3-2-1 バックアップルール ─ 数百人の事故から逆算した最後の1手
看板記事 IT 編 3点セットの最後の1手。HDD 1.57% / ランサム +149% / IPA 6か条最新版を踏まえた、非エンジニアのベースライン構成。
他人のデジタル事故に関わる場面が長くあって、家族の写真をすべて失った人を何人も見てきました。
同期していたつもりが、ある日全部見えなくなる。「クラウドに置いているから安全」だと思っていたら、それは「同期」であって「バックアップ」ではなかった。気付いたときには、何年分かの写真が、まとめて消えていました。
データを失う痛みは、失ってからしか分かりません。
そして、失ってからは戻りません。
看板記事「要らない9割を捨てる 最低限スターターキット」の IT 編で「3点セット」と書いた、その3つ目が 3-2-1 バックアップルール です。
第4記事「1Password と 2FA で守るベースライン」が 最初の2手(パスワード管理 + 2FA)を扱ったので、こちらは 最後の1手(データを失わない仕組み)を扱います。
これで看板記事 IT 編「数百人の事故から逆算した3点セット」が完結します。
デジタル損失の現実 ─ なぜ 3-2-1 が要るのか
最初に、抽象論ではなく数字を並べます。
HDD は壊れます。
データセンター大手 Backblaze の2024年通年統計で、HDD の年間故障率は 1.57%。これは、1年で64台に1台が壊れる計算 です。
「壊れる前に買い替える」発想は、家庭用 PC では現実的ではありません。気付いたときには、HDD はすでに動かなくなっています。
ランサムウェアは増えています。
警察庁の発表で、日本の 2025年のランサムウェア被害は226件(過去2番目)。被害企業の 60% が中小企業、38% は資本金1億円以下 の小規模事業者。「うちは狙われない」が成り立たない時代に入っています。
米国ではさらに激しく、2025年初頭の攻撃件数が 前年比 +149%。世界の被害額は 年間570億ドル(1日156億円ペース)。
そしてもう一つ、ランサムウェアの96%は、バックアップそのものを狙う という Barracuda の統計があります。本番データを暗号化されたうえに、バックアップも一緒に暗号化される。手元に1コピーだけ持っているのは「ある」ではなく「ない」と同じ です。
個人レベルでも、何かしらバックアップしているのは過半数だけ、でも「3-2-1」を意識している人はほぼゼロ。
INTERNET Watch の2026年1月調査で、スマホ容量超過時の対応として 有料クラウドが30.6%、外部 SSD が17.7%、PC 移動が26.4%。
何かはやっているけれど、「どこに何コピーあるか」を考えて運用している人は、過半数の中にもほとんどいません。
削ったもの ─ 触れたが残らなかった3グループ
❶ クラウド1個だけ運用
iCloud だけ。Google ドライブだけ。OneDrive だけ。
便利ですが、これは バックアップではなく「同期」 です。
決定的な違いは2つ。
1つ目:端末で削除すると、クラウドからも消える。家族が誤って iPhone のフォルダを削除すれば、iCloud の中身も同時に消えます。
2つ目:アカウント自体が止められたら、ゼロになる。
これは抽象論ではなく、現実に起きています。米国の Baker v. Google(2024)判決では、Google アカウントを 予告なく停止する権限 が法的に認められました。CSAM(児童虐待コンテンツ)の誤判定で、自分の子どもの写真をアップロードしただけでアカウント凍結された事例が複数報告されています。
「クラウドだから安全」ではなく、「クラウドの方が、同時に全部失う事故が起こりやすい」 という認識のほうが正確です。
❷ 凝りすぎた自前運用
NAS(家庭内ネットワーク・ストレージ)を組んで、RAID 5 で冗長化して、テープバックアップも用意して、毎週スナップショットを取って…。
理屈は正しいです。けれど、続きません。
私がそうでした。最初の3ヶ月は熱心に動かし、6ヶ月で運用が崩れ、1年経つ頃には「バックアップしたはずなんだけどな」と曖昧な記憶だけが残っていました。
完璧より、続くもの。これが個人運用の最大の前提です。
❸ 「いつか整える」と先送り
そして、おそらく一番多いのがこれです。
「来月時間ができたらやる」「次の連休でセットアップする」「年末に整理する」。
データ消失は、整える前に来ます。HDD の故障も、ランサムウェアも、誤削除も、待ってくれません。
今日の30分で、来年の数百時間が守られる と思ってください。
残ったもの ─ 3-2-1
CISA(米国サイバーセキュリティ・インフラセキュリティ庁)と日本の IPA が、現行で公式に推奨しているベースラインです。
特に IPA は、2026年3月に「中小企業の情報セキュリティ対策ガイドライン第4.0版」で、従来の「情報セキュリティ5か条」を 6か条に格上げ しました。新しく加わった6つ目が、「バックアップを取ろう!」。個人レベルでも 3-2-1 ルールの適用を明示推奨 しています。
3-2-1 は3つの数字でできています。
構成① ─ 3 つのコピー
正本 + 2 つのバックアップ。合計3コピー。
なぜ3かというと、1コピーが壊れる確率は低くても、同時に2コピーが壊れる確率は劇的に下がる からです。
HDD の年間故障率が 1.57% なら、独立した2台が同じ年に同時に壊れる確率は単純計算で 0.025%。3台なら 0.0004%。確率は 2乗3乗で減衰 します。
これが「3コピー」の数学的な意味です。
構成② ─ 2 種類の媒体
3 コピーが全部 HDD だと、同じ媒体固有の障害 で同時に死ぬ可能性が残ります。たとえば、特定メーカーの HDD のファームウェアバグ。同じロットの SSD の寿命到達。同じネットワーク上のランサムウェアによる暗号化。
異なる種類の媒体(HDD + SSD / HDD + クラウド / 内蔵 SSD + 外付け HDD など)に分散することで、媒体固有のリスクを切り分けます。
私の組み合わせは、内蔵 SSD(正本)+ 外付け HDD(2コピー目)+ クラウド(3コピー目)。これで2種類どころか3種類の媒体にまたがっています。
構成③ ─ 1 つはオフサイト
物理的に別の場所に1コピー。
火災・水害・盗難で家ごと失う事故を想定しています。家のなかで PC と外付け HDD が両方燃えれば、3コピーあっても同時に2コピー失います。
オフサイトの選択肢は3つあります。
- クラウド(最も手軽・私の運用はこれ)
- 実家・親戚宅に外付け HDD を保管(クラウドアカウントが止められても残る)
- 銀行貸金庫(重要書類のスキャンなど、本当に絶対に失えないものだけ)
クラウドだけだと前述の「アカウント停止」リスクがあるので、重要度が極めて高いものは実家保管も併用 が私の判断です。
NAS を買わなくていい、最安の 321 構成
世間の入門記事を読むと、Synology や QNAP の NAS を買って、外付け HDD と組み合わせる という構成が主流です。法人系メディアと写真系個人ブログがそろってこれを推します。
ただ、NAS は 初期費用5〜10万円、設定の知識、運用の手間 が要ります。非エンジニアにとって、ここで挫折する可能性は十分にあります。
私が個人運用で残した最安構成は、NAS なし です。
| 構成要素 | 役割 | 費用 |
|---|---|---|
| 内蔵 SSD(PC本体) | 正本(コピー1) | PC に標準搭載 |
| 外付け HDD A(家に置く) | 自宅バックアップ(コピー2) | 5,000〜10,000円 |
| 外付け HDD B(実家に保管) | オフサイト(コピー3) | 5,000〜10,000円 |
| 無料クラウド(Google One 15GB / iCloud 5GB) | 写真・重要書類の自動同期(保険) | 無料〜月数百円 |
合計 1〜2万円の初期費用、月額0〜数百円。NAS は要りません。
3コピー(PC・外付け A・外付け B)+ 2種類(SSD・HDD・クラウド)+ 1オフサイト(実家の外付け B)で、3-2-1 がすべて満たされます。
外付け B は半年に1回、実家に行ったときに最新データに更新する。これだけ。
「完璧な NAS 運用」より、「半年に1回、実家で外付け HDD を差し替える」のほうが、数年単位で続きます。
3-2-1-1-0 や 4-3-2 のさらに先 ─ 行かない理由
ここからは、世間で「3-2-1 は古い」と言うベンダーへの応答です。
ランサムウェアがバックアップそのものを狙う時代になって、Veeam や Acronis などのベンダーは 3-2-1-1-0 や 4-3-2 という派生ルールを推しています。
- 3-2-1-1-0:3-2-1 に「1 = オフライン1コピー」と「0 = 検証エラーゼロ」を追加
- 4-3-2:4コピー / 3拠点 / 2は別クラウド(MSP・大企業向け)
理屈は正しいです。ベンダーが言っていることに嘘はありません。
ただ、個人運用としては、3-2-1 で止めるのが現実解 です。
理由は3つ。
1つ目:派生ルールの「+α」は、運用負荷で続かない。オフライン1コピーは月1回手動で切り離す必要があり、検証エラーゼロは毎回データを取り出してテストリストアする必要がある。法人なら専任担当者がいますが、個人にそれは無理です。
2つ目:個人がランサムウェアの主な標的ではない。攻撃者が狙うのは身代金を払える法人。個人 PC が暗号化されるのは、メールの添付ファイルを誤って開いた ような不運なケース。3-2-1 でクラウドや実家の HDD に1コピーあれば、そこから戻せます。
3つ目:「個人にとって完璧より続くもの」。3-2-1 は半年〜年1回のメンテで運用が回ります。3-2-1-1-0 は月1回必要。続かないバックアップは存在しないバックアップと同じです。
派生ルールが気になる人は、3-2-1-1-0 の「0 = 検証エラーゼロ」だけ、年1回やる のがおすすめです。「写真フォルダから1枚だけ、外付け HDD から取り出してみる」レベルで十分です。実際に取り出せるかを確認するだけで、バックアップが「あるつもり」から「ある」に変わります。
構成は変わらない、組み込むデータは人によって違う
第2〜第4記事で、こう書きました。
公式は変わらない。装置は変わらない。装備は変わらない。でも、組み込むものは人によって違う。
3-2-1 でも同じです。
3-2-1 という構成は変わらない。でも、組み込むデータと媒体は人によって違う。
私の対象は、写真・重要書類・smart-side のソースコード。
あなたの対象は、副業の請求書・育児記録・趣味の創作物・個人事業の顧客情報、何でもいいです。
判定基準は「失ったらいくら / 何時間で取り戻せるか」。取り戻せないものほど 3-2-1 の優先度が上がります。家族写真は最優先(取り戻し不可能)。仕事ファイルは中(時間で取り戻せるが大変)。映画やゲームは下(買い直せる)。
3-2-1 を持っていれば、新しいデータが増えても 「これはどこに3コピー置くか」 を自動的に判定できます。それが構成の最大の価値です。
この記事も疑ってください
データ保全は 「終わり」がない領域 です。
- 私は外付け HDD 派ですが、SSD の値段が下がり続けているので、5年後は SSD 派にスライドしているかもしれません
- クラウドの寿命・サービス終了リスクは常にあります(過去に Google が中止したサービスは数十)
- ランサムウェアの手口は毎月更新されます。ツールはあなたのリテラシーの土台を底上げするだけ で、上に立つのは結局、人
公式(CISA / IPA)は更新されます。最後に効くのは、変わったときに自分で評価して残すか捨てるか決められる判断軸 のほうです。
私の「これだけ」を渡すのではなく、あなたの「これだけ」を見つけるための補助線として使ってもらえれば、この記事は役目を果たしています。
出典・参考資料
公式(一次情報)
- CISA「Back Up Business Data」 — 米国公式の 3-2-1 推奨
- IPA 中小企業の情報セキュリティ対策ガイドライン第4.0版(2026年3月) — 「6か条」追加・個人レベルへの 3-2-1 明示推奨
- IPA 情報セキュリティ10大脅威 2025 個人編
- Veeam 3-2-1-1-0 公式 — 派生ルール(参照用)
数値根拠
- Backblaze Drive Stats 2024 — HDD 年間故障率 1.57%
- Cisco Talos Japan ランサム動向 — 日本の被害件数・グループ別
- INTERNET Watch スマホ容量調査(2026-01) — バックアップ実施率
- 総務省 情報通信白書 令和6年版 — スマホ・PC 保有率
- CrashPlan データ損失統計
思想・差別化軸の参照
- Metadata Fixer「Google アカウント停止時の写真保護」 — Baker v. Google 2024 判決と CSAM 誤判定リスク
- INTERNET Watch「写真がない悲劇」
関連記事
- 要らない9割を捨てる 最低限スターターキット — このサイトの土台。判断軸の原理と IT 編「数百人の事故から逆算した3点セット」
- 1Password と 2FA で守るベースライン ─ 数百人の事故から逆算した最初の2手 — 3点セットの最初の2手・本記事と兄弟
- 新NISA は eMAXIS Slim 1本でいい その判断に必要な3つの計算 — 「3つの計算」フレームの兄弟記事
- Claude Code 最低限セットアップ ─ 削った先に残った3つの装置 — 「3つの装置」フレームの兄弟記事
