本記事はcogley.jpの完全版の要約版です。制度の背景、正直な評価、ISO 27001との関係、詳細な実務手順などは完全版をご覧ください。
東京で小さなITサービス会社を運営している。ISO/IEC 27001の取得作業を進める途中で、IPAのSECURITY ACTION(セキュリティアクション)制度にたどり着いた。無料、自己宣言、半日で完了。日本で中小企業を経営していてセキュリティに関心があるなら、少なくとも存在は知っておいていい制度だ。
SECURITY ACTIONとは
認証ではなく自己宣言。2段階ある。
- ★一つ星:IPAの中小企業向け情報セキュリティガイドラインに沿って取り組むことを公的にコミットする。
- ★★二つ星:基本的な情報セキュリティ方針を策定・公開し、25項目の5分でできる自社診断を完了する。
どちらも無料、どちらも毎年更新。IPAのレジストリに掲載され、ウェブサイトに貼れるロゴがもらえる。
国際的な位置づけ: 最も近い類似制度は英国のCyber Essentials(2014年〜)だ。政府後押し・低摩擦・2段階・中小企業向けという構造がほぼ一致する。IPAは独自に設計しているので公式には派生制度ではないが、日本のセキュリティ実務家はこの2つを並べて語ることが多い。一方、外殻がIPA独自でも、土台の管理策はISO/IEC 27001(日本では JIS Q 27001 として採択)とNIST CSFにマッピングされていて、新しいSCS制度もこの国際規格群を下敷きにしている。
2026年4月のルール変更:gBizID Primeが必須化
2026年4月1日以降、宣言はgBizID(政府の法人共通認証)基盤に移行した。具体的にはgBizID Primeアカウントが必要で、これは代表者に紐づく。申請方法は2つあり、発行までの時間が大きく違う。
| 申請方法 | 必要なもの | 発行期間(デジタル庁) |
|---|---|---|
| オンライン申請 | 代表者のマイナンバーカード(署名用電子証明書有効)、PC、GビズIDアプリ入りスマホ | 最短即日 |
| 書類郵送申請 | 代表者の登録印鑑と印鑑証明書、印刷した登録申請書、郵送 | 原則2週間以内 |
出典:デジタル庁GビズIDクイックマニュアル 法人代表者編 Ver 1.4(2026年3月、PDF) 1ページ目「アカウント体系」表。
デジタル庁が推しているのはオンライン申請。PCで申請開始、画面のQRコードでスマホにGビズIDアプリをインストール、NFCでマイナンバーカードを読み取り、署名用電子証明書のPINで電子署名、当日発行も可能だ。
Primeを取得すると、管理コンソールからgBizIDメンバーを発行できる。実務はメンバーアカウントで行う。gBizIDはB2G(対政府)の本人確認レイヤとして静かに広がっているので、SECURITY ACTIONとは関係なく取る価値がある。
外国人代表者にとって本当の摩擦は、どちらの申請方法でもなくその手前の前提条件だ。どちらも住民票が起点になる(マイナンバーカードも印鑑登録も住民票が前提)。住民票がない代表者はgBizIDの内側ではなく手前で詰まる。
なぜいま重要なのか:SCS制度が来る
2026年3月、METIがSCS(Supply Chain Security)評価制度の制度構築方針を公表した。本格立ち上げは2026年度末(2027年3月頃)。5段階評価、NIST CSF 2.0準拠。日本の大手プライム(元請)企業(顧客と直接契約を結び、下請・孫請にコンプライアンス要件を流し込む側の大企業)が調達要件に書き込み始めることを想定している。
2つの制度がひとつの番号体系を共有している。★1と★2はSECURITY ACTION(IPA運営)、★3〜★5はSCS(METI運営)で、登録先も要件も費用も別物だ。番号を連続させているのはMETIの意図的な設計で、SECURITY ACTION ★★を取った会社がリセットではなく「次の一歩」として★3を目指せるようになっている。SECURITY ACTIONは入口であり、上には5段のピラミッドが築かれつつある。
正直な評価
認証ではない。コミットメントの表明だ。監査はない。ロゴの意味は「やると約束した」であって「検証された」ではない。Pマーク・ISO 27001が「検証済み」の枠を占めている。
ISO 27001を持っているなら★★は自明に満たせる。★★の実体は、まともなISMSが生成する成果物の部分集合だ。弊社は認証取得に向けてISMSを整備中で、gBizID Primeが発行され次第そのまま★★に進む予定。自社診断は既存エビデンスへのフォーマット作業でしかない。
ただし、ISO 27001では埋まらない枠を埋める。日本の中小企業・取引先・消費者はフッターの★★ロゴを読む。ISMSの登録番号では同じ信号は届かない。両方掲げるコストはほぼゼロだ。
IT導入補助金の必須要件でもある。★1または★2がないと申請できない。
実務手順
- gBizID Primeの申請方法を選ぶ。オンライン(最短即日・マイナンバーカード+スマホ)または郵送(約2週間・登録印鑑+印鑑証明書)。
- gbiz-id.go.jpで申請開始。ポータルが選んだルートに沿って誘導する。
- 運用担当者向けにメンバーアカウントを発行。
- IPA管理システムで宣言ウィザードを実行。
- ロゴを自社サイトに掲載。
- 毎年更新(無料)。
代表者がすでにPrimeを持っていれば本体作業は半日。長期ポールはPrime取得で、マイナンバーカードがあれば最短即日、郵送なら約2週間。
結論
日本で中小企業を経営していて★★を宣言していないなら、宣言しない理由はほぼない。無料、半日、gBizID Primeは遅かれ早かれ必要になる。SCSが到来する前に★★を取っておく価値は、取得コストを大きく上回る。ISO 27001を持っているなら、なおさら無料で併掲する価値がある。
詳細な背景、ISO 27001との関係、実務手順のより詳しい解説は、cogley.jpの完全版を参照してほしい。
この記事は cogley.jp に掲載されたものです。
Rick Cogley(コグレー・リック)は株式会社イソリアのCEO兼創業者。東京で日英バイリンガルITアウトソーシングとインフラサービスを提供中。