本文へスキップ
株式会社オブライト
Business DX2026-07-13

IT-BCP入門 — システムが止まった日、会社は何日耐えられるか

IT-BCP(IT事業継続計画)の基礎知識を解説。想定すべき停止シナリオ、業務の依存関係マップの作り方、復旧目標の考え方まで、A4 1枚から始める手順を紹介します。


IT-BCPとは何か

IT-BCP(IT事業継続計画)とは、システム障害やサイバー攻撃、災害などによって情報システムが利用できなくなった場合に、事業を継続する、あるいは早期に復旧するためにあらかじめ定めておく計画のことです。「システムが1日止まったら、会社はどこまで耐えられるか」を事前に考えておくことで、実際に停止が起きた際の判断のスピードと質が大きく変わります。この記事では、IT-BCPの基本的な考え方と、専門部署がない中小企業でもA4用紙1枚から始められる実践的な手順を紹介します。

なぜ今、中小企業にIT-BCPが必要とされているのか

クラウドサービスの利用が広がったことで、中小企業でも「自社のシステムが止まると業務全体が止まる」という状況が珍しくなくなりました。一方で、BCP(事業継続計画)というと自然災害を想定した全社的な計画をイメージしがちで、IT領域に特化した検討が後回しになっているケースも見られます。ITリスク全体の捉え方については中小企業のITリスク対策 完全ガイドで整理していますが、IT-BCPはその中でも「止まった後、どう業務を続けるか」に焦点を当てた計画です。

情報漏えいが起きた際の初動対応と、IT-BCPは似ているようで目的が異なります。漏えい発生直後にまず何をすべきかについては情報漏えい発生時の初動対応で解説していますが、あちらは「事故発生直後の対応手順」が中心であるのに対し、IT-BCPは「システムが使えない状態がどのくらい続くと業務にどんな影響が出るか」をあらかじめ整理し、業務を止めない、あるいは早く戻すための備えという位置づけです。

想定すべき停止シナリオ

IT-BCPを検討する際は、まず「どんな理由でシステムが止まりうるか」を洗い出すことから始めます。原因によって復旧にかかる時間や取れる対応が異なるため、複数のシナリオを想定しておくことが重要です。

- ランサムウェア被害: 自社のサーバーやPCが暗号化され、データやシステムが利用できなくなる
- クラウドサービスの障害: 利用している外部サービス(メール、会計、基幹システムなど)側で障害が発生する
- 自然災害・停電: 地震や水害、長時間の停電でオフィスやサーバー設備が使えなくなる
- 担当者の不在: システムに詳しい担当者が急な休職・退職などで不在になり、対応できる人がいなくなる

依存関係マップの作り方 — 何が止まると何の業務が止まるか

IT-BCPの検討で最初につまずきやすいのが、「自社のどの業務が、どのシステムに依存しているか」が整理されていない状態です。例えば受発注業務が特定のクラウドサービスに依存している、請求業務が特定のPC上のソフトに依存しているといった関係を可視化しないまま計画を作っても、実際の停止時に使える計画にはなりません。

- 業務を洗い出す(受発注、請求、顧客対応、製造・施工管理など)
- 各業務が使用しているシステム・サービスを書き出す(クラウド/オンプレ/特定のPCの区別も)
- そのシステムが止まった場合、業務がどの程度・どのくらいの期間止まるかを見積もる
- 業務ごとに「止まると特に困る度合い」を高・中・低で仮に評価する
- 依存が集中しているシステム(複数の業務が同じシステムに依存している)を特定する

復旧目標の考え方

依存関係を整理したら、次に考えるのが「どのくらいの時間・期間で復旧させたいか」という復旧目標です。すべての業務を同じ基準で扱う必要はなく、業務の重要度に応じて許容できる停止時間は異なります。例えば顧客対応の窓口が1日止まると大きな影響が出る一方、月次の経理処理であれば数日の遅れは致命的でないこともあります。自社にとっての「許容できる停止時間」を業務ごとに仮決めしておくことが、復旧の優先順位づけの土台になります。

業務・システムの例停止時の影響の大きさ(目安)許容できる停止時間の考え方
顧客からの問い合わせ窓口大きい(信用・機会損失に直結しやすい)数時間〜1日以内を目安に検討
受発注・在庫管理システム中〜大(業務の中核)1日〜数日を目安に検討
月次の経理・請求処理中(締め日までに戻れば影響を抑えやすい)数日〜1週間程度を目安に検討
社内向けの補助的なツール復旧優先度は相対的に低く設定しやすい

A4 1枚から始めるBCPの手順

IT-BCPというと分厚い計画書を想像しがちですが、最初から完璧なものを目指す必要はありません。まずはA4用紙1枚に収まる範囲で、最低限の情報を整理することから始めるのが実務的です。

1. 想定する停止シナリオを2〜3個書き出す(前述のランサム・クラウド障害・災害・担当者不在など)
2. 主要な業務と、それが依存するシステムを一覧にする(前述の依存関係マップの簡易版)
3. 業務ごとの許容停止時間を仮決めする
4. 停止時に「誰が」「まず何をするか」を最小限決めておく(連絡先・代替手段を含む)
5. 半年〜1年に1回、内容を見直す時期をあらかじめ決めておく

実務チェックリスト

- [ ] 想定する停止シナリオを複数洗い出したか
- [ ] 主要な業務とその依存システムを一覧化したか
- [ ] 業務ごとの許容停止時間を仮決めしたか
- [ ] 停止時の初動連絡先・代替手段を明確にしたか
- [ ] 計画を見直すタイミングをあらかじめ決めたか

よくある質問

IT-BCPとBCP(事業継続計画)は何が違いますか?

BCPは自然災害や感染症なども含めた事業全体の継続計画を指すことが多く、IT-BCPはその中でも情報システムの停止に焦点を当てた計画です。会社の規模や体制によっては、IT-BCPを単独で整備するケースもあれば、全社BCPの一部として位置づけるケースもあります。

専門部署がない中小企業でも作れますか?

はい。最初から完成度の高い計画を目指す必要はなく、まずはA4用紙1枚程度で主要な業務の依存関係と許容停止時間を整理するところから始められます。

一度作ったら見直さなくてよいですか?

いいえ。使っているシステムや業務内容は変化するため、半年〜1年に一度など、定期的に内容を見直すことが実務上は望ましいとされています。

まとめ

IT-BCPは、システムが止まった際に会社がどこまで耐えられるかをあらかじめ考えておくための計画です。完璧な計画書を最初から作る必要はなく、想定される停止シナリオの洗い出し、業務とシステムの依存関係の整理、業務ごとの許容停止時間の仮決めという流れで、A4用紙1枚から始めることができます。まずは自社の主要な業務がどのシステムに依存しているかを書き出すところから着手してみてください。

お気軽にご相談ください

お問い合わせ