MENU

DX時代の「信頼」を証明する。SECURITY ACTION 二つ星取得の実務と経営的メリット

DX事例
  • URLをコピーしました!

中小企業の経営において、「情報セキュリティ」はもはや守りの施策ではなく、取引先から選ばれるための「攻めの経営資源」となりつつあります。

DX(デジタルトランスフォーメーション)を進める上で、避けて通れないのがセキュリティ対策です。しかし、「何から手をつければ良いかわからない」「規定作りが面倒だ」と躊躇されている経営者様も多いのではないでしょうか。

今回は、独立行政法人情報処理推進機構(IPA)が推進する「SECURITY ACTION(セキュリティ対策自己宣言)」について、その経営的な意味合いと、特に「二つ星(★★)」をスムーズに取得するための手順を解説します。

実は、要点を押さえれば、決してハードルの高いものではありません。現に当社(FP Supporters株式会社)でも、実質1営業日ほどで準備から申請までを完了し、二つ星を取得しております。

目次

なぜ今、SECURITY ACTIONなのか?

SECURITY ACTIONは、中小企業自らが「情報セキュリティ対策に取り組む」ことを自己宣言する制度です。取得することでロゴマークを名刺やHPに掲載でき、対外的な信頼性をアピールできます。

経営的なメリットは大きく分けて3つあります。

1. サプライチェーンからの信頼獲得

大企業や官公庁が取引先を選定する際、セキュリティ対策の有無は重要なチェック項目です。自己宣言を行うことは、ビジネスチャンスを逃さないための「必須要件」になりつつあります。

2. DX・ITツール導入の土台づくり

ここが最も重要です。当社が得意とするローコード/ノーコード開発生成AIの活用は、業務効率を劇的に向上させますが、適切なルール(ガバナンス)なしに導入すれば情報漏洩のリスクとなります。 SECURITY ACTIONに取り組む過程で社内ルールを明文化することは、安全に最新ITツールを使いこなすための土台となります。

3. IT導入補助金などの加点・必須要件

「IT導入補助金」における「デジタル化基盤導入枠」など、一部の公的支援制度ではSECURITY ACTIONの宣言(一つ星または二つ星)が申請の必須要件となっています。 ※あくまで補助金は手段ですが、制度を賢く活用して投資コストを下げる上でも、取得しておいて損はありません。

「一つ星」と「二つ星」の違い

SECURITY ACTIONには2つの段階があります。

  • 一つ星(★): 「情報セキュリティ5か条」に取り組むことを宣言。
  • 二つ星(★★): 「情報セキュリティ基本方針」を定め、外部に公開した上で宣言。

経営者様におすすめしたいのは、断然「二つ星」です。 一つ星は基本的な心構えの宣言に近いですが、二つ星は「会社としての方針(ポリシー)」を策定・公開するため、対外的な信頼度が格段に上がります。

実録:二つ星取得までの具体的ステップ

「基本方針の策定」と聞くと難しく感じるかもしれませんが、IPAが雛形を用意してくれています。当社の事例も踏まえ、最短ルートでの手続きをご紹介します。

ステップ1:現状の確認と学習

まず、IPAのサイトでセキュリティの基本を学びます。経営者や担当者が現状のリスクを認識することがスタートです。

IPA情報セキュリティ教材・ツール https://www.ipa.go.jp/security/sec-tools/index.html

ステップ2:情報セキュリティ基本方針の策定(ここが肝心です)

自社のセキュリティに対する考え方を明文化します。 「ゼロから書く」必要はありません。IPAが公開している「情報セキュリティ関連規程(サンプル)」を参考に、自社の実情(テレワークの有無や使用しているクラウドツールなど)に合わせて調整します。

当社の場合、既にWeb戦略やITツールの運用支援を行っているため、ベースとなる知見はありましたが、それでもこのサンプルを活用することで大幅な時短になりました。

ステップ3:基本方針の外部公開

策定した方針を、自社のWebサイトなどで公開します。URLがない場合は、PDF化して顧客に提示できる状態にするなど、外部から見える状態にする必要があります。

当社HPの例 privacy&security policies

ステップ4:自己宣言の申し込み

準備が整ったら、以下のIPA公式サイトから申請を行います。

SECURITY ACTION 自己宣言 申し込み https://www.ipa.go.jp/security/security-action/

手続き自体はシンプルです。不備がなければ、数週間程度でロゴマークのダウンロードが可能になります。当社の場合、方針策定から申請完了まで、実作業時間は1営業日以内で完結しました。

形式だけで終わらせないために

ロゴマークを取得して終わり、ではありません。宣言した内容を「実務」に落とし込むことが本質です。

例えば、

  • LINE公式アカウントでお客様とやり取りする際のルール
  • kintoneなどのローコードツールで顧客情報を扱う際のアクセス権限設定
  • 生成AIに機密情報を入力しないためのガイドライン作成

これらを整備して初めて、「セキュリティ対策ができている」と言えます。

「基本方針を作ったけれど、現場の業務フローにどう落とし込めばいいかわからない」 「便利なITツールを入れたいが、セキュリティ設定に不安がある」

そのようなお悩みがあれば、ぜひ専門家にご相談ください。 当社は、SECURITY ACTION二つ星取得企業として、またIT活用のプロフェッショナルとして、貴社の「守り」と「攻め」の両立をご支援いたします。

DX推進やIT活用、経営に関するご相談は、FP Supporters株式会社までお問い合わせください。
https://fps-biz.com/contact/

DX事例
セキュリティ
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

FP Supportersのアバター FP Supporters

多摩地域を中心に活動する中小企業診断士/FP1級技能士/プログラマーが経営する会社です。会社が本業に集中するための時間を生み出す、「すぐできDX」を推進しています。
経済産業省認定の経営革新等支援機関ですので、安心してご相談下さい。

おすすめ記事

目次