SECURITY ACTIONとは何か
- 山崎行政書士事務所
- 5月6日
- 読了時間: 13分
一つ星・二つ星の違いと「自己宣言」の意味
メタディスクリプションSECURITY ACTIONは、中小企業が情報セキュリティ対策に取り組むことを自ら宣言する制度です。一つ星・二つ星の違い、2026年改訂後の情報セキュリティ6か条、自己宣言の正しい意味、取引先への説明に使う際の注意点を、企業法務とサイバーセキュリティの実務視点から解説します。
1. SECURITY ACTIONは「認定」ではなく、中小企業のための自己宣言制度
SECURITY ACTIONとは、中小企業が自ら情報セキュリティ対策に取り組むことを自己宣言する制度です。IPAは、SECURITY ACTIONについて「中小企業自らが、情報セキュリティ対策に取組むことを自己宣言する制度」と説明しています。取組段階に応じて「★一つ星」と「★★二つ星」があります。
ここで最も重要なのは、SECURITY ACTIONはIPAが企業のセキュリティ対策を審査して合格を与える制度ではないという点です。IPAも、「認定を受けました」「取得しました」という表現は不適切であり、正しくは「一つ星を宣言しました」「二つ星を宣言しました」と案内しています。
企業法務の実務では、この違いは非常に重要です。「認定」「取得」と表示してしまうと、取引先に対して、第三者審査を受けたかのような誤解を与えるおそれがあります。SECURITY ACTIONは、あくまで「当社はこの水準の対策に取り組むことを対外的に宣言しています」と説明する制度です。
2. 今、なぜSECURITY ACTIONが重要なのか
中小企業のサイバーセキュリティ対策は、もはや大企業から言われたときだけ対応するものではありません。経済産業省とIPAは、2026年3月27日に「中小企業の情報セキュリティ対策ガイドライン第4.0版」を公表し、中小企業がサイバー攻撃を経営課題として認識し、段階的に対策を進めることを後押ししています。
同発表では、中小企業でもDXが進む一方、サイバー攻撃被害が重大な経営リスクになっていること、基礎的対策は進んでいても「セキュリティ対策のルール化」などの組織的対策は十分ではないこと、サイバー攻撃を受けた中小企業の約7割で取引先企業にも影響が及んだことが示されています。
さらに、サプライチェーン全体のセキュリティ対策を可視化するSCS評価制度の検討も進んでいます。IPAは、サプライチェーンを通じたインシデントが頻発する中、委託元は委託先対策を可視化しにくく、委託先は複数の取引先から異なる要求を受けて負担が大きいという課題を挙げています。今後、2社間の取引契約等で、委託元が委託先に適切な対策段階を提示し、実施状況を確認することが想定されています。
つまり、SECURITY ACTIONは単なるロゴマークではありません。中小企業が、取引先に対して「当社は情報セキュリティ対策を始めています」「基本方針を定めています」「自社診断を行っています」と説明するための入口になります。
3. 一つ星と二つ星の違い
区分 | 位置付け | 必要な取組み | 実務上の意味 |
★一つ星 | 基本対策への着手宣言 | 情報セキュリティ6か条に取り組む | まず最低限の基本対策を始める |
★★二つ星 | 組織的取組みの開始宣言 | 自社診断を行い、情報セキュリティ基本方針を策定・外部公開する | 取引先に説明できる文書化を始める |
IPAは、一つ星について、これから「情報セキュリティ6か条」に取り組むことを宣言するものであり、対策実施前でも申し込み可能と説明しています。二つ星については、「5分でできる!情報セキュリティ自社診断」と「情報セキュリティ基本方針」を策定し、外部公開した上で、情報セキュリティ対策に取り組むことを宣言するものです。
実務上は、次のように考えると分かりやすいです。
一つ星は、「まず基本対策を始めます」という宣言です。二つ星は、「自社の状況を診断し、基本方針を外部に示して、組織として取り組みます」という宣言です。
4. 一つ星で取り組む「情報セキュリティ6か条」
2026年3月公表の中小企業向けガイドライン第4.0版では、従来の情報セキュリティ5か条に「バックアップを取ろう!」が追加され、情報セキュリティ6か条となりました。IPAは、第4.0版でバックアップを追加したこと、また「5分でできる!情報セキュリティ自社診断」の項目見直しを行ったことを公表しています。
現在の一つ星で意識すべき6か条は、次のとおりです。
6か条 | 社長・管理部門が確認すべきこと |
1. OSやソフトウェアは常に最新の状態にしよう | Windows、Mac、スマートフォン、業務ソフト、ブラウザ、プラグインを更新しているか |
2. ウイルス対策ソフトを導入しよう | 全端末に導入され、更新・稼働状況を確認できるか |
3. パスワードを強化しよう | 使い回しをやめ、多要素認証を重要システムに設定しているか |
4. 共有設定を見直そう | クラウドストレージ、NAS、共有フォルダが外部公開されていないか |
5. バックアップを取ろう | ランサムウェアや誤削除に備え、復元できるバックアップがあるか |
6. 脅威や攻撃の手口を知ろう | 不審メール、偽サイト、ビジネスメール詐欺、ランサムウェアの手口を社内で共有しているか |
IPAの一つ星ページでも、6か条として、OS・ソフトウェアの最新化、ウイルス対策、パスワード強化、共有設定の見直し、バックアップ、脅威や攻撃手口の理解が列挙されています。
ここで注意すべきなのは、「一つ星を宣言したから安全」という意味ではないことです。一つ星は、基本対策を始めるための宣言です。宣言後に、実際の点検記録や改善記録を残していくことが重要です。
5. 二つ星で必要になる「自社診断」と「基本方針」
二つ星では、単に6か条を意識するだけでなく、会社としての情報セキュリティ対策を文書化し、外部に説明できる状態に近づけます。
IPAは、二つ星について、25個の診断項目に答えることで自社の情報セキュリティ対策状況を把握できる「5分でできる!情報セキュリティ自社診断」を実施し、さらに情報セキュリティ基本方針を策定して外部公開することを求めています。
なお、二つ星の申込時に自社診断で何点以上必要かについて、IPAは「何点でも構いません」と回答しています。重要なのは高得点を取ることではなく、年1回など定期的に診断し、自社の状況を把握し、向上計画を立てて実施するサイクルを回すことです。
二つ星で準備すべき実務資料は、次のとおりです。
資料 | 実務上のポイント |
5分でできる!情報セキュリティ自社診断結果 | 点数そのものより、弱点と改善予定を記録する |
情報セキュリティ基本方針 | 社長名で、顧客情報・個人情報・取引先情報を守る姿勢を示す |
外部公開の記録 | 自社Webサイト、会社案内、パンフレット等に掲載した証跡を残す |
改善計画 | 未対応項目について、担当者・期限・対応内容を決める |
教育・点検記録 | 従業員への周知、アカウント棚卸し、バックアップ確認等を記録する |
6. 2026年4月から申込方法が変わった点にも注意
2026年4月1日、SECURITY ACTIONの申込方法は新しい「SECURITY ACTION管理システム」に移行しました。IPAは、同システムの利用にはGビズIDプライムまたはGビズIDメンバーのアカウントが必要と案内しています。
新システムでは、GビズIDを使ったログイン、申込直後の自己宣言ID・ロゴマーク取得、マイページでの登録情報確認・変更、宣言事業者検索機能の充実などが主なメリットとされています。
したがって、これから宣言する会社は、まず次を確認してください。
確認事項 | 内容 |
GビズID | プライムまたはメンバーを用意する。エントリーでは不可 |
宣言区分 | 一つ星か二つ星かを決める |
基本方針 | 二つ星の場合は策定・外部公開が必要 |
自社診断 | 二つ星の場合は実施結果を保管する |
ロゴ利用 | ガイドラインに従い、「認定」「取得」と表示しない |
7. 自己宣言の法務上の意味
企業法務の観点から見ると、SECURITY ACTIONの自己宣言には、次の3つの意味があります。
第一に、社内に向けた経営者の意思表示です。社長が「情報セキュリティ対策に取り組む」と明示することで、従業員に対して、パスワード管理、共有設定、バックアップ、不審メール対応などを単なるIT担当者任せにしない姿勢を示せます。
第二に、取引先に向けた説明資料です。セキュリティチェックシートや委託先審査で、「SECURITY ACTION二つ星を宣言しています」「情報セキュリティ基本方針を公開しています」と説明できれば、少なくとも基本的な取組みの入口を示すことができます。
第三に、自社の継続改善の起点です。自己宣言はゴールではありません。IPAも、ガイドライン改訂後は既に自己宣言済みの事業者も改訂版の内容を踏まえて取組みを進めるものとして扱うとし、事業継続と取引先からの信頼を守るため、継続的な取組みを求めています。
したがって、SECURITY ACTIONは「ロゴを取って終わり」ではありません。宣言後に、点検し、記録し、改善することが重要です。
8. SECURITY ACTIONとISMS認証の違い
SECURITY ACTIONとISMS認証は、混同してはいけません。
項目 | SECURITY ACTION | ISMS認証 |
性質 | 自己宣言 | 第三者認証 |
対象 | 主に中小企業の基本対策・組織的取組みの入口 | ISO/IEC 27001に基づく情報セキュリティマネジメントシステム |
審査 | IPAが個別審査して認定するものではない | 認証機関が審査する |
表現 | 「宣言しました」 | 「認証を取得しました」 |
実務上の使い方 | 取組み開始・対外説明の入口 | より高度な対外証明・継続的管理 |
ISMSは、情報の機密性・完全性・可用性を保護する体系的な仕組みであり、技術的対策だけでなく、従業員の教育・訓練、組織体制の整備を含むものです。また、ISMS認証は、第三者である認証機関がISO/IEC 27001に基づいて適切に運用管理されているかを審査し、顧客や取引先に客観的に示す仕組みです。
つまり、SECURITY ACTIONは、ISMSの代替ではありません。ただし、中小企業がISMSやプライバシーマークのような本格的なマネジメントシステムに進む前の、現実的な第一歩として非常に有効です。
9. よくある誤解と注意点
誤解1:「一つ星を取ったので安全です」
正しくは、「一つ星を宣言し、情報セキュリティ6か条に取り組んでいます」です。安全性をIPAが保証しているわけではありません。
誤解2:「二つ星なら取引先審査は必ず通る」
二つ星は、自社診断と基本方針の外部公開を行った上で取り組む宣言です。取引先が求める多要素認証、ログ保存、委託先管理、事故報告体制、バックアップ復元テスト等を満たしているかは、別途確認が必要です。
誤解3:「自社診断は高得点でなければならない」
IPAは、二つ星の自社診断について、点数は何点でもよいとしています。重要なのは、低い点数を隠すことではなく、改善計画を立てて継続的に対策することです。
誤解4:「ロゴをWebサイトに貼れば十分」
ロゴの表示だけでは、取引先に説明できる体制とはいえません。情報セキュリティ基本方針、クラウド/SaaS台帳、個人情報管理台帳、アカウント棚卸し記録、教育記録、バックアップ復元テスト記録まで整えることで、初めて実務上の説明力が生まれます。
10. 二つ星を目指す会社が準備すべき文書・台帳
山崎行政書士事務所の企業法務実務では、二つ星を単なる申込作業として扱うのではなく、取引先に説明できる文書整備の入口として位置付けます。
文書・台帳 | 内容 |
情報セキュリティ基本方針 | 経営者名で、情報資産を守る方針を明示する |
情報管理規程 | 顧客情報、個人情報、営業秘密、契約書、認証情報の取扱いを定める |
クラウド/SaaS台帳 | 利用サービス、管理者、保存データ、MFA、ログ、退会時削除を管理する |
アカウント・権限台帳 | 管理者権限、退職者アカウント、共有ID、MFA設定を確認する |
個人情報管理台帳 | 取得元、利用目的、保存場所、委託先、保管期間、廃棄方法を記録する |
委託先管理台帳 | 委託先、委託内容、再委託、事故連絡先、契約条項を整理する |
バックアップ管理表 | 対象、頻度、保管場所、世代管理、復元テスト日を記録する |
教育記録 | 従業員へ情報管理ルールを周知した証拠を残す |
インシデント対応表 | 誤送信、紛失、不正アクセス、ランサムウェア時の初動を定める |
改善計画表 | 自社診断で弱かった項目について、担当者・期限・対策を決める |
二つ星を宣言する会社は、最低限、基本方針だけでなく、これらの運用記録を残す方向へ進むべきです。取引先から「具体的には何をしていますか」と聞かれたとき、ロゴだけでは説明できないからです。
11. Webサイトや会社案内での正しい表示例
SECURITY ACTIONを対外的に表示する場合、表現には注意が必要です。
不適切な表現
「SECURITY ACTION一つ星を取得しました」「IPAから二つ星の認定を受けました」「当社はIPA認定のセキュリティ企業です」
適切な表現
「当社は、IPAのSECURITY ACTION一つ星を宣言しました」「当社は、情報セキュリティ基本方針を策定・公開し、SECURITY ACTION二つ星を宣言しています」「当社は、情報セキュリティ6か条を踏まえ、継続的な情報管理体制の整備に取り組んでいます」
IPAは、SECURITY ACTIONが情報セキュリティ対策状況等を認定するものではないこと、誤解を招く表現を避けるべきことを明確に案内しています。
12. SECURITY ACTIONを取引先説明に使うときのポイント
SECURITY ACTIONは、取引先説明で有効に使えます。ただし、「宣言しています」だけでは不十分です。次のように、根拠資料とセットで説明することが大切です。
取引先からの質問 | 説明の仕方 |
情報セキュリティ方針はありますか | 二つ星を宣言し、情報セキュリティ基本方針を公開しています |
従業員教育はしていますか | 年1回の情報管理研修を行い、教育記録を残しています |
クラウド管理はしていますか | クラウド/SaaS台帳で管理者、保存データ、MFA、ログを確認しています |
バックアップはありますか | 重要データのバックアップ対象、頻度、復元テスト日を記録しています |
事故時の連絡体制はありますか | インシデント対応表と社内外連絡網を整備しています |
委託先管理はしていますか | 委託先台帳と契約条項で、再委託・事故報告・調査協力を管理しています |
取引先が本当に見ているのは、ロゴではありません。「方針」「台帳」「記録」「改善計画」があるかです。
13. 30日で始める実務ロードマップ
1週目:一つ星レベルの基本対策を確認する
情報セキュリティ6か条について、現状を確認します。OS更新、ウイルス対策、パスワード、共有設定、バックアップ、脅威教育をチェックします。
2週目:二つ星に必要な基本方針を作る
社長名で情報セキュリティ基本方針を作成します。難しい文章にする必要はありません。顧客情報、個人情報、取引先情報、営業秘密を守ること、従業員教育、事故対応、継続的改善に取り組むことを明記します。
3週目:自社診断を実施し、改善計画を作る
5分でできる!情報セキュリティ自社診断を実施し、弱い項目を整理します。点数の高さよりも、未対応項目を「誰が、いつまでに、何をするか」に落とし込むことが重要です。
4週目:外部公開と申込を行う
基本方針を自社Webサイト、会社案内、パンフレット等で外部公開します。その上で、GビズIDを用いてSECURITY ACTION管理システムから申込を行います。
14. まとめ:SECURITY ACTIONは「始めるための制度」であり、「守れている証明」ではない
SECURITY ACTIONは、中小企業が情報セキュリティ対策を始め、取引先に説明できる体制へ進むための有効な制度です。
ただし、正しく理解する必要があります。
SECURITY ACTIONは認定・取得ではなく、自己宣言である
一つ星は、情報セキュリティ6か条に取り組む宣言である
二つ星は、自社診断と情報セキュリティ基本方針の外部公開を伴う宣言である
ロゴだけではなく、規程・台帳・記録・改善計画が重要である
取引先説明では、「宣言」ではなく「実際の運用」を示す必要がある
山崎行政書士事務所では、行政書士として対応できる範囲で、SECURITY ACTION一つ星・二つ星に向けた情報セキュリティ基本方針、情報管理規程、クラウド/SaaS台帳、個人情報管理台帳、委託先管理台帳、インシデント対応表、取引先説明用資料の整備を支援しています。
技術的な脆弱性診断、フォレンジック調査、SOC運用、紛争性のある損害賠償交渉、訴訟対応等が必要な場合は、IT専門事業者、情報処理安全確保支援士、弁護士等と連携し、中小企業が「宣言して終わり」ではなく、実際に説明できる情報管理体制を構築できるよう支援します。
コメント