるだけシンプルに、現実的な手順で策定できるよう解説します。

政府・公的機関の主要ガイドライン・支援策

機関	資料・支援	特徴
中小企業庁	BCP策定運用指針（入門〜上級）	無料テンプレート有り
IPA	中小企業の情報セキュリティ対策ガイドライン	IT・サイバー特化
経済産業省	事業継続力強化計画認定制度	認定で税制優遇・補助金加点
東京商工会議所	オールハザード型BCP策定ガイド（2026年1月公開）	業種横断対応

東京商工会議所は2026年1月に「中小企業向けオールハザード型BCP策定ガイド」を発行し、最低限のBCPを整備する「入門版」、簡易的に策定できる「基本版」、本格的に策定する「上級版」の3つのモデルを用意しています。

事業継続力強化計画の認定を受けると：

補助金審査での加点
税制優遇措置（設備投資減税）
日本政策金融公庫からの低利融資

認定申請の手順・記載例は「【申請テンプレ付き】事業継続力強化計画（ジギョケイ）完全ガイド」で詳しく解説しています。

BCPは「守り」でありながら、「攻め」の経営戦略にもなり得るのです。

3. RTO・RPOをわかりやすく解説

IT-BCPを策定する上で最も重要な概念が「RTO」と「RPO」です。横文字で難しく聞こえますが、社長が直感的に判断できる言葉で解説します。

RTO（Recovery Time Objective）＝「何時間以内に復旧するか」

RTO（目標復旧時間） とは、システムが止まってから「何時間・何日以内に業務を再開するか」という目標値です。

身近な例：

飲食店のPOSレジが壊れた → 「手書きで対応できるから24時間以内に直せばOK」
ECサイトが落ちた → 「1時間停止するだけで数十万円の損失が出るので1時間以内に復旧が必要」

RTOの目安の考え方：

flowchart TD
    Q1{"そのシステムが止まると<br>何時間以内に<br>売上に直接影響が出る？"}
    
    A1["1時間以内<br>に影響"]
    A2["1日以内<br>に影響"]
    A3["数日後<br>に影響"]

    R1["🔴 RTO目標：4時間以内<br>冗長化・自動切替が必要"]
    R2["🟡 RTO目標：24時間以内<br>クラウドバックアップで対応可能"]
    R3["🟢 RTO目標：72時間以内<br>手動復旧でも対応可能"]

    Q1 --> A1
    Q1 --> A2
    Q1 --> A3
    A1 --> R1
    A2 --> R2
    A3 --> R3

    style Q1 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style A1 fill:#7f1d1d,color:#ffffff,stroke:#e74c3c
    style A2 fill:#7a5c00,color:#ffffff,stroke:#d4a017
    style A3 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71
    style R1 fill:#7f1d1d,color:#ffffff,stroke:#e74c3c
    style R2 fill:#7a5c00,color:#ffffff,stroke:#d4a017
    style R3 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71

RPO（Recovery Point Objective）＝「どこまでデータを戻せればOKか」

RPO（目標復旧時点） とは、障害発生時に「どの時点のデータまで戻せればよいか」という目標値です。

身近な例：

想像してください。今朝9時から仕事をしていて、午後3時にシステムが完全に壊れました。

バックアップが「毎日夜12時」なら → 今日1日分（6時間）のデータが失われる
バックアップが「1時間ごと」なら → 最大1時間分のデータが失われる
バックアップが「リアルタイム」なら → ほぼデータ消失なし

RPOは「どれだけのデータ消失を許容できるか」で決まります。

flowchart TD
    T0["9:00<br>業務開始<br>バックアップ取得"]
    T1["10:00<br>バックアップ取得"]
    T2["11:00<br>バックアップ取得"]
    T3["12:00<br>バックアップ取得"]
    T4["13:00<br>障害発生💥"]
    
    RPO1["RPO = 1時間<br>12:00のデータまで戻せる<br>（13:00〜12:00の1時間分が失われる）"]

    T0 --> T1
    T1 --> T2
    T2 --> T3
    T3 --> T4
    T4 --> RPO1

    style T4 fill:#c0392b,color:#ffffff,stroke:#e74c3c
    style RPO1 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style T0 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71
    style T1 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71
    style T2 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71
    style T3 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71

RTO・RPOの設定例（業種別）

業種・システム	推奨RTO	推奨RPO	理由
ECサイト（注文受付）	4時間以内	15分以内	停止即売上損失
基幹システム（受発注）	24時間以内	1時間以内	翌日納品に影響
会計システム	72時間以内	24時間以内	月次処理に影響
社内メール	24時間以内	4時間以内	顧客対応に影響
人事・給与システム	1週間以内	24時間以内	月末処理に間に合えばOK
社内共有ファイル	48時間以内	24時間以内	代替手段で対応可能

4. IT-BCP策定の5ステップ

flowchart TD
    S1["📋 STEP 1<br>リスク特定<br>どんな脅威があるか洗い出す"]
    S2["🏆 STEP 2<br>優先度設定<br>システムの重要度をランク分け"]
    S3["🎯 STEP 3<br>RTO・RPO設定<br>復旧目標時間・時点を決める"]
    S4["📝 STEP 4<br>復旧手順書作成<br>誰でも動ける手順書を作る"]
    S5["🏋️ STEP 5<br>訓練・見直し<br>年1回は訓練して更新する"]

    S1 --> S2
    S2 --> S3
    S3 --> S4
    S4 --> S5
    S5 -->|"定期見直し"| S1

    style S1 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style S2 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style S3 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style S4 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style S5 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca

STEP 1：リスクを特定する

自社のITシステムを脅かすリスクを洗い出します。

主なリスクカテゴリ：

カテゴリ	具体的なリスク
自然災害	地震、台風、洪水、停電
サイバー攻撃	ランサムウェア、不正アクセス、フィッシング詐欺
機器障害	サーバー故障、HDD破損、ネットワーク障害
人的ミス	誤操作によるデータ削除、設定ミス
サプライチェーン	クラウドサービス障害、ベンダー倒産

どの業務・システムが止まると致命傷になるかを議論する前に、業務の流れを一度見える化しておくと、優先度の合意が取りやすくなります。「DXの第一歩は「業務フローの見える化」── 中小企業が生成AIを活用して業務を棚卸しする方法」で紹介しているMarkdown・Mermaidによる棚卸しは、IT-BCPの「システム棚卸し」の下準備にも向いています。

STEP 2：優先度を設定する（詳細は次章）

全システムに同等の対策をとるのはコスト的に現実的ではありません。重要度に応じたランク分けが効果的です（次章で詳しく解説）。

STEP 3：RTO・RPOを設定する

前章の解説をもとに、各システムの目標値を設定します。

STEP 4：復旧手順書を作る

「誰が、何を、どの順番でやるか」を文書化します（第6章でテンプレート付きで解説）。

STEP 5：訓練と定期見直しを実施する

策定して終わりではありません。年に1回の訓練と定期的な見直しが不可欠です（第7章で解説）。

5. システム・情報資産の優先度ランク分け

なぜランク分けが必要か

IT担当者が1〜2名しかいない中小企業では、すべてのシステムに手厚いバックアップ体制を設けることはコスト的にも人的にも難しいのが実情です。現実的な解決策は、守るべきシステムに優先順位をつけ、重要度に応じてバックアップ水準に差をつけることです。

システム重要度マトリクス

flowchart TD
    subgraph S["重要度ランク分けの考え方"]
        Q1["そのシステムが止まると<br>売上・顧客対応に<br>直接影響するか？"]
        Q2["復旧に時間がかかると<br>法令違反・契約違反<br>になるか？"]
        Q3["代替手段（紙・電話）で<br>しばらく対応<br>できるか？"]
    end

    RankA["🔴 ランクA（最重要）<br>・ECサイト・受注システム<br>・基幹システム<br>・顧客データベース<br>→ 毎日バックアップ＋クラウド二重化"]
    RankB["🟡 ランクB（重要）<br>・会計システム<br>・社内メール<br>・在庫管理システム<br>→ 毎日バックアップ＋週次確認"]
    RankC["🟢 ランクC（通常）<br>・社内共有ファイル<br>・人事システム<br>・社内チャット<br>→ 週次バックアップで十分"]

    S --> RankA
    S --> RankB
    S --> RankC

    style RankA fill:#7f1d1d,color:#ffffff,stroke:#e74c3c
    style RankB fill:#7a5c00,color:#ffffff,stroke:#d4a017
    style RankC fill:#1a4d2e,color:#ffffff,stroke:#2ecc71
    style S fill:#1a3a5c,color:#ffffff,stroke:#4a9eca

システム棚卸しシート（記入例）

システム名	用途	ランク	RTO	RPO	バックアップ方法	担当者
ECサイト	受注・決済	A	4時間	15分	AWS S3 自動バックアップ	田中
基幹システム	受発注・在庫管理	A	24時間	1時間	クラウド＋ローカル外付けHDD	山田
会計ソフト（freee等）	仕訳・請求書作成	B	72時間	24時間	サービス側でバックアップ	山田
社内メール（Gmail等）	顧客・社内連絡	B	24時間	4時間	Googleサービス側で保管	田中
社内共有フォルダ	書類・資料管理	C	48時間	24時間	OneDriveに同期	全員

6. データバックアップ・復旧手順

バックアップの基本「3-2-1ルール」

flowchart TD
    RULE["📐 3-2-1バックアップルール"]
    R3["3<br>データのコピーを3つ持つ<br>（元データ＋バックアップ×2）"]
    R2["2<br>異なる2種類の媒体に保存<br>（クラウド＋外付けHDD等）"]
    R1["1<br>少なくとも1つは<br>オフサイト（外部）に保管<br>（クラウドまたは別拠点）"]

    RULE --> R3
    RULE --> R2
    RULE --> R1

    style RULE fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style R3 fill:#c0392b,color:#ffffff,stroke:#e74c3c
    style R2 fill:#7a5c00,color:#ffffff,stroke:#d4a017
    style R1 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71

特にランサムウェア対策として重要なのが「オフラインバックアップ」です。

ランサムウェア攻撃では、オンラインのバックアップも暗号化され、利用できなくなる可能性があります。そのため、常時接続していない外付けHDDや、オフラインストレージへの定期的なバックアップが有効です。

こうした「最悪の事態」に備える多層防御の考え方は、「ランサムウェア被害の6割は中小企業 ── 今すぐできる5つの防御策」とも通じます。

バックアップ方法の比較

方法	コスト	手間	ランサム対策	おすすめ対象
クラウドバックアップ（AWS/Azure）	中〜高	少ない（自動）	△（設定次第）	ランクAシステム
SaaSサービス内バックアップ	低（込み）	ほぼゼロ	△	会計・メール等
NAS＋外付けHDD定期保存	中	週1回の手動作業	◎（切り離し時）	ランクA・B
クラウドストレージ（OneDrive等）	低	少ない（自動同期）	△	ランクC

おすすめ構成（中小企業向けシンプル版）：

flowchart TD
    DATA["📁 重要データ・システム"]
    
    B1["☁️ クラウドバックアップ<br>（AWS S3 / Azure Blob等）<br>毎日自動実行"]
    B2["🖥️ NAS（社内サーバー）<br>毎日自動バックアップ"]
    B3["💾 外付けHDD<br>週1回手動でバックアップ<br>取得後はケーブル切断"]
    
    OFFSITE["🏠 別拠点または金庫保管<br>（月次でHDD持ち出し）"]

    DATA --> B1
    DATA --> B2
    B2 --> B3
    B3 -->|"月次"| OFFSITE

    style DATA fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style B1 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71
    style B2 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71
    style B3 fill:#7a5c00,color:#ffffff,stroke:#d4a017
    style OFFSITE fill:#7f1d1d,color:#ffffff,stroke:#e74c3c

データリストア（復旧）の手順書テンプレート

以下は、ランサムウェア感染等でシステムが停止した際の復旧手順の例です。

【緊急時データ復旧手順書】

対象システム： 〇〇基幹システム
作成日： 〇〇年〇〇月〇〇日
担当者（第一）： 〇〇　担当者（第二）： 〇〇（属人化防止）

■ フェーズ1：初動対応（0〜2時間）

異常を発見したらすぐに、該当PCをネットワークから切断（LANケーブルを抜く / Wi-Fiをオフ）
社長・IT担当者に連絡（連絡先：〇〇）
バックアップの安全確認（感染していないか確認）
取引先・顧客へ「システム障害のお知らせ」メールを送付（雛形：別紙1参照）
警察・IPAへの報告を検討（ランサムウェア疑いの場合）

初動の連絡・判断のフレームは「インシデント対応マニュアル」のテンプレートと揃えると運用しやすいです。

■ フェーズ2：復旧作業（2〜24時間）

クラウドバックアップから最新データを確認
復旧用サーバー（またはクラウド環境）を準備
バックアップデータのリストア実行
動作確認・データ整合性チェック
業務再開の判断と社内通知

■ フェーズ3：事後対応（復旧後）

感染経路の特定と原因排除
セキュリティパッチの適用
再発防止策の検討
BCP・手順書の更新

ユースケース①：クラウド会計ソフト（freee/MFクラウド）の場合

クラウド系SaaSを使っている場合、バックアップはサービス側が担います。ただし注意点があります。

SaaS側のデータはサービス提供者が管理しているため、誤削除時は「一定期間内であれば復元可能」なことが多い
必ず「復旧できる期間」と「操作方法」を事前に確認しておく
大量データや過去期分のエクスポート（CSV/PDFダウンロード）を定期的に実施してローカルにも保管する

ユースケース②：オンプレサーバー（社内設置サーバー）の場合

バックアップ先の分散が最重要（社内だけに保管すると、火災・水害で共倒れになる）
クラウドストレージ（AWS S3・Azure Blob等）への自動バックアップを設定
テープ媒体や外付けHDDを週次で交替保管（1本は社外または金庫に）

7. 訓練の実施手順

なぜ訓練が必要か

BCP・IT-BCPは「作って終わり」ではありません。手順書を作成しても、実際に動かしてみると「担当者しか操作方法を知らない」「手順が古くてシステムが変わっていた」という事態が起きます。年に1回の訓練で、属人化と手順の陳腐化を防ぎましょう。

flowchart TD
    P1["📅 訓練計画<br>（年1回、時期を決める）"]
    P2["📋 シナリオ設定<br>何を想定した訓練か決める"]
    P3["👥 参加者確認<br>担当者＋バックアップ担当者"]
    P4["🏋️ 訓練実施<br>机上演習 or 実機演習"]
    P5["📝 振り返り<br>問題点・改善点をまとめる"]
    P6["🔄 手順書更新<br>訓練結果を反映させる"]

    P1 --> P2
    P2 --> P3
    P3 --> P4
    P4 --> P5
    P5 --> P6
    P6 -->|"翌年に向けて"| P1

    style P1 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style P2 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style P3 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style P4 fill:#c0392b,color:#ffffff,stroke:#e74c3c
    style P5 fill:#7a5c00,color:#ffffff,stroke:#d4a017
    style P6 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71

訓練の種類と難易度

訓練種別	難易度	内容	所要時間	まずはここから
机上演習（テーブルトップ）	★☆☆	紙やホワイトボードで手順を確認	2〜3時間	✅ 最初はこれ
バックアップ復元テスト	★★☆	実際にバックアップからデータを復元してみる	半日	✅ 年1回は必須
実機切替訓練	★★★	実際にシステムを切り替えて業務継続を確認	1日	慣れてきたら

机上演習の実施手順（2〜3時間版）

シナリオを配布（例：「午前9時にサーバーがランサムウェアに感染した」）
参加者が手順書を見ながら対応策を検討（誰が何をいつやるか）
ファシリテーターが追加情報を出す（「担当者が出張中だった場合は？」）
問題点・疑問点を付箋に書き出す
改善策を決定して手順書を更新

**IPA（情報処理推進機構）は、ランサムウェア感染を想定した机上演習教材を無料公開しています。**この教材は一般企業（中小企業）と医療機関の2種類があり、インシデント対応の一連の流れを学ぶことができます。ぜひ活用してください。

バックアップ復元テストのチェックリスト

バックアップデータが正しく取得されているか確認
バックアップデータからシステムを復元できるか実際に試す
復元後のデータ整合性を確認（ファイルが開けるか、データが正しいか）
復旧にかかった実際の時間を記録（RTOと比較する）
担当者以外（バックアップ担当者）でも対応できるか確認
手順書の記載内容と実際の操作に差異がないか確認

8. IT-BCPテンプレート（すぐ使える）

以下のテンプレートをそのまま使って、自社のIT-BCPを作成してください。

【IT-BCP テンプレート v1.0】

会社名：　　　　　　　　　　作成日：　　年　　月　　日
作成者：　　　　　　　　　　次回見直し予定日：　　年　　月　　日

■ 第1章：基本方針

本IT-BCPの目的：ITシステムの障害・サイバー攻撃・自然災害が発生した際に、業務停止期間を最小化し、事業を継続するための行動指針を定める。
適用範囲：〔会社名〕が保有・利用する全てのITシステム・データ
責任者：〔IT-BCP責任者氏名・役職〕

■ 第2章：リスク一覧

リスク	発生可能性	影響度	優先度
ランサムウェア感染	中	大	高
地震によるサーバー損壊	低	大	高
クラウドサービス障害	低	中	中
操作ミスによるデータ削除	高	中	高
停電・電源障害	中	中	中

■ 第3章：システム重要度一覧とRTO・RPO

システム名	ランク	RTO	RPO	代替手段	バックアップ方法	担当者
（例）受注システム	A	4時間	1時間	電話・FAX受注に切替	クラウド自動バックアップ	山田太郎
（例）会計システム	B	72時間	24時間	手書き伝票	サービス内バックアップ＋週次CSV	鈴木花子
（例）社内メール	B	24時間	4時間	個人携帯・SMS	Googleバックアップ機能	全員
～追記～

■ 第4章：緊急連絡体制

役割	担当者	連絡先（社用）	連絡先（私用）
IT-BCP責任者
IT担当者（第一）
IT担当者（第二・バックアップ）
社長・経営者
外部サポート（ベンダー等）

外部連絡先：

システム保守ベンダー：〇〇株式会社　TEL：　　　
IPA サイバー相談窓口：0120-00-7571（24時間）
警察（サイバー犯罪）：都道府県警察サイバー犯罪相談窓口

■ 第5章：緊急時対応フロー（ランサムウェア感染の場合）

【発生】ランサムウェア感染の疑い（ファイルが開けない、脅迫メッセージ等）
  ↓
① 即座に該当PCのネットワーク接続を切断（LANケーブルを抜く）
  ↓
② IT担当者・社長へ報告（5分以内）
  ↓
③ 被害範囲の確認（どのPCが感染しているか）
  ↓
④ バックアップの健全性確認
  ↓
⑤ 取引先・顧客への一時通知（「システム障害のため対応が遅延する場合があります」）
  ↓
⑥ 専門家（ベンダー・IPA等）への相談
  ↓
⑦ 感染端末の隔離・調査
  ↓
⑧ バックアップからのデータ復旧
  ↓
⑨ セキュリティ強化後に業務再開
  ↓
⑩ 事後報告・手順書更新

■ 第6章：バックアップ仕様

システム名	バックアップ先①	バックアップ先②	頻度	保管期間	確認担当者

■ 第7章：訓練計画

訓練種別	実施予定日	参加者	想定シナリオ	担当
机上演習	〇〇年〇〇月	全社員	ランサムウェア感染	IT担当者
バックアップ復元テスト	〇〇年〇〇月	IT担当者＋バックアップ担当者	データ復旧確認	IT担当者

■ 第8章：見直し履歴

版数	改訂日	改訂内容	担当者
1.0		初版作成

9. 中小企業のIT-BCP策定事例

事例①：山形県真室川町製造業（従業員86名）── 2025年中小企業白書掲載事例

この企業は2008年のBCPセミナー参加をきっかけに取り組みを開始。2018年の水害を機に本格的な計画を策定。従業員の安否確認システムや非常用自家発電機の導入、通信型ドライブレコーダーの納品車への設置などハード面の強化を進めました。

その結果、顧客からの信頼獲得につながり取引継続や新規顧客開拓に寄与し、最小限の人員体制で運営できるよう製造工程を見直したことでコスト削減と生産効率向上も実現しました。

ポイント： BCPは「守り」だけでなく、コスト削減・人材確保といった「攻め」の効果も生む。

事例②：IPA公認小売業（実店舗5店＋ECショップ運営）── IT-BCP策定事例

海外からの商品買い付けを電子メールで行っており、ペーパーレス化の結果クラウド上のデータが失われた場合の被害が深刻と判断。ランサムウェア感染が疑われる挙動の検知の仕組みを導入し、従業員向けの教育を業務内容に応じて分けて実施しました。

ポイント： 海外取引があると、メール経由での侵入リスクが高まる。業務内容ごとのリスク教育が有効。

事例③：株式会社ネクストビート ── 東京都中小企業振興公社 BCP策定事例

東京都中小企業振興公社のBCP策定支援ポータルに掲載されている事例の一つ。地震を想定したBCP策定に取り組んでいます。IT系企業ならではのクラウドファーストな復旧戦略が参考になります。

ポイント： IT・テック企業でもBCPは必要。クラウド前提の設計が中小企業でも現実的な選択肢。

事例から学ぶ共通点

flowchart TD
    L1["🏆 成功事例の共通点"]
    
    C1["👨‍💼 経営者が主導<br>BCPは経営者判断なしには動かない"]
    C2["📊 優先順位を明確化<br>全部守ろうとしない"]
    C3["👥 属人化を排除<br>担当者不在でも動ける体制"]
    C4["🔄 継続的に見直す<br>作って終わりにしない"]
    C5["☁️ クラウドを活用<br>コストと手間を抑えた体制構築"]

    L1 --> C1
    L1 --> C2
    L1 --> C3
    L1 --> C4
    L1 --> C5

    style L1 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style C1 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71
    style C2 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71
    style C3 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71
    style C4 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71
    style C5 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71

10. 明日からできる7つのアクション

「結局、何をすればいいの？」という疑問に答えます。まず「完璧なIT-BCP」を目指すのではなく、以下の7ステップを順番に取り組んでください。

flowchart TD
    A1["✅ アクション1<br>今日：自社のシステム一覧を書き出す<br>Excelで十分。システム名・用途・担当者だけでOK"]
    A2["✅ アクション2<br>今週：ランクA（最重要）システムを決める<br>止まったら即、売上に影響するシステムは？"]
    A3["✅ アクション3<br>今月：バックアップの現状確認<br>今のバックアップは正常に取れているか？復元できるか？"]
    A4["✅ アクション4<br>今月：RTOとRPOを設定する<br>社長と話し合って「何時間以内に復旧すべきか」を決める"]
    A5["✅ アクション5<br>3ヶ月以内：緊急連絡体制を整備<br>誰が、何を、どこに連絡するかを一枚の紙にまとめる"]
    A6["✅ アクション6<br>6ヶ月以内：復旧手順書を作成<br>本記事のテンプレートを使って第一版を完成させる"]
    A7["✅ アクション7<br>1年以内：机上演習を実施<br>IPAの無料教材を使って2〜3時間の訓練を実施する"]

    A1 --> A2
    A2 --> A3
    A3 --> A4
    A4 --> A5
    A5 --> A6
    A6 --> A7

    style A1 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71
    style A2 fill:#1a4d2e,color:#ffffff,stroke:#2ecc71
    style A3 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style A4 fill:#1a3a5c,color:#ffffff,stroke:#4a9eca
    style A5 fill:#7a5c00,color:#ffffff,stroke:#d4a017
    style A6 fill:#7a5c00,color:#ffffff,stroke:#d4a017
    style A7 fill:#c0392b,color:#ffffff,stroke:#e74c3c

IT担当者が1〜2名しかいない企業でも、アクション1〜3は今日から始められます。 完璧を目指すより、「まず動く」ことが最重要です。

外部のバックアップサービスやクラウドサービス（AWS・Azure・Google Cloud等）を前提としたIT-BCPでもまったく問題ありません。むしろ、自社でサーバーを管理するより運用負荷が格段に低く、中小企業に向いています。クラウドサービス提供者が冗長化・バックアップを担ってくれるため、IT担当者の負担を大幅に軽減できます。

BCP・訓練・投資を年間のスケジュールに落とし込みたい場合は、「【テンプレ付き】中小企業のIT担当者が作る「年間IT計画書」」のリスク・予算の書き方も参考にしてください。

よくある質問（FAQ）

Q1. IT-BCPとBCPは別々に作る必要がありますか？

A. 必ずしも別々に作る必要はありません。既存のBCPにIT専用の章を追加する形でも構いません。ただし、ランサムウェア等のサイバーリスクは自然災害と異なる対応が必要なため、IT特有のシナリオを必ず含めることが重要です。

Q2. 小さな会社でIT担当者がいない場合はどうすればよいですか？

A. IT担当者がいない場合でも、社長またはIT担当を副業的に担っている社員でIT-BCPを作成できます。「誰がシステムのパスワードを知っているか」「バックアップはどこに保存されているか」をまとめるだけでも、初版IT-BCPとして機能します。また、中小企業庁の「事業継続力強化計画」認定制度では、支援機関が無償でサポートしてくれる場合もあります。申請の流れを押さえたい場合は「【申請テンプレ付き】事業継続力強化計画（ジギョケイ）完全ガイド」も参照してください。

Q3. クラウドサービス（SaaS）を使っていれば、バックアップは不要ですか？

A. 不要ではありません。クラウドSaaSはサービス提供者側でバックアップを取っていますが、誤操作によるデータ削除は数日〜数週間以内でないと復元できないケースがあります。また、サービス障害時には自社でのデータ確保ができません。定期的なデータエクスポート（CSV等）を手動または自動で取得しておくことをお勧めします。

Q4. ランサムウェアに感染した場合、身代金を払うべきですか？

A. 払うべきではありません。身代金を支払っても復号化キーが提供される保証はなく、「支払う企業」として再度攻撃対象になるリスクが高まります。感染が疑われる場合は、まずIPAや警察のサイバー犯罪相談窓口に連絡し、専門家の指示を仰いでください。

Q5. IT-BCPはどのくらいの頻度で見直すべきですか？

A. 年1回の定期見直しを基本とし、以下のタイミングでも見直してください。システムの追加・変更時／担当者の異動・退職時／訓練後の改善反映時／実際にインシデントが発生した後。

Q6. 事業継続力強化計画の認定は、IT-BCPとどう違いますか？

A. 事業継続力強化計画は中小企業庁の認定制度で、認定を受けると補助金加点・税制優遇などのメリットがあります。IT-BCPはその中のITシステムに特化した計画です。両方を組み合わせることで、より堅牢な事業継続体制を構築できます。ジギョケイの申請手順・記載例は「【申請テンプレ付き】事業継続力強化計画（ジギョケイ）完全ガイド」で詳しく解説しています。

Q7. BCP策定を外部に委託することはできますか？

A. できます。中小企業診断士・ITコーディネーターなどの専門家への委託や、商工会議所・中小企業支援機関の支援事業を活用する方法があります。コストを抑えたい場合は、本記事のテンプレートをベースに自社で作成し、専門家にレビューしてもらう方法もお勧めです。

【まとめ】IT-BCPで会社の「もしも」に備える

本記事の内容をまとめると、こんな感じになります。

IT-BCPは「大企業だけのもの」ではなく、中小企業こそ優先度をつけて整備したい領域であること
RTO・RPOと優先度ランクを決め、3-2-1バックアップと復旧手順書・訓練で「動く計画」にすること
テンプレートと明日からの7アクションで、完璧を待たずに一歩ずつ進められること

IT-BCPは「大企業のもの」ではありません。むしろ、人材・資金が限られる中小企業こそ、一度のシステム停止が企業存続に直結するため、早期の策定が重要です。

サイバー攻撃を想定したBCPを策定している組織は、復旧費用1,000万円以上かつ1か月以上を要した組織の中でわずか11.8%にとどまりました。一方、1週間未満で復旧した組織の23.1%が同種のBCPを策定していました。

この数字が示すのは明白です。IT-BCPがあると、復旧が速い。

BCPは企業の存続に大きく影響します。「完璧なIT-BCP」を最初から目指す必要はありません。まず「システム一覧を書き出すこと」から始め、少しずつ充実させていきましょう。年に1回の訓練で手順を確認し、定期的に見直すことで、IT-BCPは本当に機能する「企業の保険」になります。

以上となります。

最後まで読んでいただき、ありがとうございました。