Lockiron / The Fortress of a Solo IT Manager | 一人情シスの砦

中小企業のBCP(災害対策)は「100点を目指さない」ことが最強の生存戦略

#BCP #Risk Management #SMB #Cloud Strategy

「BCP(事業継続計画)を策定しましょう」

そう言われて、書店で分厚い専門書を手に取り、あるいはコンサルタントの話を聞いて、「これはうちには無理だ」とそっと本を閉じた経験はないでしょうか。

非常用電源装置(UPS)の導入、二重化された回線、遠隔地へのバックアップサーバー、緊急時対策本部の設置規定……。 教科書通りのBCPは、あまりにも高コストで重厚長大すぎます。リソースの限られた中小企業が、大企業と同じ基準で対策しようとすれば、挫折するのは当たり前です。

けれど、災害は待ってくれません。 この記事では、ひとり情シスや兼任担当者が現実的に実行できる、**「お金をかけない、身の丈に合ったBCPの落とし所」**について解説します。

結論から言えば、中小企業のBCPは**「止まらないこと(可用性)」を諦め、「死なないこと(回復性)」に全振りする**のが正解です。

1. 「稼働率99.99%」の呪縛を捨てる

大企業のITシステムは「1秒たりとも止まってはならない」という前提で設計されることが多くあります。銀行の勘定系システムなどが良い例です。これを「可用性(Availability)」重視の設計と呼びます。

しかし、冷静に考えてみてください。 あなたの会社の業務は、災害時に3日間止まったら倒産しますか?

多くの中小企業の場合、答えは「No」のはずです。 もちろん売上は落ちますが、社員の安全を確保し、1週間後に業務が再開できれば、会社は生き残れます。

一番恐ろしいのは、システムが止まることではなく、**「データが完全に消えて無くなること」**です。 顧客リスト、会計データ、図面、契約書。これらが消失すれば、会社は再起不能になります。

つまり、目指すべきは「地震が起きても止まらない強固なシステム(高コスト)」ではなく、**「最悪オフィスが潰れても、データだけは無事で、別の場所から再開できる仕組み(低コスト)」**なのです。

2. 物理を捨てるだけで、BCPは9割完了する

オフィスという「物理的な場所」に依存しているものを極限まで減らす。これだけで、災害対策のレベルは劇的に上がります。

サーバーを捨てる

社内に物理サーバー(ファイルサーバーや基幹システム)がある時点で、BCPのリスクは跳ね上がります。停電すれば止まり、水没すればデータは消えます。 これをクラウド(Google Workspace, Microsoft 365, Dropbox, kintoneなど)に移すだけで、「オフィスの被災」と「データの消失」は切り離されます。 クラウド事業者のデータセンターは、私たちが逆立ちしても真似できないレベルの耐災害設備を持っています。そこに便乗するのが最も賢い選択です。

デスクトップPCを捨てる

これからPCを買うなら、迷わずノートPCを選んでください。 デスクトップPCは停電した瞬間に落ちますが、ノートPCにはバッテリーがあります。これは立派なUPS(無停電電源装置)です。 また、避難指示が出た時、デスクトップPCを抱えて逃げることはできませんが、ノートPCならカバンに入れて持ち出せます。 「画面が小さい」と不満が出るなら、オフィスでは外部モニターに繋げばいいだけの話です。

固定電話への依存を減らす

震災時、オフィスの固定電話は繋がりません。また、オフィスに入れない状況では電話番もできません。 会社の代表電話をクラウドPBXにするか、あるいは「緊急時はチャットや携帯電話で連絡する」というルールを顧客と合意しておくことが重要です。

3. 「インターネット回線」の二重化はスマホでいい

「メインの光回線が切れたときのために、サブの回線を引くべきか?」という質問をよく受けます。 中小企業なら、高価なバックアップ回線契約は不要です。

その代わり、**「テザリングができる社用スマホ」**をキーマンに配っておきましょう。 光ファイバー網が寸断されても、4G/5Gといったモバイル通信網は生きているケースが多々あります(基地局が被災しなければ繋がります)。 いざという時は、スマホのテザリングでノートPCをネットに繋ぎ、クラウド上の重要データにアクセスする。これだけで十分な「通信の二重化」です。

4. マニュアルは「A4用紙1枚」にする

「震度X以上の地震が発生した場合の行動マニュアル」という50ページのファイルを作っても、誰も読みません。緊急時にそんなものを探している暇もありません。

BCPマニュアルは、A4用紙1枚、あるいはカードサイズにまとめてください。 書くべきことは3点だけです。

  1. 安否確認の方法(「まずはLINE WORKSの掲示板を見ろ」など)
  2. 誰の指示に従うか(社長が不在なら○○部長、など命令系統の明確化)
  3. 絶対に持ち出すもの、諦めていいもののリスト

これを全社員のスマホに画像として保存させるか、また物理的に印刷して社員証の裏に入れておく方が、分厚いマニュアルより100倍役に立ちます。

5. 「何もしない」という決断

あれもこれもと備えようとすると、コストは無限に膨らみます。 「うちは製造業だから、工場の機械が止まったらどうしようもない」という場合、ITでできることには限界があります。

「電気が止まったら、復旧するまで全員休みにする」 「サーバーが壊れたら、直近1週間のデータは諦めて、先週のバックアップからやり直す」

こういう**「諦めのライン(許容限界)」を平時のうちに経営者が決めておくこと**こそが、最も重要なBCPです。 現場が混乱するのは、「どこまで頑張ればいいのか」「どこで損切りしていいのか」が分からないからです。

防災訓練の代わりにやるべきこと

ヘルメットを被って机の下に潜る訓練も大切ですが、IT担当者としてやっておくべき「デジタル防災訓練」があります。

  • 「テレワークデー」を設ける: 台風の日などに、あえて「全員出社禁止」にしてみる。これで「自宅からサーバーに入れない」「会社の電話が取れない」といった課題が嫌でも見つかります。
  • リストア(復元)テスト: バックアップを取っているつもりでも、実は壊れていて戻せない、というのは「あるある」です。年に1回でいいので、実際にファイルを1つ消して、バックアップから戻せるか試してください。

まとめ

中小企業のBCPは、何か高価なシステムを「足し算」することではありません。 物理サーバーをなくし、デスクトップをなくし、紙をなくし、特定の場所への依存をなくす。 この**「引き算」のプロセスこそが、結果として最強の災害対策になります。**

身軽になれば、どこへでも逃げられます。そして、どこででも再開できます。 これこそが、予測不能な時代における本当の強さではないでしょうか。

AIに自社のBCPを相談するためのプロンプト

最後に、自社の状況に合わせた現実的なBCPをAI(ChatGPTやGeminiなど)に作ってもらうためのプロンプトを紹介します。 以下の項目を埋めて相談してみてください。「身の丈に合った」対策を引き出す工夫を入れています。

あなたは中小企業のITコンサルタントおよびリスクマネジメントの専門家です。
以下の条件を持つ企業の、現実的かつ低コストなBCP(事業継続計画)の初期案を策定してください。

# 企業情報
*   業種: [例: 専門商社、従業員30名]
*   拠点: [例: 東京本社のみ]
*   主な業務: [例: 電話とメールでの受発注、販売管理システムへの入力]
*   現在のIT環境: [例: 社内にファイルサーバーあり、デスクトップPC主体、グループウェアは未導入]

# 制約条件(重要)
*   **「理想論」や「大企業向けの対策」は不要です。**
*   予算は極力かけず、現状のリソース+αで実現できる範囲に留めてください。
*   「止まらないこと」よりも「データが消えないこと」「数日以内に復旧できること」を優先します。

# 出力してほしい内容
1.  **想定すべき最大のリスク**: この企業にとって最も致命的な事象は何か?
2.  **即座に実施すべき「3つの捨てる」アクション**: リスクを下げるために廃止・移行すべき物理資産や慣習。
3.  **緊急時の通信・指揮命令ルート案**: コストをかけずに連絡を取り合う方法。
4.  **1年以内に目指すべきIT構成**: 災害に強いインフラのあるべき姿(簡易版)。

回答は、専門用語を使わず、経営者が直感的に理解できる言葉で記述してください。
ホームに戻る