BCP（事業継続計画）策定ガイド｜災害・サイバー攻撃に備える実践手順【2026年版】

中小企業庁「中小企業白書 2024年版」によると、BCP（事業継続計画）を策定済みの中小企業はわずか 17.4% にとどまる（中小企業庁、2024年4月公表）。一方、2026年はランサムウェア攻撃の激化、南海トラフ地震への警戒、サプライチェーン攻撃の増加により、BCPの重要性がかつてないほど高まっている。本記事では、中小企業が最小限の工数でBCPを策定するための実践手順を解説する。

---

BCPとは何か

BCP（Business Continuity Plan、事業継続計画）は、災害やサイバー攻撃などの緊急事態が発生した際に、事業の継続・早期復旧を実現するための計画だ。

項目	防災計画	BCP
目的	人命・資産の保護	事業の継続・復旧
対象	自然災害	自然災害 + サイバー攻撃 + パンデミック + 設備故障
重点	避難・安否確認	重要業務の特定と復旧手順
策定義務	なし	なし（ただし取引先から要求されるケースが増加）

---

なぜ2026年にBCPが必要なのか

理由1：サイバー攻撃が最大の事業停止リスクに

IPA「情報セキュリティ10大脅威 2026」でランサムウェアが11年連続1位。ランサムウェアに感染すると 平均23日間 の業務停止が発生するとされている。

理由2：取引先からのBCP要求

大手企業を中心に、サプライヤーに対してBCP策定を要求するケースが増えている。BCP未策定が原因で取引審査に落ちるリスクがある。

理由3：補助金の加点項目

「事業再構築補助金」「ものづくり補助金」等で、BCP策定が加点項目になっている。

---

BCP策定の5ステップ

ステップ1：重要業務の特定（1日）

全業務の中から、停止した場合に最もダメージが大きい業務を特定する。

判断基準	質問
収益への影響	この業務が1週間止まったら、売上はいくら減るか？
顧客への影響	顧客に直接的な損害を与えるか？
法的義務	法令上の期限がある業務か？（税務申告、報告義務等）
取引先への影響	サプライチェーン全体に波及するか？

中小企業の典型的な重要業務：

• 受注・出荷業務
• 顧客対応（問い合わせ・クレーム）
• 経理・給与支払い
• 生産管理（製造業）

ステップ2：リスクの洗い出しと影響分析（1日）

リスク	発生確率	影響度	業務停止期間
ランサムウェア感染	高	極大	1〜4週間
地震（震度6弱以上）	中	極大	数日〜数か月
台風・水害	中	大	数日〜2週間
停電（長時間）	中	大	数時間〜数日
基幹システム障害	中	大	数時間〜数日
主要社員の離脱	低	中	数週間（引き継ぎ期間）
パンデミック	低	大	数週間〜数か月

ステップ3：復旧目標の設定（半日）

指標	定義	設定例
RTO（目標復旧時間）	業務を再開するまでの目標時間	受注業務: 24時間以内
RPO（目標復旧時点）	どの時点のデータまで復旧するか	前日終業時点のデータ
MTPD（最大許容停止時間）	業務停止が許容される最大時間	受注業務: 72時間

ステップ4：対策の策定（1〜2日）

リスク	事前対策	発生時対策
ランサムウェア	バックアップ3-2-1、EDR、MFA	ネットワーク遮断→バックアップ復旧
地震	耐震固定、クラウド移行、安否確認システム	安否確認→代替拠点で業務再開
停電	UPS、クラウドバックアップ	バッテリー駆動→リモートワーク切替
システム障害	冗長化、定期バックアップ	バックアップからの復旧
属人化	業務マニュアル、クロストレーニング	代替要員による業務継続

ステップ5：文書化と訓練（1日 + 継続）

BCPの文書構成：

1. 基本方針（A4 1枚）— 経営者メッセージ、適用範囲
2. 重要業務一覧と復旧優先順位（A4 1枚）
3. 緊急連絡網（A4 1枚）— 社内、取引先、外部機関
4. リスク別対応手順（各A4 1〜2枚）
5. IT復旧手順（A4 2〜3枚）— バックアップ復旧、代替環境

訓練： 年1回、簡易訓練を実施（例：「サーバーがランサムウェアに感染した」シナリオで、連絡網の確認→バックアップ復旧手順の確認を30分で実施）

---

---

IT-BCP（サイバー攻撃対応）の重要性

2026年のBCPで最も重要なのが IT-BCP（サイバー攻撃を想定した事業継続計画）だ。

従来のBCP	IT-BCP
自然災害が主な想定	サイバー攻撃が主な想定
物理的な代替拠点	データ復旧とシステム復旧
復旧は数日〜数週間	復旧目標: 24時間以内
年1回の訓練	四半期ごとのバックアップ復旧テスト

IT-BCPに必要な要素

• バックアップ3-2-1ルール（オフサイト必須）
• インシデント対応手順書
• 外部セキュリティ専門家の連絡先
• サイバー保険の加入
• 従業員向けセキュリティ研修

---

補助金でBCP策定コストを抑える

補助金	対象	補助率
ものづくり補助金	BCP策定が加点項目	1/2〜2/3
小規模事業者持続化補助金	事業継続力強化が加点	2/3
デジタル化・AI導入補助金2026	IT-BCP関連のセキュリティツール	1/2〜4/5

事業継続力強化計画の認定 を受けると、補助金の加点だけでなく、金融支援（低利融資）や税制優遇も受けられる。

---

まとめ

項目	ポイント
BCP策定率	中小企業の17.4%（大半が未策定）
最大の脅威	ランサムウェア（平均23日の業務停止）
策定にかかる時間	最短5日間
最優先	IT-BCP（サイバー攻撃対応）
補助金	策定が加点項目（ものづくり、持続化）

BCPは「作って終わり」ではない。年1回の訓練と更新を継続することで、実際の緊急時に機能する。

---

GXO実務追記: システム開発・DX投資で発注前に確認すべきこと

この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。

まず決めるべき3つの論点

論点	確認する内容	未整理のまま進めた場合のリスク
目的	売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか	成果指標が曖昧になり、PoCや開発が終わっても投資判断できない
範囲	対象部署、対象業務、対象データ、対象システムをどこまで含めるか	見積もりが膨らむ、または重要な連携が後から漏れる
体制	自社責任者、現場担当、ベンダー、保守運用者をどう置くか	要件確認が遅れ、納期遅延や品質低下につながる

費用・期間・体制の目安

フェーズ	期間目安	主な成果物	GXOが見るポイント
事前診断	1〜2週間	課題整理、現行確認、投資判断メモ	目的と範囲が商談前に整理されているか
要件定義 / 設計	3〜6週間	要件一覧、RFP、概算見積、ロードマップ	見積比較できる粒度になっているか
PoC / MVP	1〜3ヶ月	検証環境、効果測定、リスク評価	本番化判断に必要な数値が取れるか
本番導入	3〜6ヶ月	本番環境、運用設計、教育、改善計画	導入後の運用責任と改善サイクルがあるか

発注前チェックリスト

• [ ] 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
• [ ] 必須要件、将来要件、今回はやらない要件を分けたか
• [ ] 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
• [ ] ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
• [ ] 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
• [ ] リリース後3ヶ月の改善運用と責任分界を決めたか

参考にすべき一次情報・公的情報

• 経済産業省 DX政策
• IPA DX関連情報
• デジタル庁 標準ガイドライン群
• OWASP Top 10

上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。

GXOに相談するタイミング

次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。

• 見積もり依頼前に、要件やRFPの粒度を整えたい
• 既存ベンダーの提案が妥当か第三者視点で確認したい
• 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
• 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
• PoCや診断で終わらせず、本番導入と運用改善まで進めたい