コラム / 事業継続 /
中小企業がBCP(事業継続計画)を30日で作る現実的な手順 ─ テンプレ配布で終わらせない実装方法
📖 約13分 / 公開日: 2026/05/28
BCPの作成依頼を受けて最初に確認するのは、過去に作られたBCP文書の有無です。中小企業の8割は、5年以内に一度BCPを作っています。中小企業庁のテンプレートを埋めた100ページ前後のWord文書か、商工会議所の指導で作ったPDFか、ISO22301取得を試みた途中の資料か。どれもキャビネットの底か共有フォルダの奥に眠っていて、当の担当者は退職している。これが現実です。
なぜ使われないのか。理由は単純で、「災害が起きた瞬間に開くドキュメント」として設計されていないからです。被災時にWordを起動して目次から該当箇所を探す管理者はいません。停電中にA4で100ページの文書を読む経営者もいません。本当に必要なのは、A4一枚に圧縮された初動Runbookと、復旧責任者の連絡先リスト、そして「何分以内に何を諦めるか」の判断基準です。
30日で本番運用に耐えるBCPを組み上げる手順を、Week単位で示します。
## Week 1:スコープ確定とRTO/RPOの数字決め
初週で決めるのは2つ。守る対象と、許容できる停止時間です。
守る対象は、事業継続にとってクリティカルな業務を3〜5つに絞ります。製造業なら受発注EDI、出荷指示、原価管理。EC事業者ならカート、決済、出荷指示、顧客サポート。学習塾ならオンライン授業基盤と保護者連絡。全業務を対象にすると30日では絶対に終わりません。むしろ年商の8割を占める業務だけに絞った方が、現場が回ります。
RTO(目標復旧時間)とRPO(目標復旧時点)は、業務ごとに数字で決めます。「できるだけ早く」は数字ではありません。受発注EDIなら「RTO 4時間・RPO 15分」、コーポレートサイトなら「RTO 24時間・RPO 24時間」のように、サービスレベルとして書き出します。
ここで経営層と必ず合意するのは、RTOを短くするほどコストが指数関数的に上がる点です。RPO 15分を達成するためには、データベースのリアルタイムレプリケーションが必須で、AWS RDS Multi-AZの月額が3〜5倍に跳ねます。逆にRPO 24時間で許容できるなら、夜間スナップショットのS3保管で月数千円に収まる。この比較を、最低3つの主要システムについて見積もりベースで示すと、経営判断が速くなります。
## Week 2:脅威分析と影響度評価
テンプレに書かれている「地震・火災・水害・感染症」を全部評価していくと2週間が消えます。脅威は「発生確率 × 影響度」で評価し、上位5つに絞り込みます。
中小企業で実際に多いのは、地震や水害ではなく、ランサムウェア、メインベンダーの倒産、キーパーソンの突然の退職、サーバ室の空調故障、メール配信の遮断、この5つです。地震は確率が低くても影響が極端に大きいので残しますが、テンプレに書かれている順序とは違う重み付けになります。
2024年のIPA調査では、中小企業がBCP発動を経験した原因の上位は、ランサムウェア26%、設備故障19%、感染症15%、自然災害12%、サプライチェーン断絶11%でした。BCPの設計は、この実態に合わせます。
影響度評価は、業務停止1日あたりの逸失利益で数字化します。年商10億円の製造業なら、稼働日250日として1日4百万円。これが3日止まれば1200万円の機会損失です。逆にRPO 15分達成のための月額50万円の追加投資は、3日の停止1回分で12回ペイする計算になります。この粗い試算を経営層に示すと、投資判断が動きます。
## Week 3:Runbook化と通信手段の確保
BCP文書の本体はWordで構いません。しかし現場で動くのは別物です。A4一枚の「初動Runbook」を作ります。
初動Runbookに書くのは、発生から72時間以内の意思決定フローだけです。誰が状況把握を担当し、誰が判断を下し、誰が外部連絡をするか。判断基準は「30分以内に主システムが復旧しなければ、代替手段に切り替える」のように、時間と切替条件をセットで書きます。
通信手段は、平時とは別系統を必ず用意します。普段のSlackやTeamsが社内サーバ経由なら、外部からアクセスできるLINE WORKSやChatworkを副回線として契約します。月額1ユーザー450円程度で、20名規模なら年間11万円弱。これを「使わないかもしれないコスト」と見るか「使った瞬間に事業を救うコスト」と見るかで、経営判断が分かれます。
安否確認は、ANPIC、エマージェンシーコール、トヨクモ安否確認サービス2のいずれかが現実的です。年額10万円前後で、自動配信と集計が回ります。Googleフォームで代用しようとすると、回答していない人を追いかけるオペレーションが破綻します。
クラウドサービスのアカウント管理は、1PasswordやBitwardenの「緊急アクセス」機能を必ず設定します。情シス担当者が連絡不能になった瞬間、AWSもGoogle Workspaceも触れなくなる事態が現実にあります。緊急アクセス権を経営層と総務責任者の2名に付与しておくのは、BCPの基本動作です。
バックアップは「持っている」と「戻せる」が別物だと忘れがちです。S3に毎日スナップショットがあっても、復元手順を一度も実行していなければ、本番のRDSへの戻し時間は誰も把握できません。Runbook化と同時に、リストア手順を1回は実機で通します。所要時間と発生したエラーをメモに残し、次回訓練の前提条件にします。
## Week 4:訓練設計と運用ルール
訓練は年2回を最低ラインにします。年1回では1年経つと内容を全員が忘れます。
半年に1度、机上演習を90分。被災シナリオを1つ読み上げ、初動Runbookに沿って「誰が・いつ・何をするか」を口頭で回します。机上演習で90分以上かかるBCPは、内容が多すぎます。圧縮します。
年1度は、実際にシステムを止める実機訓練を行います。本番のAWSアカウントで、Route 53のフェイルオーバー切替を実行する。バックアップS3からRDSへリストアを実行する。これを業務時間外に1時間枠で実施し、復旧時間を計測します。「RTO 4時間と決めた業務が、訓練では7時間かかった」という事実が判明するのは、訓練だけです。
運用ルールとして、BCP文書は半年に1度の更新を必須化します。組織変更、システム移行、契約更新があったら、その瞬間に該当箇所を直す。年1回まとめて更新する運用は破綻します。NotionかConfluenceに置き、変更履歴を残せる形にしておくと、Wordファイルを共有フォルダで管理するより事故が減ります。
## 経営層への報告と保険
BCP完成後、経営会議で報告するのは2点だけで足ります。RTOとRPOの一覧、そして年間運用コスト。多くの場合、年間50万〜200万円のレンジに収まります。これより安いBCPは内容が薄く、これより高いBCPは中小企業には過剰です。
サイバー保険は、BCPと別軸で必ず検討します。三井住友海上、東京海上、損保ジャパンが法人向けにサイバー保険を提供しており、年額10万〜30万円で1事故あたり1〜3億円の補償が現実的なレンジです。BCPで防げない「事故発生後の調査費用・通知費用・営業損失」を補償する目的で加入します。免責事項を読まずに加入すると、ランサムウェア被害が補償対象外だったり、初動72時間の通知義務を怠ると減額される条項があったりするので、契約前に必ず付帯条件を確認します。
BCPは作る作業ではなく、回す作業です。30日で組み上げた後の半年に1度の更新と訓練が止まれば、3年後には机上演習さえ満足にできないBCPになります。逆に、年2回の訓練が回り続けるBCPは、5年後には会社の文化として根付きます。BCPを「テンプレを埋めるイベント」で終わらせず、運用に乗せるところまでが、本物の事業継続です。
なぜ使われないのか。理由は単純で、「災害が起きた瞬間に開くドキュメント」として設計されていないからです。被災時にWordを起動して目次から該当箇所を探す管理者はいません。停電中にA4で100ページの文書を読む経営者もいません。本当に必要なのは、A4一枚に圧縮された初動Runbookと、復旧責任者の連絡先リスト、そして「何分以内に何を諦めるか」の判断基準です。
30日で本番運用に耐えるBCPを組み上げる手順を、Week単位で示します。
## Week 1:スコープ確定とRTO/RPOの数字決め
初週で決めるのは2つ。守る対象と、許容できる停止時間です。
守る対象は、事業継続にとってクリティカルな業務を3〜5つに絞ります。製造業なら受発注EDI、出荷指示、原価管理。EC事業者ならカート、決済、出荷指示、顧客サポート。学習塾ならオンライン授業基盤と保護者連絡。全業務を対象にすると30日では絶対に終わりません。むしろ年商の8割を占める業務だけに絞った方が、現場が回ります。
RTO(目標復旧時間)とRPO(目標復旧時点)は、業務ごとに数字で決めます。「できるだけ早く」は数字ではありません。受発注EDIなら「RTO 4時間・RPO 15分」、コーポレートサイトなら「RTO 24時間・RPO 24時間」のように、サービスレベルとして書き出します。
ここで経営層と必ず合意するのは、RTOを短くするほどコストが指数関数的に上がる点です。RPO 15分を達成するためには、データベースのリアルタイムレプリケーションが必須で、AWS RDS Multi-AZの月額が3〜5倍に跳ねます。逆にRPO 24時間で許容できるなら、夜間スナップショットのS3保管で月数千円に収まる。この比較を、最低3つの主要システムについて見積もりベースで示すと、経営判断が速くなります。
## Week 2:脅威分析と影響度評価
テンプレに書かれている「地震・火災・水害・感染症」を全部評価していくと2週間が消えます。脅威は「発生確率 × 影響度」で評価し、上位5つに絞り込みます。
中小企業で実際に多いのは、地震や水害ではなく、ランサムウェア、メインベンダーの倒産、キーパーソンの突然の退職、サーバ室の空調故障、メール配信の遮断、この5つです。地震は確率が低くても影響が極端に大きいので残しますが、テンプレに書かれている順序とは違う重み付けになります。
2024年のIPA調査では、中小企業がBCP発動を経験した原因の上位は、ランサムウェア26%、設備故障19%、感染症15%、自然災害12%、サプライチェーン断絶11%でした。BCPの設計は、この実態に合わせます。
影響度評価は、業務停止1日あたりの逸失利益で数字化します。年商10億円の製造業なら、稼働日250日として1日4百万円。これが3日止まれば1200万円の機会損失です。逆にRPO 15分達成のための月額50万円の追加投資は、3日の停止1回分で12回ペイする計算になります。この粗い試算を経営層に示すと、投資判断が動きます。
## Week 3:Runbook化と通信手段の確保
BCP文書の本体はWordで構いません。しかし現場で動くのは別物です。A4一枚の「初動Runbook」を作ります。
初動Runbookに書くのは、発生から72時間以内の意思決定フローだけです。誰が状況把握を担当し、誰が判断を下し、誰が外部連絡をするか。判断基準は「30分以内に主システムが復旧しなければ、代替手段に切り替える」のように、時間と切替条件をセットで書きます。
通信手段は、平時とは別系統を必ず用意します。普段のSlackやTeamsが社内サーバ経由なら、外部からアクセスできるLINE WORKSやChatworkを副回線として契約します。月額1ユーザー450円程度で、20名規模なら年間11万円弱。これを「使わないかもしれないコスト」と見るか「使った瞬間に事業を救うコスト」と見るかで、経営判断が分かれます。
安否確認は、ANPIC、エマージェンシーコール、トヨクモ安否確認サービス2のいずれかが現実的です。年額10万円前後で、自動配信と集計が回ります。Googleフォームで代用しようとすると、回答していない人を追いかけるオペレーションが破綻します。
クラウドサービスのアカウント管理は、1PasswordやBitwardenの「緊急アクセス」機能を必ず設定します。情シス担当者が連絡不能になった瞬間、AWSもGoogle Workspaceも触れなくなる事態が現実にあります。緊急アクセス権を経営層と総務責任者の2名に付与しておくのは、BCPの基本動作です。
バックアップは「持っている」と「戻せる」が別物だと忘れがちです。S3に毎日スナップショットがあっても、復元手順を一度も実行していなければ、本番のRDSへの戻し時間は誰も把握できません。Runbook化と同時に、リストア手順を1回は実機で通します。所要時間と発生したエラーをメモに残し、次回訓練の前提条件にします。
## Week 4:訓練設計と運用ルール
訓練は年2回を最低ラインにします。年1回では1年経つと内容を全員が忘れます。
半年に1度、机上演習を90分。被災シナリオを1つ読み上げ、初動Runbookに沿って「誰が・いつ・何をするか」を口頭で回します。机上演習で90分以上かかるBCPは、内容が多すぎます。圧縮します。
年1度は、実際にシステムを止める実機訓練を行います。本番のAWSアカウントで、Route 53のフェイルオーバー切替を実行する。バックアップS3からRDSへリストアを実行する。これを業務時間外に1時間枠で実施し、復旧時間を計測します。「RTO 4時間と決めた業務が、訓練では7時間かかった」という事実が判明するのは、訓練だけです。
運用ルールとして、BCP文書は半年に1度の更新を必須化します。組織変更、システム移行、契約更新があったら、その瞬間に該当箇所を直す。年1回まとめて更新する運用は破綻します。NotionかConfluenceに置き、変更履歴を残せる形にしておくと、Wordファイルを共有フォルダで管理するより事故が減ります。
## 経営層への報告と保険
BCP完成後、経営会議で報告するのは2点だけで足ります。RTOとRPOの一覧、そして年間運用コスト。多くの場合、年間50万〜200万円のレンジに収まります。これより安いBCPは内容が薄く、これより高いBCPは中小企業には過剰です。
サイバー保険は、BCPと別軸で必ず検討します。三井住友海上、東京海上、損保ジャパンが法人向けにサイバー保険を提供しており、年額10万〜30万円で1事故あたり1〜3億円の補償が現実的なレンジです。BCPで防げない「事故発生後の調査費用・通知費用・営業損失」を補償する目的で加入します。免責事項を読まずに加入すると、ランサムウェア被害が補償対象外だったり、初動72時間の通知義務を怠ると減額される条項があったりするので、契約前に必ず付帯条件を確認します。
BCPは作る作業ではなく、回す作業です。30日で組み上げた後の半年に1度の更新と訓練が止まれば、3年後には机上演習さえ満足にできないBCPになります。逆に、年2回の訓練が回り続けるBCPは、5年後には会社の文化として根付きます。BCPを「テンプレを埋めるイベント」で終わらせず、運用に乗せるところまでが、本物の事業継続です。