6月末から7月に入ると、夏季休暇やお盆休みに向けた予定を考え始める会社も多いと思います。
長期休暇前に確認したいことは、パソコンの電源やバックアップだけではありません。
中小企業では、次のようなことが起きやすくなります。
- 経営者や管理者が不在で、判断が止まる
- 経理担当者が休暇中で、支払承認ができない
- ITベンダーや保守会社も休業している
- 不審メールや障害通知に気づくのが遅れる
- 顧客からの急ぎの連絡が担当者個人のメールで止まる
- 自動返信メールに、必要以上の情報を書いてしまう
- 休暇明けに大量のメールを急いで開いてしまう
IPAは、長期休暇の時期はシステム管理者が長期間不在になるなど、通常とは異なる状況になりやすく、インシデント発生時の対応遅れが業務継続に影響する可能性があると注意喚起しています。
つまり、長期休暇前の準備は、単なる「休み前チェック」ではありません。
人がいない期間に、誰が判断し、誰に連絡し、どの業務だけは止めないかを決めることが重要です。
この記事では、中小企業や小規模事業者が夏季休暇前に確認したい、業務継続と情報セキュリティの実務ポイントを整理します。
1. まず「休暇中に止めてよい業務」と「止めてはいけない業務」を分ける
最初に決めたいのは、休暇中の業務の優先順位です。
すべての業務を通常どおり動かそうとすると、かえって担当者が分散し、確認漏れが起きやすくなります。
まずは、次のように分けてみましょう。
| 区分 | 例 |
|---|---|
| 完全に止めてよい業務 | 通常営業、定例会議、社内資料作成、急ぎでない見積作成 |
| 最低限だけ対応する業務 | 顧客からの緊急連絡、障害連絡、重要取引先対応 |
| 止めると困る業務 | 支払期限のある振込、給与、システム障害対応、予約・出荷の一部 |
| 事前に済ませる業務 | 請求書発行、支払予約、バックアップ確認、連絡先更新 |
| 休暇明けに確認する業務 | メール確認、アップデート、ログ確認、持ち出し端末の確認 |
ここで重要なのは、
「誰が休むか」ではなく「どの業務を止められないか」
から考えることです。
たとえば、経理担当者が休みでも支払期限は来ます。IT担当者が休みでもクラウドサービスの障害通知は届きます。代表者が不在でも、顧客からの緊急連絡が入ることがあります。
夏季休暇前には、少なくとも次の3つを決めておきましょう。
- 休暇中に対応する業務
- 休暇明けまで待てる業務
- 判断が必要なときの代行者
2. 不在時の承認ルートを決める
長期休暇中に混乱しやすいのが、承認です。
特に、次のような承認は事前に整理しておく必要があります。
- 支払承認
- 振込先変更の確認
- 請求書の再発行
- 契約書・発注書の確認
- 顧客への回答
- クラウドサービスの設定変更
- アカウント追加・停止
- 緊急購入や修理依頼
- 障害時の業務停止判断
避けたいのは、
「担当者が休みなので分かりません」
「代表者に連絡がつかないので判断できません」
「急ぎだったので一人で承認しました」
という状態です。
不在時承認では、次の項目を決めておきましょう。
| 項目 | 決める内容 |
|---|---|
| 通常承認者 | 普段の承認者 |
| 代行承認者 | 休暇中に代わりに判断する人 |
| 承認できる範囲 | 金額、契約、支払、顧客対応など |
| 承認できない範囲 | 高額支払、振込先変更、新規契約など |
| 確認方法 | 電話、チャット、メール、ワークフロー |
| 記録方法 | 承認ログ、メール、台帳、議事メモ |
| 事後確認 | 休暇明けに誰が確認するか |
代行承認者を決めるときは、単に「代理で見てください」では不十分です。
何を承認してよいか、何は承認してはいけないかまで決める必要があります。
3. 支払処理は「急ぎ」と「振込先変更」に注意する
休暇前後は、支払処理にも注意が必要です。
特に危険なのは、次のような依頼です。
- 「本日中に振り込んでください」
- 「代表者から急ぎで支払うよう指示がありました」
- 「今回から振込先が変わりました」
- 「請求書を差し替えました」
- 「担当者が休暇中なので、こちらの口座へお願いします」
- 「休暇前に処理しないと納品が止まります」
これらがすべて不正とは限りません。
しかし、ビジネスメール詐欺、いわゆるBECでは、取引先や自社の経営者層になりすまし、振込先口座の変更を指示して金銭をだまし取る手口が確認されています。大阪府警察本部の注意喚起でも、振込先変更はメール以外の方法、たとえば電話等で確認することが対策として示されています。
警察庁も、ビジネスメール詐欺への基本対策として、OSやソフトウェアを最新状態に保つこと、ID・パスワードの適切な管理、ウイルス対策ソフト等の導入、電子署名等の活用を挙げています。
休暇前後の支払処理では、次のルールを決めておきましょう。
- 振込先変更は、メールだけで承認しない
- メール本文に書かれた電話番号ではなく、既存の連絡先で確認する
- 高額支払、新規取引先、急な支払は二人以上で確認する
- 休暇前に支払予定表を作成する
- 休暇中に処理してよい支払と、休暇明けに回す支払を分ける
- 経営者や経理責任者の不在時に、誰が代行承認できるか決める
- 承認の記録を残す
- 少しでも違和感がある場合は、送金前に止める
特に中小企業では、経理担当者が一人で支払処理をしていることがあります。
休暇前は、**「急ぎだから例外で処理する」**をなくすことが重要です。
4. 緊急連絡先一覧を紙またはオフラインでも用意する
休暇中に障害や不審な事象が起きた場合、クラウド上の連絡先にアクセスできないことがあります。
そのため、最低限の緊急連絡先は、紙またはオフラインでも確認できるようにしておくと安心です。
JPCERT/CCは、長期休暇前の対応として、インシデント発生時の緊急連絡網が整備・周知されていることの確認、必要最低限の機器稼働、重要データのバックアップ、最新修正プログラムの適用確認などを挙げています。
緊急連絡先一覧には、次のような情報をまとめます。
| 分類 | 連絡先例 |
|---|---|
| 社内 | 経営者、総務、経理、情報管理担当、代行承認者 |
| IT | ITベンダー、PC保守会社、ネットワーク保守会社 |
| 通信 | インターネット回線事業者、携帯会社 |
| クラウド | Microsoft 365、Google Workspace、会計ソフト、業務システム |
| 金融 | 取引金融機関、オンラインバンキング窓口 |
| 法務・労務 | 顧問税理士、社労士、弁護士 |
| 顧客対応 | 主要取引先、緊急対応が必要な顧客 |
| 公的相談 | 警察の相談窓口、JPCERT/CC、IPA安心相談窓口など |
ただし、連絡先一覧には個人情報や重要な契約情報が含まれます。
そのため、次の点も決めておきましょう。
- 誰が閲覧できるか
- どこに保管するか
- 休暇前に誰が更新するか
- 古い連絡先を残さない
- 不要なコピーを作らない
- 紙で保管する場合は施錠できる場所に置く
- 休暇明けに変更点を反映する
緊急連絡先一覧は、作ることよりも、最新で使える状態にしておくことが大切です。
5. 自動返信メールには書きすぎない
夏季休暇中に、自動返信メールを設定する会社もあります。
自動返信は便利ですが、書き方によっては、攻撃者に有用な情報を与えてしまう可能性があります。
NHS England Digitalは、不在通知メールについて、送信先が業務関係者だけでなく、フィッシングメールを送った攻撃者にも返る可能性があるため、必要最小限の情報にとどめること、社内向けと社外向けで返信内容を分けること、休暇前に必要な相手へ事前共有しておくことを助言しています。
避けたい自動返信の例は、次のようなものです。
8月10日から8月18日まで家族旅行で不在です。
経理承認は山田部長、システム障害は佐藤、請求書は田中まで直接連絡してください。
緊急時は私の携帯電話090-XXXX-XXXXまでお願いします。
この文面では、次の情報を外部に伝えてしまいます。
- 会社が休暇体制であること
- 担当者が長期間不在であること
- 担当者の役割分担
- 個人名、役職、連絡先
- 経理やシステムの承認者
社外向けには、次のように簡潔にする方が安全です。
お問い合わせありがとうございます。
現在、夏季休業期間中のため、通常より返信にお時間をいただく場合があります。
お急ぎの場合は、会社代表窓口または担当部署の共通メールアドレスまでご連絡ください。
休業明けより順次対応いたします。
ポイントは、次のとおりです。
- 旅行先や詳細な不在理由を書かない
- 個人携帯番号を安易に載せない
- 役職や承認権限を詳しく書かない
- 社外向けには共通窓口を案内する
- 社内向けと社外向けで文面を分ける
- 経理、契約、障害対応など重要業務の詳細を外部返信に書かない
自動返信は、顧客対応のために必要な場合があります。
ただし、外部に伝えるべき情報と、社内だけで共有すべき情報を分けることが重要です。
6. メール転送と共有メールボックスのルールを決める
担当者が休暇に入ると、顧客メールや請求書メールが個人メールボックスで止まることがあります。
このとき、安易に私物メールや個人クラウドへ転送するのは避けるべきです。
確認したい項目は次のとおりです。
- 顧客からの緊急連絡は個人宛ではなく共通窓口でも受けられるか
- 請求書メールを複数人で確認できるか
- 個人メールボックスを誰が代理確認できるか
- 代理確認の範囲を決めているか
- 私物メールへの自動転送を禁止しているか
- メール転送ルールを休暇明けに戻す手順があるか
- 退職者や異動者の転送設定が残っていないか
特に、次の業務は個人に閉じないようにします。
- 請求書受領
- 支払依頼
- 顧客からの障害連絡
- 契約確認
- Webサイトやクラウドサービスのアラート通知
- セキュリティソフトやバックアップのエラー通知
- ECサイトや予約システムの注文通知
休暇前には、担当者個人のメールではなく、必要に応じて共通メールアドレスや共有メールボックスを使うことを検討しましょう。
ただし、共有メールボックスを使う場合も、誰が確認するか、どのメールを処理するか、処理済みをどう記録するかを決める必要があります。
7. 休暇中に稼働させるIT機器を確認する
長期休暇中は、使わない機器の電源を落とすことも選択肢です。
IPAは、長期休暇前の対策として、社内ネットワークへの機器接続ルールの確認、使用しないサーバ等の電源OFF、持ち出し機器やデータの管理などを示しています。
ただし、何でも電源を切ればよいわけではありません。
たとえば、次のような機器は休暇中も稼働が必要な場合があります。
- 予約システム
- ECサイト関連機器
- VPN装置
- 監視カメラ
- NAS
- バックアップ機器
- 業務システム用サーバ
- 決済端末
- 受付・入退室管理システム
一方で、次のような機器は停止できる可能性があります。
- 使わないPC
- 会議室端末
- 予備PC
- 店舗内の一部機器
- テスト用サーバ
- 使っていないネットワーク機器
- 外付けHDD
- 不要なWi-Fiアクセスポイント
確認したい項目は次のとおりです。
- 休暇中に稼働が必要な機器は何か
- 停止してよい機器は何か
- 停止手順と起動手順を誰が知っているか
- UPSや電源タップに問題はないか
- 休暇中にバックアップは実行されるか
- アラート通知は誰に届くか
- ITベンダーの休業期間はいつか
- 障害時に誰が現地対応できるか
長期休暇前は、機器の棚卸しにもよいタイミングです。
「何が動いていて、誰が見ているか」を確認しておきましょう。
8. 持ち出し端末・社用スマホのルールを確認する
夏季休暇中に、社用PCや社用スマホを持ち帰る社員がいる場合は、持ち出しルールを確認します。
IPAは、長期休暇に社外で対応が必要となる場合、パソコン等の機器やデータの持ち出しルールを事前に確認し遵守すること、持ち出した機器やデータを厳重に管理することを示しています。
確認したい項目は次のとおりです。
- 持ち出してよい端末を決めているか
- 持ち出し申請や記録を残しているか
- 端末ロックを設定しているか
- ディスク暗号化を確認しているか
- 紛失時の連絡先を周知しているか
- 私物USBや私物クラウドへの保存を禁止しているか
- 家族共用端末で業務をしないよう周知しているか
- 公共Wi-Fi利用時のルールを決めているか
- 休暇明けにウイルスチェックを行うか
- 休暇中に認証アプリを入れたスマホを機種変更しないよう注意しているか
休暇中は、普段と違う場所で業務をすることがあります。
そのため、社内で当たり前に守られていることが、自宅や外出先では崩れやすくなります。
持ち出し端末は、休暇前に「持ち出すかどうか」だけでなく、紛失時に何をするかまで確認しておきましょう。
9. 休暇明けのメール確認は急がない
休暇明けには、多くのメールが溜まっています。
このとき、急いで添付ファイルを開いたり、本文中のURLをクリックしたりすると、不審メールを見落とす可能性があります。
IPAは、長期休暇明けには、修正プログラムの適用、ウイルス対策ソフトの定義ファイル更新、持ち出し機器のウイルスチェック、不審メールへの注意を挙げています。特に、休暇明けはメールが溜まっていることが想定されるため、添付ファイルを開かず、本文中のURLにアクセスせず、システム管理者へ報告するよう案内しています。
JPCERT/CCも、休暇明けに持ち出しPCを社内ネットワークへ接続する前の確認、ウイルスチェック、休暇中に公開された修正プログラムの適用、休暇中に受信したメールの添付ファイルやリンクへの注意を示しています。
休暇明けのメール確認では、次のルールを周知しておきましょう。
- いきなり添付ファイルを開かない
- 請求書、配送通知、パスワード変更、アカウント停止通知に注意する
- 「至急」「本日中」「休暇中に対応済み」などの文面を鵜呑みにしない
- URLはクリック前に差出人・文脈を確認する
- 振込先変更や支払依頼はメールだけで判断しない
- 不審なメールは削除せず、社内窓口へ報告する
- 大量のメールは優先順位をつけて確認する
- 休暇明け初日は、更新と確認の時間を確保する
休暇明けは忙しい日です。
だからこそ、メールを急いで処理しないルールが必要です。
10. 休暇明けにログとバックアップを確認する
休暇中は、通常よりも監視や確認が手薄になることがあります。
そのため、休暇明けには、メールだけでなく、ログやバックアップも確認しましょう。
IPAは、長期休暇明けの組織向け対策として、サーバ等の機器に不審なアクセスが発生していないか各種ログを確認し、不審なログがあれば早急に詳細調査等を行うことを示しています。
中小企業で確認したい項目は次のとおりです。
- バックアップは休暇中も正常に完了していたか
- バックアップエラー通知はなかったか
- クラウドサービスの不審ログイン通知はないか
- 管理者アカウントで不審な操作はないか
- VPNやリモート接続のログに不審なアクセスはないか
- Webサイトの改ざんや不審ファイルはないか
- セキュリティソフトやEDRの警告はないか
- NASやサーバの容量異常、暗号化ファイル、削除ログはないか
- アカウントロックや大量ログイン失敗はないか
すべてを自社で詳細分析する必要はありません。
ただし、
「休暇中に何か起きていないかを確認する時間」
を休暇明けの予定に入れておくことが重要です。
11. 休暇前の30分確認会を行う
夏季休暇前には、30分だけでも確認会を行うことをおすすめします。
参加者は、経営者、総務、経理、兼任IT担当、必要に応じて営業責任者や店舗責任者です。
確認する項目は、次の程度で十分です。
| 確認項目 | 内容 |
|---|---|
| 休業期間 | 会社全体、部署別、店舗別の休業日 |
| 緊急連絡 | 誰に、どの方法で連絡するか |
| 代行承認 | 支払、契約、顧客対応、障害対応 |
| 支払予定 | 休暇前に処理するもの、休暇明けに回すもの |
| 振込先変更 | 休暇中は原則処理しない、処理する場合は二者確認 |
| メール | 共通窓口、代理確認、自動返信文面 |
| IT機器 | 稼働機器、停止機器、アラート通知先 |
| 持ち出し | 社用PC、スマホ、USB、紙資料 |
| バックアップ | 直近の完了確認、休暇中の実行予定 |
| 休暇明け | 更新、ウイルスチェック、ログ確認、不審メール注意 |
この確認会の目的は、完璧なBCPを作ることではありません。
目的は、
休暇中に判断が止まらないようにすること
担当者一人に依存しないこと
支払や不審メールで慌てないこと
です。
12. 自動返信メールの文例
社外向けの自動返信は、必要最小限にしましょう。
社外向け文例
お問い合わせありがとうございます。
現在、夏季休業期間中のため、通常より返信にお時間をいただく場合があります。
お急ぎの場合は、当社代表窓口または担当部署の共通メールアドレスまでご連絡ください。
休業明けより順次対応いたします。
社内向け文例
夏季休暇中のため、返信が遅れる場合があります。
緊急対応が必要な場合は、社内連絡表の手順に従い、代行担当者または管理者へ連絡してください。
支払、振込先変更、契約、システム障害については、所定の承認ルートで確認してください。
社外向けには、個人名、役職、旅行先、詳細な不在期間、個人携帯番号、経理承認者、システム管理者の情報を必要以上に載せないようにします。
13. 支払処理ルールの例
休暇前後の支払処理では、次のようなルールを明文化しておくと実務で使いやすくなります。
休暇前に処理するもの
- 期限が明確な通常支払
- 給与、税金、社会保険料
- 毎月の固定費
- 事前に請求書と支払先が確認済みのもの
休暇中は原則処理しないもの
- 新規取引先への支払
- 振込先変更を伴う支払
- 高額な臨時支払
- メールだけで依頼された支払
- 代表者や取引先を名乗る急な送金依頼
例外的に処理する場合の条件
- 既存の連絡先で電話確認する
- 二人以上で確認する
- 承認者と実行者を分ける
- 記録を残す
- 少しでも違和感があれば休暇明けに回す
「急ぎ」と「振込先変更」が組み合わさった場合は、特に慎重に扱うべきです。
夏季休暇前チェックリスト
最後に、中小企業向けの確認項目をまとめます。
- 休暇中に止めてよい業務と止めてはいけない業務を分けている
- 支払、契約、顧客対応、障害対応の代行承認者を決めている
- 代行承認者が承認できる範囲を明確にしている
- 高額支払や振込先変更は二人以上で確認するルールがある
- 振込先変更はメールだけで承認しない
- 支払予定表を休暇前に作成している
- 緊急連絡先一覧を紙またはオフラインでも確認できる
- ITベンダー、回線事業者、クラウド事業者の休業期間を確認している
- 自動返信メールに不要な個人情報や役割情報を書かない
- 社外向けと社内向けの自動返信を分けている
- 顧客連絡や請求書メールが個人メールで止まらないようにしている
- 私物メールへの自動転送をしていない
- 休暇中に稼働させるIT機器を確認している
- 使わない機器の電源OFFを検討している
- バックアップが正常に取れているか確認している
- 社用PC、スマホ、USB、紙資料の持ち出しルールを確認している
- 紛失時の連絡先を従業員に周知している
- 休暇明けに修正プログラム、定義ファイル、ウイルスチェックを行う
- 休暇明けに不審メールを急いで開かないよう周知している
- 休暇中のログ、バックアップ、アラートを休暇明けに確認する
すべてを一度に整える必要はありません。
まずは、支払処理、緊急連絡、自動返信、休暇明けメール確認の4つから決めてみましょう。
まとめ
夏季休暇前の準備は、単に「パソコンの電源を切る」「自動返信を入れる」だけではありません。
中小企業で特に重要なのは、次の5点です。
- 休暇中に止めてよい業務と止めてはいけない業務を分ける
- 不在時の承認者と代行範囲を決める
- 支払処理、特に振込先変更と急な送金依頼を慎重に扱う
- 緊急連絡先と自動返信メールを見直す
- 休暇明けにメール、アップデート、ログ、バックアップを確認する
長期休暇中は、普段より人が少なく、判断が遅れやすい期間です。
だからこそ、休暇に入る前に、誰が判断し、誰に連絡し、どの業務だけは止めないかを決めておくことが重要です。
ライトハウスコンサルタントでは、福岡・九州の中小企業、個人事業主、小規模事業者を対象に、情報セキュリティの現状診断を行っています。同診断では、アカウント管理、メール・請求書対応、バックアップ、インシデント対応体制、業務停止時の代替手段、ITベンダーへの確認事項なども確認項目に含まれています。
夏季休暇前に自社の連絡体制や支払処理、バックアップ、休暇明け対応に不安がある場合は、まずは「休暇中に誰が何を判断するか」を整理するところから始めてみてください。
