補助金申請前に確認したいセキュリティ自己宣言
- 山崎行政書士事務所
- 5月6日
- 読了時間: 16分
補助金・取引先対応との関係を説明
メタディスクリプションデジタル化・AI導入補助金、旧IT導入補助金などの申請前に確認すべきSECURITY ACTIONの自己宣言について解説します。一つ星・二つ星の違い、GビズIDとの関係、取引先チェックシート対応、基本方針・台帳・記録の整備を、企業法務とサイバーセキュリティの実務視点から整理します。
1. 補助金申請で「セキュリティ自己宣言」が求められる時代
中小企業がITツール、クラウドサービス、AIツール、会計・販売管理システム、セキュリティサービス等を導入する際、補助金を活用する場面が増えています。その一方で、補助金申請の前提として、情報セキュリティ対策に取り組む姿勢を示すことが求められるようになりました。
代表的なものが、IPAのSECURITY ACTIONです。デジタル化・AI導入補助金、旧IT導入補助金では、申請にあたりSECURITY ACTIONの「★一つ星」又は「★★二つ星」のいずれかを宣言していることが要件とされています。IPAも、同補助金申請にあたってSECURITY ACTIONの宣言が必須要件であると案内しています。
ここで重要なのは、SECURITY ACTIONは単なる補助金用の形式ではないということです。補助金申請で自己宣言を行った後、取引先からセキュリティチェックシートが届く、顧客から個人情報管理体制を問われる、クラウド利用について説明を求められる、という場面が必ず出てきます。
つまり、補助金申請前に確認すべきなのは、**「ロゴを取れるか」ではなく、「宣言した内容を取引先に説明できるか」**です。
2. SECURITY ACTIONは「認定」ではなく「自己宣言」
SECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自ら宣言する制度です。IPAは、SECURITY ACTIONについて、情報セキュリティ対策状況等をIPAが認定するものではないと明示しています。そのため、「一つ星を取得しました」「二つ星の認定を受けました」という表現は不適切であり、正しくは「一つ星を宣言しました」「二つ星を宣言しました」です。
企業法務の実務では、この表現の違いは非常に重要です。
表現 | 評価 |
SECURITY ACTION一つ星を取得しました | 不適切 |
SECURITY ACTION二つ星の認定を受けました | 不適切 |
SECURITY ACTION一つ星を宣言しました | 適切 |
当社はSECURITY ACTION二つ星を宣言しています | 適切 |
「取得」「認定」と書くと、第三者審査を受けたかのような誤解を取引先に与えるおそれがあります。補助金申請書、会社案内、Webサイト、見積書、セキュリティチェックシートの回答では、必ず「宣言」という表現に統一すべきです。
3. 一つ星と二つ星の違い
SECURITY ACTIONには「一つ星」と「二つ星」があります。補助金申請では一つ星又は二つ星のいずれかで足りる場合が多い一方、取引先対応や加点要件では二つ星が有利又は必要になる場合があります。
区分 | 内容 | 実務上の意味 |
★一つ星 | 情報セキュリティ6か条に取り組むことを宣言 | まず基本対策を始める段階 |
★★二つ星 | 自社診断を実施し、情報セキュリティ基本方針を策定・外部公開した上で宣言 | 取引先に説明できる文書化を始める段階 |
一つ星は、これから「情報セキュリティ6か条」に取り組むことを宣言するもので、対策実施前でも申込み可能とされています。6か条は、OS・ソフト更新、ウイルス対策、パスワード強化、共有設定見直し、バックアップ、脅威や攻撃手口の把握です。
二つ星は、「5分でできる!情報セキュリティ自社診断」を実施し、「情報セキュリティ基本方針」を策定・外部公開した上で、情報セキュリティ対策に取り組むことを宣言するものです。
補助金だけを見れば一つ星で足りる場合でも、取引先への説明力を高めたい会社、個人情報を扱う会社、クラウドや委託先を多く使う会社は、二つ星を見据えて準備する方が実務上は有利です。
4. 補助金申請前に必ず確認すべきこと
4-1. 申請する補助金で「必須要件」か「加点要件」かを確認する
SECURITY ACTIONは、補助金・助成金によって、申請要件になる場合と、採択審査の加点対象になる場合があります。IPAは、SECURITY ACTIONを申請要件又は加点要件としている補助金・助成金等の一覧を掲載していますが、同ページはリアルタイム更新ではないため、最新の公募状況は各補助金サイトで確認する必要があると注意しています。
補助金申請前には、次の4点を確認してください。
確認項目 | 実務上のポイント |
必須要件か | 宣言していなければ申請できないのか |
加点要件か | 宣言又は二つ星が採択審査で有利になるのか |
一つ星でよいか | 一つ星又は二つ星のいずれかで足りるか |
二つ星が必要か | 特定の枠・類型・加点項目で二つ星が求められていないか |
デジタル化・AI導入補助金2026では、交付申請の要件としてGビズIDプライムの取得とSECURITY ACTION宣言が必要とされ、交付申請作成時には宣言済アカウントIDの入力が必要と案内されています。また、同補助金サイトでは、GビズIDプライム発行までおおむね2週間、SECURITY ACTIONの宣言済アカウントID発行までおおむね2〜3日と案内されています。
4-2. 補助金申請で使うGビズIDとSECURITY ACTIONの申込IDをそろえる
デジタル化・AI導入補助金では、補助金申請で使用するGビズIDを用いてSECURITY ACTION自己宣言を申し込むよう案内されています。IPAのページでも、補助金申請で使用するGビズIDでSECURITY ACTIONを申し込む必要がある旨が説明されています。
ここで起きやすい失敗は、次のようなものです。
よくある失敗 | 問題 |
補助金用とは別のGビズIDで自己宣言した | 申請時に照合できないおそれ |
申請期限直前にGビズIDを取得しようとした | GビズID発行が間に合わない |
古い自己宣言IDだけを持っている | 新システムでの再申込みが必要になる場合がある |
支援者にGビズIDのID・パスワードを共有した | 行政手続アカウントの管理上危険 |
GビズIDは、補助金だけでなく各種行政手続に使われる重要なアカウントです。外部支援者にID・パスワードを共有する運用は避け、事業者本人が管理すべきです。
5. 2026年以降はSECURITY ACTION管理システムにも注意
SECURITY ACTIONの申込みは、GビズIDを利用する管理システムを通じて行います。IPAの申込方法ページでは、法人・個人事業主はGビズIDプライムアカウントを取得し、申込フォームに入力する流れが示されています。また、一つ星と二つ星を同時に申し込むこと、双方のロゴを同時に使用することはできないとされています。
さらに、デジタル化・AI導入補助金に関しては、2026年3月以前に自己宣言済みの事業者についても、第2次公募以降は取得済みの自己宣言IDでは申請できず、補助金で使用するGビズIDを用いてSECURITY ACTION管理システムで申し込む必要がある旨が案内されています。
補助金申請前には、次の記録を残しておくと安全です。
記録 | 内容 |
GビズID管理記録 | 取得日、管理者、利用目的 |
SECURITY ACTION申込記録 | 申込日、宣言区分、一つ星又は二つ星 |
宣言済アカウントID・自己宣言ID | 補助金申請時に入力する情報 |
ロゴ利用記録 | 使用開始日、掲載場所、表示文言 |
公開文書 | 二つ星の場合の情報セキュリティ基本方針 |
自社診断結果 | 二つ星の場合の診断結果、改善計画 |
6. 補助金申請前に整えるべき「一つ星」対応
一つ星は、情報セキュリティ6か条に取り組むことを宣言するものです。ただし、補助金申請のためだけに宣言して、実際の対策が何も進んでいなければ、取引先対応では説明に困ります。
一つ星を宣言する前後で、最低限次の確認をしてください。
情報セキュリティ6か条 | 補助金申請前に確認すること |
OSやソフトウェアを最新にする | サポート切れPC、古い業務ソフト、未更新のルーター・NASがないか |
ウイルス対策ソフトを導入する | 全業務端末に導入され、更新・稼働状況を確認できるか |
パスワードを強化する | メール、クラウド、会計、VPN、管理者アカウントにMFAを設定しているか |
共有設定を見直す | クラウド共有リンク、NAS、複合機、チャットの外部共有が放置されていないか |
バックアップを取る | 重要データをバックアップし、復元テストをしているか |
脅威や攻撃の手口を知る | 不審メール、偽ログイン画面、請求書詐欺、ランサムウェアを従業員に周知しているか |
補助金でITツールを導入する会社ほど、クラウド利用やアカウント管理が増えます。したがって、補助金申請前に一つ星を宣言する場合でも、端末台帳、クラウド/SaaS台帳、アカウント台帳、バックアップ管理表は作っておくべきです。
7. 補助金申請前に整えるべき「二つ星」対応
二つ星では、自社診断と情報セキュリティ基本方針が必要です。IPAは、二つ星について、25個の診断項目に答えることで自社の情報セキュリティ対策状況を把握できる「5分でできる!情報セキュリティ自社診断」を実施し、情報セキュリティ基本方針を策定・外部公開するものと説明しています。
二つ星で重要なのは、高得点を取ることではありません。診断結果をもとに、弱点を改善計画に変えることです。
二つ星で準備するもの | 実務上のポイント |
自社診断結果 | 点数よりも、未対応項目と改善予定を記録する |
情報セキュリティ基本方針 | 経営者名義で、外部公開できる内容にする |
外部公開記録 | Webサイト、会社案内、パンフレット、問い合わせ時提供等の方法を記録する |
改善計画 | 担当者、期限、対応内容、完了確認日を決める |
教育記録 | 従業員への周知を証跡化する |
点検記録 | アカウント棚卸し、共有リンク確認、バックアップ復元テストを記録する |
補助金申請の場面では、二つ星を宣言していることが加点対象や取引先評価につながる場合があります。ただし、二つ星は第三者認証ではありません。あくまで自己宣言であり、実態を伴わせることが重要です。
8. 補助金申請と取引先対応はつながっている
補助金申請では、SECURITY ACTIONの宣言済アカウントIDを入力すれば形式上の要件を満たせる場合があります。しかし、取引先対応ではそれだけでは不十分です。
取引先が本当に確認したいのは、次の点です。
取引先が確認したいこと | 説明に必要な資料 |
情報セキュリティ方針はあるか | 情報セキュリティ基本方針 |
個人情報をどこに保管しているか | 個人情報管理台帳 |
どのクラウドを使っているか | クラウド/SaaS台帳 |
管理者権限は管理されているか | アカウント・権限台帳 |
バックアップは戻せるか | バックアップ管理表、復元テスト記録 |
従業員教育はしているか | 教育記録、注意喚起記録 |
事故時の連絡体制はあるか | インシデント対応表、社内外連絡網 |
委託先を管理しているか | 委託先台帳、契約書、チェックシート |
つまり、SECURITY ACTIONは「入口」です。取引先対応では、方針、規程、台帳、記録を示せる状態が必要です。
9. 補助金で導入するITツールのセキュリティ確認
補助金を使ってITツールやクラウドを導入する場合、導入後の情報管理リスクも見なければなりません。
たとえば、会計ソフト、勤怠管理、給与計算、CRM、EC、電子契約、AIツール、クラウドストレージを導入する場合、次の確認が必要です。
確認項目 | 見るべきポイント |
保存データ | 個人情報、顧客情報、営業秘密、契約書、認証情報が入るか |
管理者権限 | 管理者は誰か、退職時に削除できるか |
MFA | 多要素認証を設定できるか |
ログ | アクセスログ、操作ログ、管理者操作ログを取得できるか |
データ削除 | 契約終了時にデータを削除・返還できるか |
障害時対応 | SLA、サポート、復旧目標があるか |
委託・再委託 | クラウド事業者や再委託先の取扱いが分かるか |
生成AI利用 | 入力情報が学習利用されるか、個人情報を入力してよいか |
補助金申請では、導入するITツールの機能や費用に目が行きがちです。しかし企業法務の実務では、導入後に「誰が管理するか」「どの情報が入るか」「事故時にログを取れるか」「取引先に説明できるか」まで確認しておく必要があります。
10. SECURITY ACTIONとISMS・Pマークを混同しない
SECURITY ACTIONは自己宣言です。一方、ISMS認証は、組織の情報セキュリティマネジメントシステムがISO/IEC 27001に基づいて適切に運用管理されているかを第三者である認証機関が審査・証明する制度です。ISMSでは、情報の機密性・完全性・可用性を守る体系的な仕組みとして、技術的対策だけでなく、教育・訓練、組織体制の整備も含めます。
プライバシーマークは、個人情報保護マネジメントシステムを中心とする制度です。Pマーク付与事業者の場合、PMK500に基づき、漏えい、紛失、滅失・き損、改ざん、目的外利用・提供、不正利用、これらのおそれ等について事故等報告、本人通知、公表、調査、一時停止・取消し等の制度上のリスクがあります。
制度 | 性質 | 取引先への説明力 |
SECURITY ACTION | 自己宣言 | 情報セキュリティ対策に取り組む姿勢を示す入口 |
ISMS認証 | 第三者認証 | 情報セキュリティ管理体制を客観的に示せる |
プライバシーマーク | 個人情報保護に関する制度 | 個人情報保護体制を示す資料になる |
補助金申請ではSECURITY ACTIONで足りる場合でも、取引先がISMSやPマークを求めることがあります。その場合は、SECURITY ACTIONだけで代替できるとは限りません。取引先が何を求めているのか、自己宣言なのか、第三者認証なのか、個人情報保護体制なのかを分けて確認する必要があります。
11. SCS評価制度を理由にした営業トークにも注意
今後、取引先対応ではSCS評価制度も関係してきます。経済産業省及び内閣官房国家サイバー統括室は、2026年3月にSCS評価制度の構築方針を公表し、2026年度末頃の制度開始を目指すとしています。この制度は、サプライチェーンを構成する企業のセキュリティ対策状況を共通の基準で評価・可視化し、委託元が委託先に適切な段階を提示し、実施状況を確認することを想定しています。
ただし、経済産業省は、SCS評価制度について、「評価を取得していないと商取引が規制される」「今すぐ評価を取得しないと入札から除外される」といった不適切な勧誘に注意を促しています。同制度は任意の制度であり、個社間の商取引に規制措置を講じるものではなく、評価基準達成のために特定のセキュリティ対策製品の導入が必須とされているものでもないと説明されています。
したがって、補助金申請やSECURITY ACTIONをきっかけに、次のような営業を受けた場合は慎重に確認してください。
「この製品を入れないと取引できなくなります」「今すぐ評価を取らないと入札から外されます」「補助金申請には当社のセキュリティツールが必須です」「SECURITY ACTION二つ星を取れば、すべての取引先審査に通ります」
制度名に振り回されるのではなく、自社の事業内容、取扱情報、取引先要求、公募要領に基づいて判断することが重要です。
12. 発注者側が取引先にセキュリティ要求を出す場合の注意
補助金でITツールを導入した後、自社が外部委託を行うこともあります。Web制作会社、システム保守会社、給与計算会社、クラウド運用会社、配送会社、コールセンター等に対して、セキュリティ対策を求めることは必要です。
しかし、発注者側が一方的に高度なセキュリティ要求を追加し、その費用や工数を委託先に押し付けると、取引適正化の観点で問題になります。
2026年1月1日から、従来の下請法は取適法、正式には中小受託取引適正化法として施行されています。公正取引委員会は、発注者・受注者の対等な関係に基づく価格転嫁及び取引の適正化を図るための改正であると説明しています。
旧下請法ガイドブックでも、親事業者が下請事業者にISO認証取得を要請し、その取得費用を考慮せず一方的に従来どおり下請代金を据え置く事例は、買いたたきの観点で問題になり得るものとして示されていました。セキュリティ要求を出す場合は、仕様、費用、納期、協議経緯、発注書面を残すことが実務上重要です。
13. 補助金申請前の実務チェックリスト
No. | 確認項目 | 実務上の対応 |
1 | 申請する補助金の公募要領を確認したか | SECURITY ACTIONが必須か加点か、一つ星か二つ星かを確認 |
2 | GビズIDプライムを取得しているか | 発行に時間がかかるため早めに取得 |
3 | 補助金申請で使うGビズIDとSECURITY ACTION申込のGビズIDが一致しているか | 異なるIDで申し込まない |
4 | 宣言済アカウントIDを確認したか | 申請画面に入力できるよう記録 |
5 | 表示文言は正しいか | 「取得」「認定」ではなく「宣言」 |
6 | 一つ星の6か条を点検したか | OS更新、ウイルス対策、MFA、共有設定、バックアップ、教育 |
7 | 二つ星の場合、自社診断を実施したか | 診断結果と改善計画を保存 |
8 | 二つ星の場合、基本方針を外部公開したか | Web掲載、会社案内、パンフレット等 |
9 | クラウド/SaaS台帳を作ったか | 補助金で導入するツールも記載 |
10 | アカウント・権限台帳を作ったか | 管理者、MFA、退職時削除を確認 |
11 | バックアップ管理表を作ったか | 復元テスト日まで記録 |
12 | 取引先説明用資料を準備したか | SECURITY ACTIONだけでなく運用を説明 |
14. 取引先への説明文例
補助金申請後、取引先から「SECURITY ACTIONは宣言していますか」と聞かれた場合、次のように回答すると実務上の信頼性が高まります。
一つ星の場合
当社は、IPAのSECURITY ACTION一つ星を宣言し、情報セキュリティ6か条に基づく基本対策に取り組んでいます。具体的には、OS・ソフトウェアの更新確認、ウイルス対策ソフトの導入、重要アカウントの多要素認証、クラウド共有設定の見直し、重要データのバックアップ、従業員への不審メール注意喚起を実施しています。今後、取扱情報及び取引先要求に応じて、二つ星へのステップアップを検討しています。
二つ星の場合
当社は、IPAのSECURITY ACTION二つ星を宣言しています。二つ星の宣言にあたり、「5分でできる!情報セキュリティ自社診断」を実施し、情報セキュリティ基本方針を策定・外部公開しています。また、同方針に基づき、クラウド/SaaS台帳、アカウント台帳、バックアップ管理表、教育記録、インシデント対応表の整備を進めています。今後も定期的に自社診断を実施し、未対応項目について改善計画を作成・実施していきます。
このように、ロゴだけでなく、実際の管理文書と記録を示すことが重要です。
15. 30日で進める補助金申請前ロードマップ
第1週:補助金要件とGビズIDを確認する
申請する補助金の公募要領を確認し、SECURITY ACTIONが必須要件か加点要件か、一つ星でよいか二つ星が必要かを整理します。GビズIDプライムの取得状況も確認します。
第2週:一つ星レベルの基本対策を点検する
情報セキュリティ6か条に沿って、端末、OS、ウイルス対策、パスワード、MFA、共有設定、バックアップ、不審メール教育を確認します。退職者アカウント、外部共有リンク、バックアップ未確認は優先的に直します。
第3週:二つ星を見据えた文書を作る
取引先対応を見据えるなら、情報セキュリティ基本方針、自社診断結果、改善計画、クラウド/SaaS台帳、アカウント台帳、個人情報管理台帳、委託先台帳を整備します。
第4週:申込・公開・記録を行う
SECURITY ACTION管理システムで自己宣言を行い、宣言済アカウントID、申込日、宣言区分、公開文書、ロゴ使用場所を記録します。補助金申請書に入力する情報と、社内記録を一致させます。
16. まとめ:補助金申請のためだけに自己宣言してはいけない
補助金申請前に確認すべきセキュリティ自己宣言とは、単に「一つ星か二つ星を宣言する」ことではありません。
重要なのは、次の5点です。
申請する補助金で、SECURITY ACTIONが必須か加点かを確認する
GビズIDとSECURITY ACTIONの申込情報を正しく管理する
「取得」「認定」ではなく「宣言」と正しく表示する
一つ星・二つ星の内容に合わせて、実際の対策と記録を整える
取引先に対して、ロゴではなく文書・台帳・記録で説明できるようにする
補助金はITツール導入のきっかけです。しかし、導入後に会社を守るのは、ツールそのものではなく、情報管理の仕組みです。
山崎行政書士事務所では、行政書士として対応できる範囲で、SECURITY ACTION一つ星・二つ星に向けた情報セキュリティ基本方針、自社診断結果の整理、クラウド/SaaS台帳、アカウント管理台帳、個人情報管理台帳、委託先台帳、インシデント対応表、取引先説明用資料、補助金申請前の文書確認を支援しています。
技術的な設定作業、脆弱性診断、EDR/MDR導入、SOC運用、フォレンジック調査等が必要な場合は、IT専門事業者や情報処理安全確保支援士等と連携します。紛争性のある損害賠償交渉、訴訟対応、法的代理が必要な場合は、弁護士と連携し、補助金申請後も取引先に説明できる情報管理体制づくりを支援します。
コメント