刷新！セキュリティ対策自己宣言「SECURITY ACTION」

　2026年4月、中小企業を対象としたセキュリティ対策自己宣言「SECURITY ACTION（セキュリティ・アクション）」が大きく刷新されました。すでに同制度で宣言を行い活用してきた事業者と、これから取り組む事業者の双方にとって、見逃せない変更となっています。

　今回の刷新の目玉は、新たに「SECURITY ACTION管理システム」を導入したこと。これにより、申請方法が従来から大きく変わりました。新規に申し込む事業者に大きなメリットがある変更ですが、制度の使い勝手や運用のあり方も進化しており、既存の自己宣言事業者も対応の検討が必要となりそうです。

　本稿では、SECURITY ACTIONを概括しつつ、刷新の概要から具体的な変更点や注目すべきポイント、そして中小企業が取るべき対応まで整理して解説していきます。

SECURITY ACTIONの概要

　中小企業においてもセキュリティへの関心が高まる中、認知が広まりつつある制度が独立行政法人情報処理推進機構（IPA）の「SECURITY ACTION」です。この制度は、企業が情報セキュリティ対策に取り組むことを自己宣言するものであり、基本的なセキュリティ対策である「★（一つ星）」、またはより体系的に取り組む「★★（二つ星）」のいずれかを選択します（関連記事：中小企業セキュリティの第一歩！SECURITY ACTION宣言）。

　コストは不要で、自己宣言（申込が必要）した企業は体系的なセキュリティ対策に取り組めることに加えて、ロゴマークの無料使用や宣言事業者として公式サイトへの掲載など対外的なPRや顧客・取引先にセキュリティ意識の高さを示すことができ、信頼関係の深化にもつながります。

　また、「デジタル化・AI導入補助金（関連記事：「デジタル化・AI導入補助金2026」の変更点と申請ポイント」をはじめとする補助金など国の支援策では、SECURITY ACTION自己宣言が申請要件や加点項目とされるケースが増えています。この意味で、同制度の位置づけは「宣言しておくと有利」から、「宣言しないと不利」へと変わりつつあります。

　なお、SECURITY ACTIONは“自己宣言”であり、IPAが中小企業のセキュリティ対策の状況を認定するものではありません。この点、取り組みやすさでもあり留意点であるともいえるでしょう。

申込手続きから管理まで“全面刷新”

　自己宣言により、ロゴマークを使用したり補助金申請に用いたりするには申込が必要です。従来、公式サイト内の「自己宣言申込フォーム」から手続きをして、自己宣言ID通知とロゴマーク使用許諾通知をメールで受け取るといったフローが求められました。

　今回、「SECURITY ACTION管理システム」の導入により、従来の申込手続きの仕組みを刷新しました。単に申込手続きが変わったというだけでなく、申込からロゴマーク取得、登録情報の更新までを一元的に管理できる統合システムとして運用そのものが新しくなったといえます。

2026年4月、SECURITY ACTIONでは申請方法が刷新され、運用の利便性がアップした（出典：IPAのSECURITY ACTION公式サイト）

　新たにSECURITY ACTION管理システムを導入したメリットとして、主に下記の項目が挙げられています。

　・GビズIDによる安全なログインと申込情報入力の効率化
　・申込直後に自己宣言IDやロゴマークを取得可能
　・登録情報の確認と変更、ロゴマークダウンロードが可能なマイページを提供
　・宣言事業者検索の機能充実

　これからSECURITY ACTIONの自己宣言を行う新規の事業者にとって利点が大きいといえますが、すでに宣言済みの事業者にも影響があります。これについては後述します。

管理システムの導入による具体的な変更点

　新システムの中核となるのが、「GビズID」との連携です。今後、SECURITY ACTIONの申込や管理には同IDを用いることとなります。

　GビズIDとは、さまざまな行政サービスや手続きに利用される共通認証アカウントであり、公式サイトから作成できます（取得に約2週間）。法人代表者や個人事業主のアカウントである「GビズIDプライム」に加えて、「GビズIDメンバー」「GビズIDエントリー」の3種類があります。自己宣言の申込では、プライムかメンバーが必要です。

　共通認証基盤を構成するGビズIDの導入により、SECURITY ACTIONは単独制度ではなく、他の公的制度と連動しやすい仕組みへと強化されたわけです。また、ログイン型のシステムとなったことで、宣言事業者は自社情報をいつでも確認・更新できるようになり、運用面での利便性も向上しました。

SECURITY ACTION自己宣言申込方法の新旧比較（出典：IPAのSECURITY ACTION公式サイトより引用し編集部にて作成）

　実務面でも、利便性の向上が見られます。申込方法が従来のフォーム入力から管理システム利用へと変更されたことで、手続きの一貫性と管理性が向上したことは前述の通りです。

　さらに、自己宣言IDやロゴマークの発行期間が短縮されました。従来は発行までに時間を要していましたが、新システムでは即時発行が可能となり、スピード感が格段に向上しています。宣言事業者の情報変更もメールによる個別対応から変更され、システム上で即時反映が可能です。

既存の自己宣言事業者への影響

　すでにSECURITY ACTIONを宣言している事業者にとって、管理システムの刷新に伴い「再申請が必要かどうか」は気になるところでしょう。前提としては、刷新以前の宣言自体は有効であり自己宣言IDとロゴマークとも従来通り利用できるので、基本的に再申請の必要はありません。

　ただし、いくつか注意点が指摘されます。大きな点では、「従うべきセキュリティ対策ガイドラインの改訂」と「補助金申請時の扱い」です。

　まず、前者について事業者が自己宣言するために従うべきセキュリティ対策の指針としてIPAが発行する「中小企業の情報セキュリティ対策ガイドライン」があります。

　このガイドラインが2026年3月に改訂されており、最新版の「第4.0版」が発行されました。SECURITY ACTIONを自己宣言する事業者に関係する主な変更内容は下記の2項目です。

　・「情報セキュリティ5か条」が「6か条」に（ランサムウェア攻撃やBCNの観点から「バックアップ」項目を追加）
　・「5分でできる！情報セキュリティ自社診断」の項目見直し（ウェブサイト管理」と「ネットワーク管理」を追加）

　前者は「一つ星」と「二つ星」に、後者は「二つ星」に関わるものです。改訂に伴う手続きなどは不要ですが、新規申込事業者だけでなく、既存宣言事業者も新しい改訂内容にもとづいて対策に取り組んでいるものとして扱われます。

　一方、補助金申請時の扱いでは、SECURITY ACTION管理システムでの自己宣言の申込が必要となる場合があります。例えば、2026年度の申請が開始されたデジタル化・AI導入補助金です。

　同補助金の第2次公募（2026年5月12日17時以降）からは、GビズIDを用いた新システムでの自己宣言IDが必要となります。なお、第1次公募では従来のIDと新システムで申し込んだIDの双方に対応しています。

　また、下記のようなケースでは、あらためて自己宣言の再申込が必要となる点にも留意しておく必要があるでしょう。

　・新システムの「宣言事業者検索」への表示（2026年3月以前の宣言事業者は新システムでは表示されないため、従来の宣言事業者一覧で確認）
　・「一つ星」から「二つ星」へステップアップ
　・所在地や担当者などの登録情報を変更
　・自己宣言IDやロゴマークZIPファイルのパスワードを失念
　・申込時に送付された自己宣言ID通知やロゴマーク使用通知の再送

　こうした点を鑑みれば、急を要さない場合であっても再申請しておくことが推奨されます。GビズIDを取得していれば即時発行が可能であり、手間もかかりません。未取得であっても、今後はGビズIDを使わなければならない手続きが増えるとされており、取得のうえSECURITY ACYION自己宣言の再申込を検討したいところです。

　相次ぐデジタル災害級のランサムウェア被害や、2026年度に運用開始が予定されている経済産業の「サプライチェーン強化に向けたセキュリティ対策評価制度」など、セキュリティへの関心度はこれまでになく高まっています。

　今回の管理システム刷新は、まだ自己宣言をしていない事業者にとってはセキュリティ対策の一環として宣言を行うよい機会であり、既存の宣言事業者にとっても即時対応・処理などの利便性と実用性が増したという点で価値があるといえるでしょう。