Executive Summary

• サイバーはITの問題ではありません
• 事業停止の問題として見るべきです
• 小規模事業者も例外ではありません
• 委託先や取引先経由でも起こります
• 経営の判断軸に入れる必要があります

サイバーリスクという言葉を聞くと、「専門家の話」「うちは狙われない」と感じる方も少なくありません。ですが、経営の現場で本当に問われるのは、攻撃の高度さではなく、業務が止まるかどうかです。本稿では、なぜサイバーリスクをBCMに組み込むべきなのかを、介護事業者や中小企業の実務に引き寄せて整理します。

本文

サイバーリスクは、単なるパソコントラブルではありません。
記録が見られない、連絡ができない、請求ができない、業務システムが止まる。こうした状態は、そのまま事業停止リスクです。

経済産業省のサイバーセキュリティ経営ガイドラインは、サイバー対策を現場任せにせず、経営者の責任として捉えるよう示しています。つまり、「詳しい人に任せておけばよい」ではなく、「自社の事業継続にどう響くか」を経営として判断することが求められています。

中小企業や小規模事業者が無関係ではない理由は3つあります。
ひとつ目は、防御が薄いところほど狙われやすいこと。
ふたつ目は、取引先や委託先経由で影響を受けること。
みっつ目は、少人数運営ほど一度止まると立て直しが難しいことです。IPAの中小企業向けガイドラインも、最近の実態や攻撃状況を踏まえて改訂されており、小規模な事業者でも基本対策を進める必要があることが分かります。

介護事業者では、影響はさらに現場的です。
利用者情報、ケア記録、連絡網、勤怠、シフト、請求データなどが使えなくなると、職員は紙や電話での代替に追われます。すると、事故防止、見守り、記録の正確性、請求の遅れまで連鎖しやすくなります。医療分野では、厚生労働省がサイバー攻撃を受けた場合の報告や対応を明示し、サイバー攻撃を想定したBCP策定の確認表まで示しています。介護事業者向けにそのまま同じ義務があるとは言えませんが、少なくとも「人の安全に関わるサービスはサイバー停止も継続課題である」という流れは明確です。

経営者が持つべき最低限の考え方は、難しくありません。
「うちは狙われるか」ではなく、
「もし明日、記録と連絡手段が止まったら何時間持つか」と考えることです。
この問いに答えられないなら、サイバーリスクはすでにBCM上の空白です。

まとめ

• サイバーは事業停止リスクです
• 経営者が判断すべきテーマです
• 中小企業も例外ではありません
• 介護では現場業務に直結します
• BCMに組み込んで考える必要があります

次の一手
「記録」「連絡」「請求」が止まった場合の代替手段を、それぞれ1つずつ決めてください。

FAQ

Q1. セキュリティソフトを入れていれば十分ですか？

十分ではありません。機器対策だけでなく、連絡、代替運用、復旧優先順位まで必要です。

Q2. 外部業者に任せているので安心では？

一部は任せられても、最終的に事業を続ける責任は自社にあります。委託先停止も含めて考える必要があります。

Q3. 介護事業者でもサイバーをそこまで重く見た方がよいですか？

はい。利用者対応や記録、請求に直結するため、実務への影響が大きいからです。