中小企業の情報セキュリティ対策ガイドライン第4.0版が公開されました。「何が変わったのか」「社長はどこから読めばよいのか」「担当者は何から始めるべきか」が分かりにくいと感じている方も多いでしょう。そこで本記事では、IPAの公式資料に基づき、第4.0版の対象、構成、主な改訂点、最初に読むべき箇所を整理します。第4.0版は2026年3月27日に公開され、経営者編・実践編・付録群で構成されています。

この記事でわかること

  • 第4.0版で何が変わったのか
  • 社長と担当者のどちらがどこから読むべきか
  • 70ページの本編と付録をどう使い分けるか

なぜ今、第4.0版を押さえるべきなのか

IPAが第4.0版を公開した背景には、ランサムウェア被害が情報漏えいだけでなく事業停止まで広がっていること、サプライチェーン全体で対策が求められていること、そして中小企業の内部で対策を進める人材が著しく不足していることがあります。今回の改訂では、こうした環境変化を踏まえて内容が見直されました。

主な改訂点として押さえたいのは、「バックアップを取ろう!」が加わって「情報セキュリティ6か条」になったこと、SCS評価制度の基本的な考え方が取り込まれたこと、付録1「中小企業のためのセキュリティ人材確保・育成の実践ガイドブック」が追加されたこと、そして付録3〜6が見直されたことです。第2部実践編も全面的に改訂されています。

このガイドラインは誰のためのものか

このガイドラインは、個人事業主や小規模事業者を含む中小企業等を対象としており、想定読者は経営者と、情報セキュリティ対策を実践する責任者・担当者です。扱う範囲は、業務におけるITの活用と情報資産の管理に関する情報セキュリティ対策で、工場設備や制御システム等の分野は対象外とされています。

つまり、普段の業務でパソコン、スマートフォン、メール、クラウド、顧客情報、見積書や契約書のデータを扱っている会社なら、まず読む価値があります。一方で、制御系や工場設備のセキュリティが中心テーマなら、別の資料もあわせて検討すべきです。

本編70ページと付録1〜8はどう読むか

IPAの紹介ページによると、本編は70ページで、第1部「経営者編」と第2部「実践編」から構成されています。第1部では、経営者が認識すべき「3原則」と、経営者がやらなければならない「重要7項目の取組」が示されています。第2部では、STEP1からSTEP4まで段階的に対策を進める考え方が整理されています。

付録も実務では重要です。付録1は人材確保・育成、付録2は情報セキュリティ基本方針のサンプル、付録3は「5分でできる!情報セキュリティ自社診断」、付録4は従業員向けハンドブックのひな形、付録5は情報セキュリティ関連規程のサンプル、付録6は資産管理台帳、付録7はクラウドサービス安全利用の手引き、付録8はセキュリティインシデント対応の手引きです。読むだけで終わるのではなく、埋めて、配って、運用するところまで見据えた構成になっています。

社長と担当者はどこから読むべきか

社長に最初に読んでほしいのは、第1部「経営者編」です。IPAは第1部を、すべての経営者に読んでほしい内容と位置付けています。なぜ対策が経営課題なのか、経営者が何を認識し、何を指示しなければならないのかを先に押さえるべきだからです。

担当者が最初に見るべきなのは、第2部のSTEP1とSTEP2です。STEP1では、すべての企業がまず取り組むべき「情報セキュリティ6か条」が示されており、OSやソフトウェアの更新、ウイルス対策、パスワード強化、共有設定の見直し、バックアップ、脅威や攻撃手口の把握が挙げられています。STEP2では、自社診断と基本方針の作成、周知が中心になります。

特に零細企業や兼務担当者であれば、「まず第1部で全体像をつかむ」「次にSTEP1で最低限の対策を確認する」「その後に付録2〜4を使って文書化と社内周知を始める」という順番が現実的です。

このガイドラインは「情シス向け手順書」ではなく「経営のガイド」

IPAは、このガイドラインを、経営者が認識し実施すべき指針と、社内で対策を実践する際の手順や手法をまとめたものと説明しています。つまり、単なる設定マニュアルではなく、社長と担当者が同じ方向を向いて取り組むための土台です。担当者任せにせず、経営者が方針を示し、必要な指示を出すことが前提になっています。

第1回で大切なのは、細かな設定項目を全部覚えることではありません。まず「自社では誰が責任を持ち、どの順番で進めるのか」を決めることです。第4.0版は、全部読んでから動くための資料ではなく、全体像をつかみ、使う付録を開き、できるところから段階的に進めるための資料と理解するのが実務的です。

まとめ

中小企業の情報セキュリティ対策ガイドライン第4.0版は、社長と担当者が一緒に使うためのガイドです。まずは第1部で「なぜ経営課題なのか」を押さえ、次に第2部で自社に合ったSTEPを選び、必要な付録を使って文書化と周知に進む。この順番で読むと、70ページという分量に圧倒されにくくなります。

次回は、「情報セキュリティ対策を怠ることで企業が被る不利益」を取り上げ、社長が最初に理解しておくべき損失と責任を整理します。