「付き合い始めてから1年で3回トラブルが起きた」「いつの間にか月額費用が2倍になっていた」「担当者が変わるたびにゼロから説明しなければならない」──中小企業の経営者からIT業者に関するこうした不満を聞く機会は多いです。IT業者との関係は、選定の段階で8割が決まります。面談・見積もり依頼の段階で何を確認するかが、その後3年~5年の運用コストと安心感を左右します。
この記事では、中小企業がIT業者を選ぶ際に実務で使える7つの評価基準と、面談で確認すべき質問リストを体系的にまとめます。特にセキュリティ対応力・契約の透明性・撤退条件という3点は、後から「こんなはずではなかった」と後悔しがちなポイントです。経営者・情シス兼任担当者が商談に臨む前に必ず目を通してください。
中小企業がIT業者選びで失敗する背景
IT業者選びで失敗する中小企業に共通する構造的な原因は3つあります。
第一は「評価軸が価格だけになりがち」という問題です。相見積もりを取って最安値を選ぶと、後から「その金額では対応できません」と言われる範囲外作業が頻発します。IT業者の「月額保守費」は入口に過ぎず、スポット対応・緊急対応・変更管理それぞれに追加費用が発生する構造になっていることが多いです。
第二は「実績を聞かずに発注してしまう」問題です。IT業者のウェブサイトに掲載された事例は粗削りな情報が多く、「自社と同規模・同業種の案件を何件手がけたか」「その際に発生したトラブルとどう対応したか」を口頭で確認しない経営者が大半です。業者側も都合の悪い情報は自発的に開示しません。
第三は「契約書の責任範囲が曖昧なまま発注する」問題です。「一式」「適宜」「合理的な範囲で」という曖昧な表現が契約書に残ったまま発注すると、インシデント発生時に業者と責任の押し付け合いになります。2026年時点、個人情報保護法・サイバーセキュリティ関連法規が強化されており、中小企業でも情報漏洩事故の際には監督官庁への報告・顧客への通知義務が生じます。その責任を業者に問えるかどうかは、契約書の書き方次第です。
以上3つの失敗パターンを防ぐために、次節で示す7つの評価基準を面談・選定の場で使ってください。
IT業者を選ぶ7つの基準
以下の7基準を面談・選定の評価軸として使ってください。1基準につき10点満点で採点し、合計70点中50点以上を一次通過の目安とする定量評価が実践的です。
1. 技術力と業種実績
「自社と同じ業種・規模の企業を何社支援してきたか」を確認します。士業事務所であれば顧客情報管理・電子帳簿保存法への対応実績、製造業であれば生産管理システム・EDI連携の経験が問われます。
確認の仕方は「同業種の直近3件の案件内容と対応結果を教えてください」と聞くことです。具体的な社名は出せないとしても、「税理士事務所15社のペーパーレス対応を支援した」「製造業の受発注システムをクラウドサービスに移行した実績が8件ある」という答えが返ってくる業者は実績があります。「お客様は様々な業種です」としか言えない業者は、自社に関係する専門知識を持っていない可能性があります。
2. セキュリティ対応力
2026年時点、中小企業でも「ランサムウェア被害」「メール誤送信による個人情報漏洩」「クラウドサービスへの不正アクセス」は現実のリスクです。IT業者にセキュリティ対応力がなければ、被害を拡大させる側になりかねません。
確認すべき項目は「Pマーク(プライバシーマーク)またはISMS(ISO 27001)の取得状況」「ランサムウェア被害が発生した場合の初動対応手順の有無」「社員教育(フィッシングメール訓練等)の実施体制」の3点です。PマークやISMSは絶対条件ではありませんが、「自社がどのような情報セキュリティ管理をしているか」を答えられない業者は要注意です。
3. 契約の透明性
月額基本料に何が含まれ、何が含まれないかを契約書の文言レベルで確認します。「含まれない業務」のリストが明示されている業者ほど、後からの追加費用トラブルが少ない傾向があります。
「月額保守の範囲に含まれる作業を項目別に書いてください」と依頼したとき、その場で明確に答えられる業者と、「その都度ご相談します」としか言えない業者では、後者は追加費用が積み重なるリスクがあります。Before(曖昧な契約書)→After(項目別作業リスト付き契約書)の差が、3年間の運用コストに数十万円単位の差をもたらします。
4. 緊急時の対応スピード
「サーバーが停止した」「クラウドサービスにログインできない」「メールが届かなくなった」という緊急事態に、何分・何時間以内にどの方法で対応するかを確認します。
SLA(サービスレベルアグリーメント)という形で応答時間・復旧時間の目標値を契約書に明記している業者は信頼性が高いです。「平日9時~18時の電話受付」しか持たない業者では、金曜夕方に発生した障害が月曜朝まで放置されるリスクがあります。士業事務所であれば「期限直前の申告データが消えた」という最悪ケースに備え、24時間365日対応かどうかを確認してください。
5. 業種・規模感の適合
大手IT企業の子会社や大規模SIerは、従業員数百名規模のプロジェクトに慣れており、従業員30名以下の中小企業の細かなニーズに対応しきれない場合があります。一方、個人のフリーランスエンジニアは価格が安い反面、キャパシティ不足・急な案件停止のリスクがあります。
自社の従業員数・IT予算規模に近い企業を顧客として持つ中規模のIT業者が、コスト・対応力のバランスとして適している場合が多いです。「顧客の平均従業員数は何名くらいですか」と聞いてみると業者の得意規模感がわかります。
6. 情報漏洩時の対応体制
個人情報保護法の改正(2022年施行)により、個人情報の漏洩・紛失が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されています。IT業者のシステム管理ミスが原因で情報漏洩が発生した場合、誰が報告手続きを行い、費用はどちらが負担するかを事前に契約で定めておく必要があります。
「万が一、御社のシステム管理で個人情報漏洩が起きた場合、対応の流れと費用負担はどうなりますか」と直接聞いてください。具体的な対応手順を答えられる業者と、「そういった事例はありません」と話をそらす業者では、対応力に大きな差があります。
7. 撤退・引き継ぎ条件
IT業者を変更する際の引き継ぎ費用・作業範囲・期間が契約書に明記されているかを確認します。
「現在管理しているシステムのドキュメント・アカウント情報は、契約終了時にどのような形式・期間で引き渡されますか」と問うことで、業者のロックイン体質が見えます。「引き渡しは応相談」「別途費用」と言うだけの業者では、後から変更しようとしたとき、管理情報を人質にとられたような状態になりかねません。契約書に「解約から30日以内にすべての管理情報を所定フォーマットで引き渡す」と明記されていることが理想的です。

IT業者の類型別比較表
中小企業が付き合うIT業者は主に4つの類型に分けられます。7基準での特徴を以下にまとめます。
| 評価基準 | 大手SIer・子会社 | 中規模IT保守会社 | ITフリーランス | IT顧問(個人コンサル) |
|---|---|---|---|---|
| 技術力・実績 | 高(大企業向け中心) | 中(中小企業経験豊富) | 個人差が大きい | コンサル特化・実装弱め |
| セキュリティ対応力 | 高(ISMS取得多) | 中(Pマーク取得も多い) | 個人差が大きい | 助言は可・実作業は外注 |
| 契約の透明性 | 標準化されている | 業者により差あり | 曖昧になりやすい | コンサル契約で比較的明確 |
| 緊急時対応スピード | SLAあり・高コスト | 平日対応が多い | 個人都合に依存 | 技術対応できない場合が多い |
| 業種・規模感の適合 | 中小には過剰スペック | 中小企業に最も適合 | 小規模・単発向き | 戦略・判断支援向き |
| 情報漏洩対応体制 | 明確な対応フローあり | 業者により差あり | 個人負担が難しいケースも | 助言のみ・実対応は外部 |
| 撤退・引き継ぎ | 標準手順あり | 業者により差あり | ドキュメント化不十分が多い | 比較的スムーズ |
| 月額コスト目安 | 15万円以上が多い | 3万円~10万円 | 時間単価3,000円~8,000円 | 5万円~15万円 |
多くの従業員30名以下の中小企業にとって、「中規模IT保守会社」が最もバランスが取れた選択肢です。ただし同じ「中規模IT保守会社」でも業者ごとの差が大きいため、次節の質問リストで個別確認が欠かせません。大手SIerは一見安心に見えますが、担当SEの人件費が価格に転嫁されるため、中小企業向けの日常保守には過剰スペックになりがちです。
面談で確認すべき質問リスト
以下は、IT業者との面談・商談の場で経営者・情シス兼任担当者が実際に口頭または書面で確認すべき質問を、7つの基準に対応させて整理したものです。商談前日に印刷して持参することをお勧めします。
・技術力・実績の確認: 「弊社と同業種・同規模の企業を直近3年間で何社支援されましたか。代表的な案件の内容と結果を教えてください」
・セキュリティ体制の確認: 「PマークまたはISMSを取得していますか。取得していない場合、社内の情報セキュリティ管理の仕組みをどのように整備していますか」
・契約範囲の確認: 「月額基本料に含まれる作業と含まれない作業を項目別にご提示いただけますか。追加費用が発生する場面の例を3つ挙げてください」
・緊急時対応の確認: 「平日18時以降・土日祝日に障害が発生した場合の対応手順と、初動対応までの目標時間を教えてください」
・情報漏洩時の対応体制の確認: 「御社の管理するシステムで個人情報漏洩が発生した場合、対応手順・費用負担・行政報告のサポート有無についてどのような体制ですか」
・担当者の継続性の確認: 「弊社の担当者が変わった場合、引き継ぎはどのように行われますか。過去1年間で担当変更は何件ありましたか」
・撤退・引き継ぎ条件の確認: 「契約終了時に引き渡されるドキュメント・アカウント情報の一覧と引き渡し期間を事前にご提示いただけますか。契約書のどの条項に記載がありますか」
・過去のトラブル事例の確認: 「過去3年間で、顧客のシステムに重大な障害・情報漏洩が発生したことはありますか。あった場合、どのように対応されましたか」
・下請け・再委託の確認: 「弊社への対応業務の一部を、御社以外の会社・個人に再委託することがありますか。再委託先のセキュリティ管理基準はどうなっていますか」
これらの質問に対し「その都度ご相談します」「事例はありません」「考えたことがありません」という答えが3項目以上返ってくる業者との契約は慎重に検討してください。正直に「わかりません」と答え「確認して回答します」と言える業者の方が、長期的には信頼できるケースが多いです。

よくある質問
「見積もり金額が一番安い業者を選んでも問題ないか?」
月額費用が最安値の業者を選ぶと、後から追加費用が積み重なるリスクがあります。基本料が月2万円でも、PCの設定変更に1万円・緊急対応に3万円という形で、年間トータルでは高額になる構造を持つ業者が存在します。見積もりは「年間トータルコスト」で比較するために、「昨年1年間の平均的な顧客1社あたりの請求額を教えてください」と聞く方法が実践的です。
「担当者との相性は初回面談で判断できるか?」
初回面談では、こちらの質問への答え方・言い回しに注目します。「○○というシステムについて詳しくないですが、調べて回答します」と言える担当者は誠実な傾向があります。逆に「全部できます」「任せてください」と即答する担当者は、後から「それは聞いていませんでした」というパターンになりやすいです。面談には2名以上来てもらい、技術担当と営業担当が同席しているか確認することも有効です。
「IT業者を変更したいとき、既存業者への解約申し入れはどうすればよいか?」
契約書の「解約予告期間」を確認します。一般的には30日~90日前の書面通知が必要なケースが多いです。解約前に「現在管理しているシステムの管理情報(アカウント一覧・ドキュメント)の引き渡し」を書面で依頼することが最優先です。口頭で依頼すると「そんな依頼は受けていない」というトラブルになりやすいです。引き渡し完了の確認書を取り交わしてから解約手続きを進めてください。
「IT顧問とIT保守会社は何が違うか?」
IT顧問は主に経営者・管理部門向けにIT戦略の助言・判断支援を行う役割です。技術的な作業(ネットワーク設定・サーバー管理・ヘルプデスク対応)は通常行わず、実作業は別のIT保守会社や社員が行います。IT保守会社はPCの管理・障害対応・定期点検といった実作業を担います。中小企業では両者を組み合わせてIT体制を組むケースもありますが、「顧問と保守会社の役割分担・コンフリクトが起きたときの判断者は誰か」を明確にしてから契約することが重要です。
「複数の業者に依頼するときの窓口はどう整理するか?」
IT保守・セキュリティ監視・クラウドサービス管理を別々の業者に任せる場合、インシデント発生時に「どの業者が一次対応するか」「業者間の情報共有はどの方法で行うか」をあらかじめ決めておかないと対応が遅れます。理想は1社が窓口機能(プライムベンダー)を持ち、他社を調整する役割を担う構造です。プライムベンダーを決められない場合は、経営者または情シス兼任担当者がその役割を担う必要があります。
IT業者選定前に確認するチェックリスト
以下のチェックリストを商談・契約前に確認してください。全項目に「はい」と答えられる状態になってから発注の意思決定をすることをお勧めします。
・自社のIT業務一覧の整備: 現在の社内IT業務(PC管理・クラウドサービス管理・社員サポート・外部ベンダー対応)を一覧化し、月間工数を把握しているか
・最低3社からの相見積もり取得: 同一条件(業務範囲・SLA・引き継ぎ条件)で複数の業者から見積もりを取得し、年間トータルコストで比較しているか
・7基準による採点表の作成: 本記事の7基準について、各業者を10点満点で採点し、比較表を作成しているか
・面談質問リストの事前準備: 本記事の質問リストを印刷または画面で開き、面談当日に確認できる準備をしているか
・契約書の責任範囲確認: 月額基本料に含まれる作業と含まれない作業が項目別に明記された契約書の草案を取得しているか
・個人情報取り扱いの確認: 業者が自社の顧客情報・社員情報を扱う場合、個人情報の取り扱い方法・漏洩時の対応体制が契約書または覚書で明記されているか
・撤退・引き継ぎ条件の確認: 契約書に「解約予告期間」「管理情報の引き渡し期間とフォーマット」が明記されているか
・担当者の継続性の確認: 担当者が変わる場合の引き継ぎ手順・通知タイミングが口頭または書面で確認できているか
・下請け・再委託の有無確認: 業務の一部が再委託される場合、再委託先のセキュリティ基準と責任の所在が契約書に明記されているか
まとめ:IT業者選びは「安さ」より「透明性・セキュリティ・撤退条件」で決める
中小企業のIT業者選びは、最安値を選ぶほど後から追加費用・トラブルが積み重なる構造を持っています。本記事で示した7基準(技術力・実績、セキュリティ対応力、契約の透明性、緊急時対応スピード、業種・規模感の適合、情報漏洩対応体制、撤退・引き継ぎ条件)を評価軸に、面談段階で9つの質問を確認することで、3年~5年の長期運用を安心して任せられる業者かどうかを判断できます。
特に「撤退・引き継ぎ条件」と「情報漏洩時の対応体制」は、後から確認しようとしても「契約書に書いていない」「業者が対応を渋る」ことが多い項目です。この2点を面談段階で明確にしておくことが、業者選定の失敗を防ぐ最大の保険です。
株式会社イーネットマーキュリーでは、中小企業向けにIT業者選定の相談支援・相見積もり整理のご支援を承っています。「どんな基準で選べばいいかわからない」「現在の業者との契約内容を見直したい」という経営者の方は、以下よりお気軽にお問い合わせください。
