BCP・事業継続計画の作り方

Business Continuity

BCPは「立派な計画書」より、明日止まると困る業務を決めること

BCPは、災害、停電、通信障害、サイバー攻撃、人員不足などが起きても、重要な業務を止めない、または早く再開するための計画です。

中小企業や個人事業主では、何十ページもの計画書を作るより先に、「何が止まると困るか」「代わりにどう動くか」「誰が何を見るか」を決めることが現実的です。

公的制度としては、中小企業庁の「事業継続力強化計画」もあります。これは中小企業が防災・減災の取り組みを計画としてまとめ、国の認定を受ける制度です。BCPをいきなり完璧に作るのが重い場合は、まず事業継続力強化計画の考え方に沿って、実行できる対策から整理すると進めやすくなります。

ユウ
BCPって、大企業が会議室で分厚いファイルを作るやつですよね。うちには早い気がします。
ミナミ
小さい会社ほど、社長のスマホ、ネット回線、1台のPCが止まるだけで業務が止まります。だから簡単なBCPが効きます。
ユウ
分厚いファイルより、僕のスマホの充電の方が事業継続に直結している。
ミナミ
現実はそういうところから始まります。まず充電器と代替連絡先です。

BCPと事業継続力強化計画の違い

BCPと事業継続力強化計画は似ていますが、見ている範囲が少し違います。BCPは会社ごとの「非常時の動き方」を細かく決める計画です。事業継続力強化計画は、中小企業が防災・減災の取り組みを整理し、実行しやすい計画としてまとめる制度です。

項目BCP事業継続力強化計画
目的重要業務を止めない、早く戻す。自然災害などに備える取り組みを整理し、実行しやすくする。
作る内容重要業務、復旧目標、代替手段、連絡体制、復旧手順。災害リスク、初動対応、人員・設備・資金・情報の対策、訓練や見直し。
向いている使い方社内の実務マニュアルとして使う。中小企業が最初の防災・減災計画として作る。
注意点作って終わると使えない。定期的な更新と訓練が必要。認定を受けても、現場で動ける手順に落とし込む必要がある。

このページでは、制度の申請書そのものではなく、小さな会社が実際に動けるBCPの中身を優先して整理します。

BCPで最初に決める4つのこと

BCPは、災害名をたくさん並べるより、業務を続けるための判断を先に決めます。

止めない業務

電話、予約、受注、出荷、入金確認、顧客連絡など、止めるとすぐ損害が出る業務を決めます。

代替手段

ネットが止まった時のモバイル回線、事務所に入れない時の在宅作業、PC故障時の予備端末を決めます。

連絡先

従業員、取引先、顧客、サーバー会社、保険、士業、金融機関の連絡先をすぐ見られる形にします。

復旧手順

誰が状況確認し、どの業務から再開し、どのデータを戻すかを順番で決めます。

策定手順は5ステップで十分に始められる

BCP作成で止まりやすいのは、最初から災害ごとの細かいシナリオを作ろうとすることです。まずは事業に与える影響が大きい順に、業務ベースで考えます。

  1. 重要業務を選ぶ。売上、顧客対応、支払い、法的期限に直結する業務を3つから5つに絞ります。
  2. 止まる原因を出す。地震、台風、停電、通信障害、担当者不在、PC故障、サイバー攻撃などを書き出します。
  3. 復旧目標を決める。何時間以内、何日以内に戻したいかを決めます。専門用語ではRTOと呼ばれますが、要するに「いつまでに再開したいか」です。
  4. 失ってよいデータ量を決める。1日前のバックアップでよいのか、数時間前まで必要なのかを決めます。専門用語ではRPOと呼ばれますが、「どこまで戻せれば許容できるか」です。
  5. 代替手段と担当者を決める。モバイル回線、予備端末、紙の連絡先、代理担当、外部相談先を決めます。

小さな会社で起きやすい停止パターン

停止パターン起きること先に決めること
停電ルーター、Wi-Fi、PC、電話機、決済端末、照明が使えない。モバイル回線、予備電源、紙の連絡先、手書き受注、営業時間の告知方法。
通信障害POS、キャッシュレス決済、予約、クラウド会計、メール、Web会議が止まる。バックアップ回線、スマホテザリング、現金対応、代替決済、顧客連絡文。
PC・スマホ故障請求書、顧客情報、認証アプリ、メール、SNS投稿が使えない。バックアップ、予備端末、二段階認証の移行方法、管理者アカウント。
データ消失契約書、請求書、納品データ、商品写真、顧客リストが消える。クラウド保存、別媒体バックアップ、復元テスト、ファイル名ルール。
人員不在店長、経理担当、Web担当、社長しかわからない業務が止まる。手順書、権限共有、緊急時の代理担当、最低限の引き継ぎメモ。
サイバー攻撃管理画面に入れない、データが暗号化される、顧客情報が漏れる。二段階認証、権限管理、バックアップ、感染時の切り離し、連絡先。

サイバー攻撃時の初動もBCPに入れる

BCPというと地震や台風を思い浮かべがちですが、今の小さな会社ではサイバー攻撃も事業停止の原因になります。メール、会計、受注、予約、Webサイト、クラウドストレージが止まると、物理的な被害がなくても営業できなくなります。

状況やってはいけないこと初動で決めておくこと
PCが不審な動きをしている原因不明のまま使い続ける。外部USBや共有フォルダへ接続する。ネットワークから切り離し、管理者と相談先へ連絡する。
ファイルが開けない・暗号化された慌てて上書きや削除をする。バックアップ先まで接続したままにする。被害端末を止め、バックアップを保護し、復元前に感染範囲を確認する。
メールアカウントに入れない同じパスワードを他サービスでも使い続ける。管理者権限でパスワード変更、二段階認証、取引先への注意喚起を行う。
顧客情報の漏えいが疑われる事実確認前に曖昧な説明を広げる。保存範囲、影響範囲、連絡先、相談先、記録方法を決める。

AIやクラウドサービスを使う会社では、入力データの扱いもBCPとつながります。入力前のルールはAI・個人情報の扱い、ファイルの保存場所は文書管理・クラウドストレージで整理します。

業務ごとに「復旧の優先順位」を決める

すべてを同時に戻そうとすると混乱します。まずはお金、顧客対応、法的期限、信用に直結する業務から戻します。

優先度業務理由代替手段の例
最優先顧客連絡、予約、受注、発送、緊急連絡連絡が取れないと信用を失いやすい。スマホ、SNS、Googleビジネスプロフィール、メールテンプレート。
入金確認、支払い、給与、税金、仕入れ資金繰りと取引継続に直結する。ネット銀行、資金繰り表、支払予定表、会計データのバックアップ。
店舗営業、決済、電話、Webサイト売上機会を逃しやすい。モバイル決済、現金対応、固定電話転送、サーバー管理情報。
請求書、契約書、納品データ、社内資料後から必要になる証拠と業務履歴。クラウドストレージ、NAS、別媒体バックアップ、文書管理ルール。
SNS、広告、ブログ更新、販促短期停止は許容できるが、長期停止は集客に影響する。投稿予約、代理担当、告知テンプレート。
ユウ
全部大事に見えて、全部最優先にしたくなります。
ミナミ
全部最優先にすると、実際の非常時に何も決まりません。まず顧客連絡、お金、営業再開の順で考えます。
ユウ
非常時の僕に、優先順位という地図を渡しておくわけですね。

訓練と見直しをしないBCPは使われない

BCPは、作った時点ではまだ仮説です。実際に使えるかどうかは、短い訓練で確認します。大げさな防災訓練でなくても、30分の確認で十分に見つかる問題があります。

頻度確認すること見つかりやすい問題
毎月連絡先、ログイン情報、支払予定、担当者変更。退職者の連絡先、古い電話番号、期限切れカード。
四半期バックアップ復元、予備端末、モバイル回線、決済端末。バックアップが戻せない、認証アプリが移行できない、予備端末が古い。
半年顧客への告知文、SNS・Googleビジネスプロフィール、Webサイトの緊急告知。誰が投稿するか決まっていない、管理権限が1人だけ。
年1回保険、サーバー、ドメイン、リース、通信契約、重要取引先。契約更新忘れ、補償不足、解約できない契約、管理会社任せのドメイン。

データ復旧は「保存している」ではなく「戻せる」で考える

クラウドストレージやサーバーにデータを置いていても、誤削除、アカウント停止、ランサムウェア、管理者不在で戻せないことがあります。大事なのは、どこにあるかではなく、必要な時に戻せるかです。

3種類に分ける

契約書・請求書、顧客情報、制作物・商品写真など、消えたら困る順に分けます。

別の場所に残す

同じサービス内だけでなく、別媒体、別クラウド、エクスポートデータも検討します。

復元テスト

月1回でもよいので、実際に1ファイル戻せるか確認します。

管理者を複数にする

社長だけ、担当者だけが管理者だと、不在や退職で詰まります。

契約書や社内資料は文書管理・クラウドストレージ、会社サイトは会社サイト保守で具体的に確認します。

店舗・EC・Webサイトで違うBCPの見方

事業の形止まると困るもの準備すること
店舗・飲食・サロン予約、電話、決済、POS、Googleマップ、在庫、照明、空調。通信障害時の会計、予約客への連絡、営業時間変更の告知、現金対応。
EC・通販注文確認、発送、在庫、決済、問い合わせ、配送資材。発送停止時の告知、代替配送、梱包資材の在庫、注文データのバックアップ。
Web制作・士業・相談業メール、Web会議、契約書、納品データ、請求書。顧客連絡先、クラウド資料、予備PC、認証アプリの移行、作業手順書。
小規模法人給与、支払い、入金確認、社用スマホ、社内チャット。経理権限、ネット銀行、給与締め日、チャット代替、端末台帳。

30分で作る簡易BCPメモ

最初から完璧に作る必要はありません。まずは1枚のメモで十分です。

  1. 止めない業務を3つ書く。例: 顧客連絡、入金確認、発送。
  2. 各業務が止まる原因を書く。例: 停電、ネット障害、担当者不在。
  3. 代替手段を書く。例: モバイル回線、予備端末、紙の連絡先。
  4. 連絡先を書く。従業員、取引先、顧客、サーバー会社、保険、士業。
  5. 復旧の順番を書く。例: 安否確認、顧客告知、受注確認、支払い確認。
  6. 月1回、変わった連絡先やログイン情報を更新する。

1枚メモの記入例

小さな会社では、次のように短く書くだけでも実用的です。書いた内容は、クラウドと紙の両方で見られるようにします。

項目記入例
止めない業務予約客への連絡、当日発送、入金確認、給与支払い。
想定する停止停電、通信障害、店長不在、PC故障、サーバー障害。
復旧目標予約連絡は2時間以内、発送判断は当日中、支払い確認は翌営業日まで。
代替手段スマホ回線、紙の顧客リスト、予備ノートPC、Googleビジネスプロフィールで営業時間告知。
連絡先従業員、主要取引先、配送会社、サーバー会社、税理士、保険会社。
次回見直し毎月1日に連絡先と支払予定、四半期ごとにバックアップ復元を確認。

備品・契約・保険をまとめて見直す

BCPは防災用品だけではありません。予備電源、モバイル回線、ノートPC、社用スマホ、配送資材、クラウドストレージ、サーバー、保険、契約書がつながっています。

項目見ること関連ページ
通信主回線、バックアップ回線、テザリング、来客Wi-Fi分離。法人インターネット回線
端末予備PC、社用スマホ、認証アプリ、紛失時対応。社用スマホ管理
データクラウド、NAS、バックアップ、復元テスト、権限管理。文書管理・クラウドストレージ
Webサーバー、ドメイン、メール、SSL、フォーム、バックアップ。会社サイト保守
お金入金予定、支払予定、給与、税金、予備資金。資金繰り表
保険賠償、店舗・設備、休業、サイバー、労災。事業者向け保険
ユウ
BCPって、防災グッズを買う話だけじゃなくて、仕事の止まりやすい場所を見つける話なんですね。
ミナミ
その通りです。業務、連絡、データ、お金、保険を小さくつなげておくと、非常時に迷いにくくなります。
ユウ
まずは僕のスマホ充電器を、会社の重要設備として登録します。