※本稿は2026年4月時点で公表されているIPA・経済産業省の資料に基づいています。SECURITY ACTIONの申込方法は2026年4月1日に変更され、現在は新しいSECURITY ACTION管理システムから申し込む方式です。

前回は、SECURITY ACTION★1が「まず始める」ための自己宣言であることを整理しました。今回は、その次の段階であるSECURITY ACTION★2を取り上げます。★1との違いは、基本対策を始めるだけでなく、自社の実施状況を診断し、会社としての情報セキュリティ方針を文書化して外部にも示すところにあります。サプライチェーン関連企業にとっては、ここから「社内でやっているつもり」ではなく、「社外に説明できる状態」へ進む段階だと整理すると分かりやすいです。

SECURITY ACTION★2は何を意味するのか

IPAは、二つ星を「5分でできる!情報セキュリティ自社診断」と「情報セキュリティ基本方針」を策定し外部公開したうえで、情報セキュリティ対策に取り組むことを宣言するものだと案内しています。すでに同等の取り組みができている中小企業等は、★1を経ずに二つ星から始めることもできます。

ここで注意したいのは、二つ星も認定や認証ではなく、自己宣言だという点です。IPAは、ウェブサイト等での表記について、「二つ星を取得しました」「認定を受けました」ではなく、「二つ星を宣言しました」という表現を使うよう明示しています。二つ星は、完璧な会社の証明ではなく、自社の現状を把握し、基本方針を社外に示した会社であることの表明です。

25項目の自社診断は「合否」ではなく「把握と改善」のために使う

中小企業の情報セキュリティ対策ガイドライン第4.0版では、STEP2を「組織的な取り組みを開始する」段階と位置付けています。そこで使うのが、付録3の「5分でできる!情報セキュリティ自社診断」です。ガイドラインでは、この自社診断を使って対策の実施状況を把握し、ただ確認するだけでなく、今すぐ改善すべき点や優先順位の高い対策を導くものだと説明しています。さらに、定期的に使うことで、最新の状態を保ち、変化するリスクに対応できるとしています。

設問は25項目あり、内容はかなり実務寄りです。OSやソフトウェアの更新、ウイルス対策、パスワード、バックアップ、脅威情報の共有だけではありません。電子メールの添付ファイルやURLへの注意、誤送信防止、安全な情報授受、無線LAN対策、書類や媒体の保管・持ち出し・廃棄、従業員教育、個人所有端末の業務利用、秘密保持条項、外部サービスの選定、インシデント対応準備、ルール化まで含まれます。つまり、★2は「パソコン数台の設定確認」で終わる話ではなく、業務のやり方全体を見直す入口です。

2026年3月の第4.0版改訂では、IPAは自社診断の項目を見直し、外部から内部ネットワークへの不要な通信の遮断ウェブサイトの安全な運用に関する項目を追加したと説明しています。これは、二つ星が従来よりも、社内端末の基本対策だけでなく、ネットワークや外部公開面も意識した内容になっていることを示しています。

よくある誤解ですが、二つ星の申込に合格点はありません。IPAのFAQでは、「何点以上必要か」という問いに対し、何点でもよいと回答しています。そのうえで、年に1回など定期的に自社診断を行い、対策状況を把握し、向上の計画を立てて実施するサイクルを回すことを期待するとしています。二つ星の本質は、点数を競うことではなく、現状把握と改善の継続にあります。

情報セキュリティ基本方針は、社長の意思表示として作る

STEP2でもう一つ重要なのが、「情報セキュリティ基本方針」です。ガイドラインでは、これは経営者が定めた情報セキュリティに関する基本方針を、従業員や関係者に伝えるための簡潔な文書としています。決まった書き方はなく、付録2のサンプルを参考にしながら、事業の特徴や顧客の期待を踏まえて、自社に合った内容にするよう案内されています。つまり、形式よりも、会社として何を守り、どう取り組むかを自分の言葉で示すことが大切です。

また、ガイドラインは、基本方針を従業員の指針であり、関係者に対して取り組みを表明するものだと説明しています。作成した文書は、従業員や顧客などの関係者に周知することが求められます。二つ星の意義は、単に紙を1枚作ることではなく、社内の行動基準と社外への約束を一致させることにあります。

外部公開の方法は、自社ウェブサイトだけに限られません。二つ星の案内ページでは、申込時に「自社ウェブサイトへの掲載」「会社案内やパンフレットへの掲載」「その他の方法」のいずれかを選択するとされています。FAQでも、自社ウェブサイト掲載が多い一方で、それに限定はされず、会社案内やパンフレットへの記載、問い合わせがあった際にメール添付で提供できる状態などの例が挙げられています。ウェブサイトを持たない零細企業でも、外部に示せる状態を作れば対応可能です。

ISMSの基本方針を公開している会社はどう考えるか

ISMSとの関係で見ると、IPAのFAQは、ISMS(ISO/IEC 27001)で求められる情報セキュリティ方針を公開している場合は、二つ星の「情報セキュリティ基本方針」を公開しているとみなせるとしています。一方で、個人情報保護方針だけでは足りないとも明記しています。個人情報保護は重要ですが、二つ星が求めるのは、個人情報だけでなく、組織の情報セキュリティ全体に関する理念や方針の表明だからです。

★1との違いは、「会社として回し始める」こと

★1は、情報セキュリティ6か条に取り組むことを宣言する段階です。これに対し、ガイドライン第4.0版では、STEP2は「基本的なセキュリティ対策を組織的に取り組むために、自社の弱みを把握し、基本的対策を決定する」段階と説明されています。具体的には、情報セキュリティ基本方針を作成し、自社診断で実施状況を把握し、対策を決定して周知する流れです。つまり、★2になると、個々の担当者の努力だけではなく、会社として対策を回す形が求められます。

IPAの説明資料でも、STEP2では、自社診断で問題があった項目について解説編を参考に対策を決定し、付録4の「情報セキュリティハンドブック(ひな形)」を編集して社内周知する流れが示されています。二つ星は、診断して終わりではなく、社内ルールに落として、従業員に伝えるところまでが実務です。

サプライチェーン関連企業では、★2をSCSの準備段階として見る

第4.0版のガイドラインは、経済産業省とIPAが、SCS評価制度の基本的な考え方を取り込んで改訂したものです。公開されている対応関係の図では、SECURITY ACTIONの★一つ星、★二つ星の先に、SCS評価制度の★3、★4、★5が並べられています。したがって、サプライチェーン関連企業にとって、二つ星は単独で完結する話というより、今後SCS★3や★4を考えるための準備段階と捉えるのが自然です。

特に中小企業では、いきなりSCS★3の要求事項や証跡整備に進むよりも、まず二つ星で自社診断と基本方針、そして社内周知の仕組みを整える方が現実的です。二つ星の段階で「何が弱いか」「誰に何を守ってもらうか」が見えていないと、その先の評価制度対応は形だけになりやすいからです。これは公的資料に明示された文言ではありませんが、公開されている制度対応関係からの実務上の整理です。

2026年4月時点の申込時の注意点

申込方法は2026年4月1日から変わりました。申込手順ページでは、法人・個人事業主はまずGビズIDプライムアカウントを取得し、そのうえで一つ星か二つ星かを選んで申込フォームに入力すると案内されています。また、「一つ星」と「二つ星」を同時に申し込むことや、双方のロゴマークを同時に使うことはできません。二つ星で申し込むには、自社診断の実施と基本方針の外部公開を済ませたうえで進める必要があります。

新しい管理システムでは、申込み直後に自己宣言IDを取得でき、マイページからロゴマークもダウンロードできるようになりました。一方で、FAQではSECURITY ACTION自体に有効期限はないとされています。ただし、宣言後の定期報告が不要である一方、二つ星については年1回など定期的な自社診断と改善サイクルを回すことが期待されています。有効期限がないから放置してよいのではなく、継続的に見直す前提の自己宣言だと理解した方が実務に合います。

まとめ

SECURITY ACTION★2は、基本対策を始めた会社が、次に自社の実施状況を可視化し、経営者の方針を文書で示し、社内外に伝える段階です。25項目の自社診断に合格点はありませんが、だからこそ「どこが弱いか」を正直に把握し、改善につなげることに意味があります。サプライチェーン関連企業にとっては、ここで会社としての対策の回し方を整えておくことが、その先のSCS対応の土台になります。次回は、いよいよSCS★3に進み、取引先に示しやすい「最低限の実装」とは何かを整理します。