中小企業の事業継続力強化計画策定支援

序論

近年、中小企業を取り巻く経営環境は、自然災害や感染症、地政学リスク、サイバー攻撃といった多様かつ深刻なリスクに直面している。このような状況を踏まえ、中小企業庁は2019年に「事業継続力強化計画（以下、ジギョケイ）」制度を創設し、中小企業が平常時からの備えを通じて、中小企業の事業継続力向上を促してきた。制度開始から5年が経過し、2024年度末時点で認定事業者数は、約18万件に達したが、約350万の中小企業・小規模事業者の1割弱にとどまっている。さらに普及率は、業種や地域によって偏りが見られ、製造業や建設業には比較的普及しているが、サービス業や小売業では低いことが指摘されている。ジギョケイは単なる災害対策ではなく、計画策定を通じて業務フローの見直しや情報管理体制の改善につながる「経営改善の契機」としての役割を持つ。この制度の意義を中小企業に広く理解してもらうことが、普及率向上のカギとなる。

このため中小企業庁は、2025年3月に「中小企業事業継続力強化計画制度研究会取りまとめ」を公表し、今後の方向性として「認定事業者拡大に向けた取組」を重視している。

本論文では、まず中小企業が取り組むべき課題を整理し、次に診断士が果たすべき役割を論じ、最後に実行施策の具体例を提示したうえで結論を導く。

1. 中小企業が取り組むべき課題

1.1 リスク認識の不足と形骸化

多くの中小企業は日常業務に追われ、災害やサイバー攻撃といったリスクを自社の経営課題として十分に認識できていない。経営者は頭の中ではリスクを意識しているものの、目の前の利益に直結しないリスクに対する備えは、優先度を下げる傾向が強い。その結果、ジギョケイは「補助金を得るための書類」として扱われ、形骸化に陥る恐れがある。

つまり課題は、災害やサイバー攻撃といったリスクも「自社の存続に直結する要素」として捉え、経営計画と一体化させることである。実際に2024年の能登半島地震では、準備を整えていた企業が比較的早期に復旧できた一方、備えを欠いた企業は長期間売上が途絶えるなど、経営に深刻な影響を受けた。こうした事例は「リスク認識の不足」が企業の存続に直結することを如実に示している。

1.2 計画策定スキルと情報不足

小規模な企業では、計画策定に必要な知識やノウハウを持つ人材が不足している。特に災害対応や情報セキュリティに関しては専門性が高く、中小企業が単独で取り組むのは難しい。

ここでの課題は、信頼できる外部支援機関からの適切なアドバイス、事例やノウハウを共有し、計画策定を容易にすることである。

1.3 実行性と継続性の欠如

策定した計画が従業員に浸透せず、訓練や見直しが行われないまま形だけ残るケースが多い。特に、デジタル技術やクラウド活用の普及に伴い、サイバー攻撃は日々進化しており、単発的な対策では十分ではない。そのため、最新情報を収集して、継続的な見直しと改善が不可欠であるものの、対応は後手に回っている。

課題は、実行性を高める運用体制と、定期的な見直しサイクルの構築である。特にサイバー攻撃は進化が早く、昨日まで有効だった対策が今日には陳腐化していることも少なくない。従って、診断士は「一度作って終わりの計画」ではなく、経営改善活動の一環として定期的に更新する仕組みづくりを支援する必要がある。

1.4 資源制約とコスト負担

中小企業は人員や資金に制約があるため、防災設備や情報セキュリティ投資に消極的となり、後回しにされがちである。

課題は、限られたリソースの中で優先順位を明確化し、小規模でも効果的な施策を選択することである。

2. 中小企業診断士が果たすべき役割

2.1 リスク認識の「警鐘者」

診断士は、災害やサイバー攻撃といった抽象的なリスクを、経営への影響に具体的に落とし込んで伝える「警鐘を鳴らす役割」として機能する。例えば、「サーバ障害＝売上停止による数百万円の損失」といった具体的数値で示すことで、経営者に危機感を持たせる。

2.2 計画策定の「伴走者」

診断士は、ジギョケイ策定を単なる申請書作成にとどめず、経営戦略やIT活用と一体化させる役割を担う。業務フローや情報システムの脆弱性を分析し、災害・サイバー双方のリスクに対応した現実的な計画に落とし込む。さらに、診断士は経営者が自ら意思決定できるよう、専門用語をかみ砕いて説明し、対話を通じて理解を深める工夫が求められる。

2.3 実行・訓練の「推進者」

計画は策定して終わりではなく、従業員への教育や訓練を通じて実効性を高める必要がある。診断士は、防災訓練やサイバー演習の実施支援、チェックリストの提供など、現場で実行可能な形に整える。

2.4 外部資源との「連携促進者」

診断士は、金融機関、ITベンダー、商工会議所、地域支援機関など外部リソースと企業をつなぐ役割を担う。周囲を巻き込むことにより、中小企業単独では困難な投資や取り組みを実現可能にする。

3. 実行施策の具体例

3.1 分かりやすい評価指標の導入

ジギョケイを単なる認定制度ではなく、企業の「経営指標」の一部と位置づけ、誰にでもわかりやすい評価指標（例：復旧目標時間、データバックアップ率など）を設定する。診断士はその進捗を定期的にモニタリングし、改善提案を行う。

3.2 デジタル技術の活用

クラウドバックアップ、リモートワーク環境整備、セキュリティログの可視化など、ITの知見を活かし、低コストで実効性のある施策を提案する。SE経験を持つ診断士が強みを発揮できる領域である。

3.3 従業員参加型のワークショップ

経営者だけでなく従業員全員が参加する形で、リスクマップ作成や避難訓練を行い、計画を一方的に押し付けるのではなく、従業員が主体的に取り組む「現場のもの」として浸透させる。診断士は、経営者と従業員の意見を仲介するファシリテーターとして参加を促進する。実際に避難経路を歩く、シナリオ形式でサイバー攻撃を疑似体験するなどの演習を組み込めば、マニュアルでは気づけない課題が浮き彫りになり、従業員の主体的な参加を引き出せる。

3.4 金融支援制度との連動

ジギョケイ認定は、信用保証や補助金申請の加点対象となる。加えて、取引先に対して「リスク対応力を備えた企業」であることを示すことができる。これは新規取引開拓や融資条件の改善にも寄与し、制度活用の動機付けとなる。診断士は、制度を経営改善計画や資金調達と組み合わせて提示することで、経営者にメリットを実感させる。経営者のリスクに対する意識を変え、事業継続力を高めることへの優先度を引き上げることが、診断士の重要な役割となる。診断士には、中小企業の経営者を納得させる説得力が求められる。

結論

ジギョケイ制度は、創設から5年を経て、制度としての意義は広く認知されつつあるが、依然として中小企業の現場では形骸化や実効性不足が課題となっている。中小企業は、リスク認識の深化、計画策定能力の向上、実行体制の確立、資源制約への対応といった課題に取り組む必要がある。

その過程で中小企業診断士は、リスクを経営課題として警鐘を鳴らし、策定から実行まで伴走し、外部リソースを結びつける役割を果たすべきである。特にITやセキュリティに強みを持つ診断士は、デジタル時代の新たなリスクに対して、中小企業の規模に応じた実効的な解決策を提供できる存在となる。

今後は、制度を単なる認定にとどめず、経営戦略と一体化させた「持続可能な経営基盤づくり」として普及させることが求められる。その推進力となるのは、現場を熟知し、専門性を備えた中小企業診断士である。加えて、ジギョケイの取り組みは地域経済全体の強靭化にもつながる。中小企業が早期に復旧できれば雇用や住民生活が守られ、地域社会の持続性が高まる。診断士は個別企業の支援者であると同時に、地域経済の強靭化に寄与する役割も担う。

<参考文献>