【IPAが”6か条”に格上げした理由】〜ガイドライン改訂が中小企業に突きつける現実〜
2026年3月、IPAは「中小企業の情報セキュリティ対策ガイドライン」を第4.0版として改訂した。長年「情報セキュリティ5か条」と呼ばれてきたチェックリストが、バックアップの追加によって”6か条”に格上げされた。同時に、生成AIの業務利用リスクやサプライチェーン評価制度の考え方も盛り込まれている。
「ガイドラインが更新された」と聞いて、PDFを印刷して棚に差し込む経営者は少なくない。あるいは「うちには関係ない」と読み飛ばす。そうした反応は理解できる。しかし今回の改訂は、単なる文書のアップデートではない。
なぜ今これが追加されたのか。その背景にある構造を理解しないまま対応しても、実態は何も変わらない。 本稿では、改訂の中身を経営判断の言葉で読み解き、中小企業が最初に手をつけるべき優先順位を整理する。
なぜ”5か条”は”6か条”になったのか
バックアップが「当然」ではなかった現実
5か条の時代、バックアップはガイドライン本文の中に含まれていた。「重要なデータは定期的にバックアップを」という記述は存在していた。それが今回、独立した1項目として格上げされた理由は単純だ。やれていない企業が、依然として多すぎるからである。
ランサムウェアの被害を受けた中小企業の多くが、復旧できない最大の理由はバックアップの不備である。「知っていたがやっていなかった」——この現象は、知識の問題ではなく、人間の行動特性の問題だ。「今すぐ困っていないこと」は後回しになる。損失が目に見えないうちは、対策のコスト感だけが先に立つ。行動経済学で言う「現在バイアス」がここに働いている。
「知っている」と「やっている」は別物である
IPAがあえてバックアップを独立項目に昇格させた背景には、「周知されているのに実施されていない」という実態がある。これはセキュリティ対策全般に共通する構造的な問題だ。正しい情報を届けることと、実際に行動が変わることは、まったく別の話である。
経営者が「バックアップは大事だと思っている」と言う。しかし、バックアップが「いつ取られているか」「どこに保存されているか」「復元テストをいつ最後にやったか」を即答できる経営者は少ない。知識があっても、運用が設計されていなければ意味をなさない。
格上げの意味は「優先度の宣言」である
ガイドラインの構成上、独立した条項になるということは「これだけは必ずやれ」という優先度の宣言である。IPAは今回の改訂で、バックアップを”知っておくべき知識”から”やっていなければならない運用”へと位置づけを変えた。 経営者はそのシグナルを正しく受け取る必要がある。
生成AIの業務利用リスクが盛り込まれた意味
生成AIは「便利なツール」である前に「情報の出口」である
今回の改訂に生成AIの業務利用リスクが盛り込まれたことは、現場の実態をそのまま反映している。ChatGPTをはじめとする生成AIサービスは、業務の効率化ツールとして中小企業の現場にも急速に浸透しつつある。しかし多くの場合、社内の情報管理ルールが整備されないまま、個人の判断で使われている。
生成AIに業務上の機密情報や顧客情報を入力すれば、それは外部サービスに送信される。「便利だから使った」という判断の積み重ねが、取り返しのつかない情報漏洩につながる可能性がある。生成AIは使い方次第で「情報の出口」になる——この認識が、今の中小企業には決定的に欠けている。
「禁止」では止まらない。制御の設計が要る
「では生成AIを禁止すればいい」という発想は、現実的ではない。現場の利便性が高いツールを禁止しても、こっそり使われるだけだ。禁止が機能しないのは、人間が「便利なもの」を前にすると、リスク判断よりも目先の利得を優先するからである。これはルールの問題ではなく、人間の意思決定の構造の問題だ。
経営者が取るべき手は、禁止ではなく「何を入力してはいけないか」「どのサービスを使っていいか」を明示したルール設計と、そのルールを現場が守れる運用の仕組みである。
ガイドラインはリスクの「存在」を教えてくれるが、「対応」は自社で設計する
IPAのガイドラインが生成AIリスクに触れたことは、「この問題は現実のリスクとして公式に認定された」というシグナルである。しかし、ガイドラインはリスクの存在を示すだけで、自社の業務に合った対応策は自分たちで設計するしかない。 その設計を誰かに任せきりにしている経営者は、対策の「形」だけを手に入れて安心する罠に落ちる。
サプライチェーン評価制度が示す「取引条件の変化」
セキュリティが「自社だけの問題」でなくなった
今回の改訂では、サプライチェーン評価制度の考え方が盛り込まれた。これは大企業が取引先の中小企業に対して、セキュリティ水準の確認・評価を行う仕組みである。セキュリティ対策の不備は、自社の問題だけでなく、取引先との関係に直結する経営リスクになりつつある。
「うちは小さい会社だから狙われない」という認識は、すでに時代遅れだ。大企業のサプライチェーンに組み込まれている中小企業こそ、攻撃者にとっては「大企業へ侵入するための入口」として機能する。
評価制度は「対策済み証明」を求めてくる
サプライチェーン評価制度が普及すると、取引先から「御社のセキュリティ対策状況を教えてください」という要求が来るようになる。その時に「対策はしています」と口頭で答えるだけでは通用しない。何をやっているかを文書で示せる状態になっているかどうかが、取引継続の条件になる。
これは遠い未来の話ではない。すでに一部の大企業・官公庁との取引では、セキュリティ対策の確認が標準的なプロセスになりつつある。
「取引条件」として語られる前に、自社の基盤を整えておく
経営者にとって、セキュリティ対策の動機は「攻撃を防ぐこと」だけではない。「取引を守ること」「信頼を維持すること」という経営上の実利として捉え直すことが、中小企業の現実的な動機設計になる。 ガイドラインの改訂を「制度への対応」としてではなく、「取引先との関係を守るための準備」として読むべきである。
経営者が改訂ガイドラインを読む時の視点
「何が変わったか」ではなく「なぜ変わったか」を読む
ガイドラインの改訂に際して、多くの経営者は「何が変わったか」を確認しようとする。しかしそれでは不十分だ。「なぜ今それが追加されたのか」という背景の構造を理解することが、経営判断の質を上げる。
バックアップが独立した理由は「被害が続いているから」。生成AIが追加された理由は「現場に浸透しているのにリスク管理が追いついていないから」。サプライチェーンが盛り込まれた理由は「中小企業が攻撃の経路になっているから」。この構造を読めば、対応の優先順位が自然と見えてくる。
「全部やろう」は「何もやらない」に等しい
ガイドラインを読んで「全部対応しなければ」と感じた瞬間、多くの経営者は思考停止する。やるべきことが多すぎると、人間は優先順位をつけることを放棄し、結果として何も動かなくなる。これも人間の判断特性の一つだ。「全部やること」ではなく「最初の一手を決めること」が経営者の役割である。
ガイドラインは「最低水準」であり「到達目標」ではない
IPAのガイドラインは、中小企業が取り組むべき最低限の水準を示したものである。6か条を全部クリアしたからといって、十分なセキュリティが確保されたわけではない。ガイドラインは出発点であり、そこから自社の事業特性に合った対策を積み上げていく姿勢が求められる。 「ガイドライン対応済み」を安心の根拠にしてはならない。
結論 — 経営者が取るべき次の一歩
IPAの第4.0版改訂は、バックアップの独立、生成AIリスク、サプライチェーン評価の3点を新たに盛り込んだ。いずれも「知識の問題」ではなく、現場で実行できていない・管理できていない構造の問題を突いたものである。ガイドラインは「何をやるべきか」を教えてくれるが、「なぜやれていないのか」を直視し、自社の運用として設計し直す作業は経営者自身が行うしかない。
経営者は、ガイドラインを「読んで終わり」にするのではなく、「自社で実際に動いている運用があるか」を確認する材料として使うべきである。
第一歩は、6か条のうち「バックアップ」だけを取り上げ、「いつ・どこに・誰が確認しているか」を今週中に確認することである。
