士業事務所にBCP(事業継続計画)が不可欠な理由
結論から言えば、士業事務所のBCP対策は「書類・データの保全」と「業務復旧手順の明文化」の2本柱で構成するのが合理的です。地震・水害などの自然災害だけでなく、ランサムウェアをはじめとするサイバー攻撃も現実的な脅威となった現在、「うちは小さい事務所だから大丈夫」という認識はもはや通用しません。
帝国データバンクが2024年5月に実施した調査によれば、BCP(事業継続計画)を策定済みの企業は全体の19.8%にとどまります。中小企業に限ると16.5%とさらに低く、4割超の企業がBCPを策定していない状況です(帝国データバンク「事業継続計画(BCP)に対する企業の意識調査」2024年)。士業事務所は顧客の個人情報・財務データ・契約書を預かる立場にあり、業務停止が期限徒過や守秘義務違反に直結するにもかかわらず、事前の備えが十分とは言い難い実態が浮かび上がります。
この記事の内容: BCP策定の5ステップ / 自然災害・サイバー攻撃それぞれの対策 / 書類・データのバックアップ方針 / 中小企業庁「事業継続力強化計画」の活用法 / 書類のクラウド保管による事業継続性の向上
BCP(事業継続計画)とは — 士業事務所が押さえるべき基本
BCP(Business Continuity Plan:事業継続計画)とは、自然災害・サイバー攻撃・感染症などの緊急事態が発生した際に、事業資産の損害を最小限に抑えつつ、中核業務の継続または早期復旧を図るための計画です。中小企業庁は「中小企業BCP策定運用指針」を公表し、業種・規模を問わず策定を推奨しています。
一般企業のBCPは製造ラインや物流の復旧が中心になりますが、士業事務所の場合は「情報資産の保全」と「対外的な期限管理」に重点が置かれます。具体的には、顧問先から預かった書類の保管状況、申告・登記・届出等の期限管理台帳、顧客との連絡手段の確保——これらが断絶すると、業務再開が著しく困難になるためです。
BCPと混同されがちな概念に「防災計画」がありますが、両者は性質が異なります。防災計画は人命保護と物的被害の軽減が主眼であるのに対し、BCPは被災後に「どの業務を」「どの順序で」「いつまでに」復旧させるかを定めた事業視点の計画です。防災計画が「守り」だとすれば、BCPは「復旧と継続」を目的とした攻めの備えともいえます。
| 項目 | 防災計画 | BCP(事業継続計画) |
|---|---|---|
| 目的 | 人命保護・物的被害の軽減 | 中核業務の継続・早期復旧 |
| 対象リスク | 自然災害が中心 | 災害・サイバー攻撃・感染症等の全般 |
| 中心テーマ | 避難経路・備蓄・安否確認 | 復旧優先業務・目標復旧時間・代替手段 |
| 時間軸 | 発災直後~数日 | 発災直後~業務正常化まで(数週間~数ヶ月) |
士業事務所を取り巻くリスクの現状 — 統計データから読み解く
BCPの必要性を理解するには、現実のリスクを定量的に把握する必要があります。自然災害とサイバー攻撃の2軸で最新の統計を確認しましょう。
自然災害リスク
日本は地震・台風・豪雨による水害が頻発する国です。内閣府「令和5年度 企業の事業継続及び防災の取組に関する実態調査」(令和6年3月公表)によれば、大企業のBCP策定率は76.4%、中堅企業は45.5%と上昇傾向にあります。一方で中小企業の策定は大きく遅れており、帝国データバンクの調査では前述のとおり16.5%にとどまります。策定しない理由として「スキル・ノウハウがない」(41.6%)、「人材を確保できない」(34.3%)、「時間を確保できない」(28.4%)が上位に並び、知識とリソースの不足が障壁になっている構図です。
サイバー攻撃リスク
サイバー攻撃も看過できない脅威です。警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によれば、2024年のランサムウェア被害は222件。このうち中小企業の被害は140件(約63%)を占め、前年の102件から37%増と急増しました。復旧費用が1,000万円以上に達したケースは全体の50%に上り、復旧に1ヶ月以上を要した組織も49%に達しています。
さらに、IPA(情報処理推進機構)の「2024年度中小企業における情報セキュリティ対策に関する実態調査」(2025年2月公表)では、セキュリティ対策に投資していない中小企業が62.6%にのぼります。同調査では、サイバーインシデント被害を受けた中小企業のうち約7割が「取引先にも影響があった」と回答しており、自社だけの問題にとどまらないサプライチェーンリスクが顕在化しています。
| 指標 | 数値 | 出典 |
|---|---|---|
| BCP策定率(全体) | 19.8% | 帝国データバンク 2024年調査 |
| BCP策定率(中小企業) | 16.5% | 帝国データバンク 2024年調査 |
| BCP策定率(大企業) | 76.4% | 内閣府 令和5年度調査 |
| ランサムウェア被害件数(2024年) | 222件 | 警察庁 |
| うち中小企業の被害 | 140件(約63%) | 警察庁 |
| 復旧費用1,000万円以上の割合 | 50% | 警察庁 |
| セキュリティ未投資の中小企業 | 62.6% | IPA 2024年度調査 |
士業事務所はBtoB・BtoCを問わず機密性の高い情報を扱います。顧問先の決算データが流出すれば損害賠償責任のみならず、弁護士法・税理士法・行政書士法等に基づく懲戒処分の対象になり得ます。リスクの規模を考えれば、BCP策定は「コスト」ではなく「事業継続のための保険」と捉えるのが妥当です。
士業事務所のBCP策定 — 実践5ステップ
BCPの策定は、完璧を目指して手が止まるよりも、まず簡易版を作成して段階的に精度を上げるアプローチが現実的です。以下の5ステップは、中小企業庁の「中小企業BCP策定運用指針」をベースに、士業事務所の特性を加味して整理したものです。
中核業務の特定
事務所の収益に直結する業務を洗い出し、復旧優先度を決定します。士業事務所であれば「申告・届出業務」「顧問先対応」「書類の回収・保管」が中核業務にあたることが多いでしょう。すべての業務を同時に復旧させるのは現実的ではないため、「72時間以内に再開すべき業務」「1週間以内に再開すべき業務」と段階を分けて定義します。
リスクの洗い出しと影響度評価
地震・水害・停電・サイバー攻撃・感染症など、自事務所に影響を及ぼし得るリスクを列挙します。ハザードマップで事務所所在地の浸水リスクを確認し、ネットワーク機器やサーバーの脆弱性も棚卸しの対象とします。リスクごとに「発生可能性」と「影響度」を掛け合わせて優先順位を決定してください。
事前対策の計画
リスクの影響を軽減するための平時の取り組みを定めます。データバックアップ(3-2-1ルール)の導入、書類のクラウド保管への移行、安否確認手段の整備、代替オフィスの候補選定などが該当します。データバックアップの具体的な方法については士業事務所のデータバックアップ実践ガイドで詳しく解説しています。
緊急時の対応手順書を作成
災害発生直後の行動を時系列で定めた手順書を作成します。安否確認の連絡先リスト、顧問先への緊急連絡テンプレート、データ復旧手順、外部連絡先(セキュリティベンダー・弁護士・保険会社・警察)を1つの文書にまとめます。この手順書はクラウド上に保管し、事務所が物理的に使えなくなった場合でもアクセスできる状態にしておくことが重要です。
訓練と定期見直し
BCPは策定して終わりではありません。年1回の定期見直しに加え、人員変更・事務所移転・新たな脅威の出現時に随時更新します。内閣府の調査でもBCP策定済み企業の多くが年1回以上の見直しを実施しています。簡単なものでよいので「バックアップからの復旧テスト」「緊急連絡網の発報テスト」を半年に1回実施すると実効性が大きく高まります。
自然災害に備えるBCP対策 — 士業事務所の実務ポイント
地震・台風・豪雨は事務所の物理的な損壊だけでなく、停電や通信障害を通じて業務を長期間停止させる原因になります。士業事務所に特有の観点から、災害対策のポイントを整理します。
書類の物理的消失に備える
紙の書類を大量に保管している事務所にとって、火災・浸水による書類消失は最大の脅威です。顧客から預かった原本が失われれば、再取得に膨大な手間がかかるだけでなく、信頼関係の毀損は避けられません。対策として、受領した紙書類は速やかにスキャンしてデジタルコピーをクラウドに保管する運用が基本です。電子帳簿保存法の要件を満たすスキャナ保存を活用すれば、税務関連書類のデジタル化も法的に有効な形で実現できます。
通信障害・停電時の業務継続
事務所のインターネット回線が途絶した場合でも、スタッフ各自のモバイル回線(テザリング)で最低限のメール送受信やクラウドアクセスが可能な体制を整えておくと安心です。ノートPCのバッテリーで数時間は作業を継続できるため、デスクトップPC中心の事務所はノートPCへの移行も災害対策として有効です。UPS(無停電電源装置)を導入すれば、停電時にNASやルーターを安全にシャットダウンする時間を確保でき、データ破損を防げます。
代替オフィスと分散勤務
事務所が使用不能になった場合の代替勤務先を事前に決めておくことも重要です。コワーキングスペースやレンタルオフィスの候補を2〜3箇所リストアップし、契約条件を確認しておくだけでも初動が大幅に速くなります。業務データがクラウドに保管されていれば、場所を選ばず業務を再開できるため、クラウド移行はBCPの基盤ともいえます。クラウドストレージの選定については士業向けクラウドストレージ比較が参考になります。
サイバー攻撃に備えるBCP対策 — ランサムウェアと情報漏洩への防御
前述のとおり、2024年のランサムウェア被害222件のうち約63%は中小企業が対象です。侵入経路の上位はVPN機器の脆弱性とリモートデスクトップ接続で、コロナ禍以降にリモートワーク環境を整備した事務所は特に注意が必要です。
サイバー攻撃に対するBCPは、「予防」「検知」「対応・復旧」の3フェーズで構成します。予防策だけでは完全に侵入を防ぐことは困難であるため、侵入された場合の対応手順を事前に定めておくことがBCPの本質です。
- ✓予防: VPN機器・ルーターのファームウェアを最新に保つ
警察庁のデータでは、ランサムウェアの侵入経路としてVPN機器の脆弱性が最多(令和6年上半期で47%)です。ファームウェアの自動更新が利用できる機器に更新するか、月次で手動更新するスケジュールを設定してください - ✓予防: 多要素認証(MFA)の導入
クラウドサービスやリモートアクセスには必ず多要素認証を設定します。パスワードのみの認証は不正アクセスの温床となるため、SMS認証や認証アプリを組み合わせてください - ✓予防: アクセス権限の最小化
スタッフ全員に管理者権限を付与するのは危険です。各自が業務に必要な最小限の権限のみを保有し、退職者のアカウントは即時削除する運用を徹底します - ✓検知: ウイルス対策ソフトの常時稼働とログ監視
エンドポイント保護ソフト(EPP/EDR)を導入し、不審な挙動をリアルタイムで検知する体制を構築します。ログの定期的な確認は、侵入の兆候を早期に発見する上で不可欠です - ✓対応・復旧: オフサイトバックアップからの復旧手順
ランサムウェアに感染した場合、ネットワーク上のNASも暗号化されるリスクがあります。クラウドまたはオフラインのバックアップから復旧する手順を文書化し、半年に1回は復旧テストを実施します
サイバー攻撃への具体的な対策チェックリストは士業事務所のサイバーセキュリティチェックリストで体系的にまとめています。BCPと併せて確認してください。
中小企業庁「事業継続力強化計画」を活用する
本格的なBCPの策定に二の足を踏む事務所には、中小企業庁の「事業継続力強化計画」認定制度の活用が有効です。これは中小企業等経営強化法に基づく制度で、防災・減災の事前対策に関する計画を経済産業大臣が認定するものです。従来のBCPが数十ページに及ぶこともあるのに対し、事業継続力強化計画はA4用紙4枚程度のフォーマットで策定できるため、人的リソースが限られた士業事務所でも取り組みやすい設計になっています。
計画の記載内容は、事業概要、ハザードマップ等を活用したリスク確認結果、安否確認等の初動対応手順、ヒト・モノ・カネ・情報を守るための事前対策、計画の実効性確保の取り組み(訓練・見直し等)の5項目です。策定から認定申請まで電子申請が可能で、申請手数料は無料です。
認定を受けるメリット
-
01
低利融資 日本政策金融公庫の低利融資を受けることができる
-
02
信用保証枠の拡大 信用保証協会の通常枠とは別枠での保証が利用可能になる
-
03
補助金の審査加点 ものづくり補助金等の各種補助金で審査時の加点対象となる
-
04
損害保険料の割引 一部の損害保険会社では認定事業者向けの保険料割引が適用される
計画の実施期間は3年以内で、期間満了後に改めて認定を受ける場合は新規申請が必要です。まずは事業継続力強化計画で簡易版BCPを策定し、運用実績を蓄積したうえで本格的なBCPに段階移行する——この2段階アプローチが、リソースの限られた士業事務所にとって最も現実的な進め方です。策定の手引きや申請書フォーマットは中小企業庁の事業継続力強化計画ページからダウンロードできます。
士業事務所のBCP対策に関するよくある質問
BCP(事業継続計画)とは何ですか?
BCP(Business Continuity Plan)とは、自然災害・サイバー攻撃・感染症などの緊急事態が発生した際に、事業資産の損害を最小限に抑えつつ、中核業務の継続または早期復旧を図るための計画です。中小企業庁は「事業継続力強化計画」という簡易版BCPの認定制度を設けており、A4用紙4枚程度で策定できます。
士業事務所にBCPは本当に必要ですか?
必要です。士業事務所は顧客の個人情報・財務データ・契約書を大量に扱う立場にあり、業務停止は申告期限・登記期限の徒過や守秘義務違反といった深刻な問題に直結します。帝国データバンクの2024年調査では中小企業のBCP策定率は16.5%にとどまりますが、サイバー攻撃の中小企業被害が前年比37%増という状況を踏まえると、早急な策定が求められます。
BCP策定にどのくらいの時間がかかりますか?
中小企業庁の事業継続力強化計画であればA4用紙4枚程度のフォーマットで策定でき、数日から1週間程度が目安です。本格的なBCPの場合は1〜3ヶ月を見込む必要がありますが、まずは簡易版から始めて段階的に精度を高める方法が実務的です。
事業継続力強化計画の認定を受けるメリットは?
経済産業大臣の認定を受けると、日本政策金融公庫の低利融資、信用保証協会の保証枠拡大、ものづくり補助金等の審査での加点といった支援措置を受けられます。認定手続き自体に費用はかからず、所管の経済産業局に電子申請が可能です。
サイバー攻撃への備えとしてBCPに何を盛り込むべきですか?
最低限、データバックアップの方針(3-2-1ルール)、ランサムウェア感染時の初動対応手順、外部連絡先リスト(セキュリティベンダー・警察・個人情報保護委員会)、復旧優先順位の4点を盛り込むべきです。VPN機器のファームウェア更新やアクセス権限の棚卸しなど、平時の予防策もBCPの付属文書として整理しておくと有効です。
BCPの見直し頻度はどのくらいが適切ですか?
年1回の定期見直しに加え、事務所の移転・人員変更・新たな脅威の顕在化など環境変化があった時点で随時更新することが推奨されます。内閣府の調査でも、BCPを策定済みの企業の多くが年1回以上の見直しを実施しています。見直しの際は従業員への周知と訓練も併せて行うと実効性が高まります。
Doclyで書類のクラウド保管とBCP対策を両立
ここまで述べてきたとおり、BCPの根幹にあるのは「情報資産をどう守り、どう復旧するか」という問いです。士業事務所において情報資産の中核を占めるのは、顧客から預かった書類にほかなりません。紙の書類を事務所に集約する従来のフローでは、災害時に原本とバックアップが同時に失われるリスクを排除できません。
士業向け書類収集SaaS Docly は、顧客にURLを送付するだけで書類の回収が完結するクラウドベースのサービスです。BCP対策の観点から見ると、Doclyの導入は以下の課題を同時に解決します。
| BCPの課題 | Doclyによる解決 |
|---|---|
| 紙書類が事務所に集中し、災害時に消失するリスク | 書類はクラウドに保管されるため、事務所が物理的に使用不能でもアクセス可能 |
| 書類の回収状況が属人的で、担当者不在時に対応できない | 提出ステータスをチーム全員がリアルタイムで確認でき、属人化を排除 |
| バックアップの対象が散在し、管理コストが高い | 書類がクラウド上に一元管理されるため、バックアップ対象が明確になる |
| リモートワーク時に書類へアクセスできない | インターネット環境があればどこからでもアクセス可能 |
BCPは策定するだけでなく、平時の業務フロー自体を災害耐性の高い構造に変えていくことが理想です。書類のクラウド保管はその第一歩であり、Doclyはそのための具体的な手段を提供します。
※ 本記事の情報は2026年4月時点の内容です。各サービスの最新情報は公式サイトでご確認ください。
※ 本記事は一般的な情報提供を目的としており、特定の製品・サービスを推奨するものではありません。