SECURITY ACTION（二つ星）の取得方法｜デジタル化・AI導入補助金の必須要件を解説（行政書士監修）

なないろNANAIRO

SECURITY ACTION（二つ星）の取得方法｜補助金の必須要件を実務で詰まらず進める

二つ星は「自社診断」と「基本方針の外部公開」がセット。締切直前の駆け込みを避け、申請と運用に接続できる形で整えるポイントを解説します。

※本記事は一般的な情報提供です。制度の要件・運用・提出書類・締切は改定されることがあります。申請前に必ず最新の公募要領・交付規程・事務局案内、SECURITY ACTIONの公式案内をご確認ください。

SECURITY ACTION（二つ星）は、情報セキュリティに組織として取り組む姿勢を外部に示す自己宣言です。二つ星のポイントは、単に申込みをするのではなく、次の2つを揃えてから宣言することにあります。

• 情報セキュリティ自社診断（25項目）を実施する
• 情報セキュリティ基本方針を策定し、外部公開したうえで宣言する

デジタル化・AI導入補助金では、申請要件または加点要件としてSECURITY ACTIONが扱われることがあります。実務で重要なのは、締切直前の駆け込みを避けることです。セキュリティ対策は「やったかどうか」だけでなく「運用できるかどうか」まで見られやすく、直前に作っただけの状態では、社内運用が伴わず形だけになりがちです。

また、二つ星は補助金のためだけに取るものではありません。取引先からセキュリティ対策を求められる場面は増えており、二つ星は最低限の体制があることを示す説明材料としても使いやすいです。特にBtoB取引では「取引開始時の確認」「情報共有時の条件」としてセキュリティ姿勢を問われることがあり、二つ星があると説明が短く済みます。補助金と取引先対策の両面で、先に整えておくほど実務が楽になります。

SECURITY ACTIONは段階型です。ここを曖昧にすると、申請時にどの水準が必要か判断しづらくなります。

一つ星

情報セキュリティ5か条に取り組むことを宣言する段階です。比較的取り組みやすい一方で、実務上は体制やルールがどこまであるかの説明材料としては二つ星より弱くなりがちです。いわゆる入口の宣言であり、まずは始めることを示す段階です。

二つ星

自社診断の実施と、情報セキュリティ基本方針の策定・外部公開を行ったうえで宣言します。二つ星は、宣言の中身として「自社診断を通して弱点を把握している」「基本方針を対外的に示している」ことが前提になるため、補助金・取引先対応の両方で説明がしやすいのが特徴です。さらに、二つ星を取る過程で、社内ルールの不足や運用の穴に気付きやすく、結果として事故が減ります。

補助金で一つ星でも足りるのか、二つ星が必要なのかは、公募回や申請類型で変わることがあります。したがって、迷う場合は二つ星を取っておく方が後工程の手戻りが少なく、横展開もしやすいのが実務的な結論です。

二つ星の自己宣言に必要な準備はシンプルですが、実務では外部公開がボトルネックになりやすいです。

(1) 情報セキュリティ自社診断（25項目）を実施

診断の目的は満点を取ることではありません。弱点を把握し、社内で改善の優先順位を決めるためのものです。中小企業で抜けやすいのは、次のような領域です。

• 端末やソフトの更新が遅れがち（古いOSやアプリが残る）
• パスワード運用が人任せ（使い回し、共有、変更ルール不在）
• バックアップが曖昧（頻度、保管場所、復元テストがない）
• 権限管理が属人化（退職者のアカウントが残るなど）
• 持ち出しルールがない（私物端末やUSBの扱い）
• 委託先の管理が弱い（外注やクラウド事業者との役割分担が不明確）
• 社内の教育がない（フィッシング対策や注意喚起が形骸化）

診断結果は「やりました」で終わらせず、後述の基本方針や社内ルールに接続させると、補助金申請でも説得力が増します。特に補助金では、導入後の運用ができるか、証憑や手続きが回るかが重視されるため、セキュリティの基本動作が整っていることは「事故を起こさずに運用できる会社」という評価につながりやすいです。

(2) 情報セキュリティ基本方針を策定し、外部公開する

二つ星で必須なのが、基本方針の外部公開です。実務で詰まりやすいのは、方針の文章そのものではなく、公開の段取りです。

• 自社サイトに掲載するなら、誰が更新できるか（更新権限）
• どのページに載せるか（見つけやすい場所）
• 公開日をいつにするか（申請スケジュールとの整合）
• パンフレット等で公開するなら、印刷や配布のタイミングはどうするか
• 取引先へ提示する場合、どの文書として提示するか（URL提示かPDFか）

補助金の締切が近いときに「サイト更新ができない」「社内確認が回らない」で止まりがちなので、最初に公開手段を決めておくのが安全です。特に外部公開は、社内で完結せずWeb担当や制作会社が絡むこともあり、短期間で動かないことがあります。

ここからは、現場で迷いがちな順番を整理します。最短で進めるコツは、申込み作業より先に社内準備を終えることです。

ステップ1 申請予定の公募回とスケジュールをざっくり決める

補助金は公募回ごとに必要要件の扱いが変わることがあります。まずは「いつ申請したいか」を決め、逆算の起点を作ります。締切に間に合わせるための作業ではなく、申請前に余裕を作るための作業です。

ステップ2 自社診断（25項目）を実施し、弱点をメモする

診断結果は社内で共有できる形にしておくと後工程が速いです。完璧なレポートは不要で、弱点と改善の方向性が分かれば十分です。ここで出た弱点が、補助金申請や導入計画の「課題」にそのまま使える場合もあります。

ステップ3 情報セキュリティ基本方針を作る

基本方針は長文である必要はありません。社内で守れる内容で、ルールに接続できることが大切です。抽象的すぎると運用に落ちませんし、逆に細かすぎると守れません。会社の実態に合う線を引くことが重要です。

ステップ4 外部公開を行う

Web掲載の場合は公開URLを控えておきます。パンフレット等の場合は、公開の事実を説明できる状態にしておきます。補助金提出で必要になる場面を想定し、いつでも提示できるようにしておくと安全です。

ステップ5 申込みを行い、自己宣言IDの取得とロゴ取得を確認する

申込み後は、自己宣言IDが取れていること、必要に応じてロゴが取得できることまで確認します。「申し込んだつもり」で止まるのが一番危険です。手続きは申込みで終わりではなく、結果として証拠を手元に残して初めて完了です。

制度・システムは更新されることがあり、申込み方式が切り替わるタイミングでは混乱が起きやすいです。実務上は次の点を強く意識してください。

• 申込み方法が変わると、必要な事前準備も変わる
• ログイン方式に移行する場合、ログインできないと申込み自体ができない
• 旧方式で取ったIDの扱いが、公募回によって変わることがある
• 案内ページの更新を見落とすと、手続きが止まる

このため、補助金申請を予定している場合は、SECURITY ACTION単体ではなく、周辺の準備も同時に進めると事故が減ります。締切直前に「申込み方法が変わっていた」「必要なIDが揃っていない」となると、申請書が完成していても提出できません。

二つ星は取得して終わりではなく、補助金申請や導入後の運用に接続できると強くなります。

(1) 基本方針は短く、運用できる内容にする

基本方針を立派な文章にしようとして止まるケースが多いですが、重要なのは運用できることです。おすすめは、次の要素を短く入れる形です。

• 情報資産を守る
• 法令や社内規程を遵守する
• 権限管理とアクセス管理を行う
• 教育と周知を行う
• インシデント時の報告と再発防止を行う

この方針があると、補助金申請で「なぜセキュリティ対策が必要か」「導入後どう運用するか」を説明しやすくなります。セキュリティ枠を検討する場合はもちろん、通常枠でも「止まらない運用」の説明として効きます。

(2) 自社診断の結果を改善計画に変換する

診断結果は、次のように課題、打ち手、体制に落とすと、補助金の文章が作りやすくなります。

例

• 課題：端末更新が遅れがち
  打ち手：更新ルールと担当を決め、台帳で管理
  体制：運用担当が月1で棚卸し
• 課題：バックアップが曖昧
  打ち手：頻度と保管場所、復元テストのルール化
  体制：実施記録を残し、月次で確認
• 課題：権限管理が属人化
  打ち手：退職・異動時のアカウント削除手順を整備
  体制：人事イベントと連動して必ず実行

このように整理できると、補助金の課題→打ち手→効果→体制の筋道が作りやすくなります。セキュリティは成果が見えにくいと言われますが、運用工数の削減、確認作業の短縮、インシデント対応時間の抑制など、現場の時間に落とすことでKPI化も可能です。

(3) 社内ルールに落とす最小セットを決める

二つ星の取得を機に、社内で最低限決めておくと効果が高いルールがあります。例えば次のようなものです。

• パスワードの作り方と変更ルール
• 端末更新の担当と更新頻度
• バックアップの頻度と復元テスト
• 退職・異動時のアカウント削除手順
• 外部委託先への権限付与と終了時の回収
• フィッシングメールの報告ルート

完璧な規程を作る必要はありません。最小セットを決めて運用を回すことが重要です。

実務で多い詰まりポイントを先回りで整理します。

• 基本方針は作ったが外部公開していない
• Web掲載の権限がなく、社内調整で時間がかかる
• 申込み後の確認をしておらず、自己宣言IDが手元にない
• 制度やシステムの更新を見落とし、申込み方法の違いで混乱する
• 補助金の公募回により必要条件が変わる点を見落とす
• 周辺の準備（ログインや権限等）が不足していて申込み自体ができない
• 社内の担当が決まっておらず、作業が止まる

特に外部公開と申込み後の確認は、直前に気付いても取り返しがつかないことがあります。二つ星は、申込み作業の前に社内の段取りを整えるほど安全です。

SECURITY ACTION（二つ星）は、自社診断（25項目）と情報セキュリティ基本方針の策定・外部公開をセットで行う自己宣言です。デジタル化・AI導入補助金では、要件または加点として扱われることがあるため、申請準備としても重要です。

実務上のポイントは次の通りです。

• 自社診断は満点狙いではなく、弱点の把握と改善計画に使う
• 基本方針は短く、運用できる内容にし、必ず外部公開する
• 申込みは締切直前に行わず、申込み後の確認（自己宣言IDの取得）まで完了させる
• 制度やシステムの更新がある前提で、最新案内を確認し、逆算で準備する
• 二つ星を取得したら、最小限の社内ルールに落として運用を回す

二つ星を早めに整えておくと、補助金の申請要件対応が楽になるだけでなく、社内のセキュリティ運用を整える入口にもなります。結果として、導入後の運用が止まりにくくなり、補助金を使ったDXをやり切りやすくなります。申請の具体的な手順と書き方も合わせてご確認ください。また、各申請枠の賢い選び方も参考になります。