2026年度、「IT導入補助金」は 「デジタル化・AI導入補助金」へ!

目次

1 デジタル化・AI導入補助金2026

2025年度までの「IT導入補助金」は、2026年度に「デジタル化・AI導入補助金」へ名称が変わります。ITツールの導入にとどまらず、より踏み込んだデジタル化の推進、AIの活用が重要であることを広く周知するためです。

デジタル化・AI導入補助金2026

中小企業デジタル化・AI導入支援事業事務局(以下「事務局」)によると、2026年2月16日時点で、公募要領は準備中となっています。また、IT導入支援事業者の登録申請、ITツール(ソフトウェア、サービス等)の登録申請、中小企業・小規模事業者等による補助金の交付申請の受付開始は、いずれも2026年3月末が予定されています。詳細は次のウェブサイトからご確認ください。

■デジタル化・AI導入補助金2026■
https://it-shien.smrj.go.jp/

2 5つの申請枠―それぞれの概要

デジタル化・AI導入補助金2026では、

  • 通常枠
  • 複数者連携デジタル化・AI導入枠
  • インボイス枠 (インボイス対応類型)
  • インボイス枠(電子取引類型)
  • セキュリティ対策推進枠

の申請枠があります。以降では、それぞれの交付規程を基に概要を紹介します。

1)通常枠

働き方改革、被用者保険の適用拡大、賃上げ、インボイスの導入などに対応するため、生産性向上・業務効率化に役立つITツール(ソフトウェアやAIを含む)の導入経費の一部を補助するものです。

(図表2)【通常枠の概要】

補助額 5万円~150万円未満 150万円~450万円以下
機能要件 1プロセス以上 4プロセス以上
補助率 1/2以内
※令和6年10月から令和7年9月までの間で、「当該期間における地域別最低賃金以上~令和7年度改定の地域別最低賃金未満」で雇用している従業員が全従業員の30%以上である月が3か月以上ある場合は、2/3以内
補助対象経費 ソフトウェア購入費、クラウド利用料(クラウド利用料最大2年分)、導入関連費

(出所:「中小企業デジタル化・AI導入支援事業費補助金交付規程 通常枠(別表)」)

補助額ごとに必要となるプロセスの要件については事務局が公募要領等にて定めることとされています。なお、プロセスとは、以下のいずれかに該当する工程の生産性向上または効率化に資する機能を指します。

  • 顧客対応・販売支援
  • 決済・債権債務・資金回収
  • 供給・在庫・物流
  • 会計・財務・経営
  • 総務・人事・給与・労務・教育訓練・法務・情シス・統合業務
  • 業種固有
  • 汎用・自動化・分析ツール

2)複数者連携デジタル化・AI導入枠

商業集積地やサプライチェーンに関連する複数の中小企業・小規模事業者等が連携し、ITツールを導入する場合、「通常枠」よりも補助率を引き上げて支援するものです。

なお、補助対象となるハードウェア購入費は、以下に限定されます (該当しない機器および周辺機器の購入費は補助対象外)。

  • PC・タブレット等:PC、タブレット、プリンター、スキャナー、複合機
  • レジ・券売機:POSレジ、モバイルPOSレジ、券売機

(図表3)【複数者連携デジタル化・AI導入枠の概要】

経費区分 補助対象 補助額 補助率 補助対象経費 補助金の上限額
インボイス対応類型等の要件に属する経費 ITツール(ソフトウェア・オプション・役務) ~350万円 内、~50万円以下 3/4、4/5以内*1 ソフトウェア購入費*2、クラウド利用費(最大2年分)*2、導入関連費、ハードウェア購入費 3,000万円
内、50万円超~350万円 2/3以内
PC・タブレット等 ~10万円 1/2以内
レジ・券売機 ~20万円 1/2以内
上記類型の要件に属さない複数者連携デジタル化・AI導入枠特有の経費 消費動向等分析経費 50万円×グループ構成員数*3 2/3以内 各種システム*4、ソフトウェア購入費*2、クラウド利用費(1年分)*2、導入関連費
AIカメラ・ビーコン・デジタルサイネージ等
代表事業者が参画事業者を取りまとめるために要する事務費、外部専門家謝金・旅費 インボイス対応類型の要件に属する経費と消費動向等分析経費を加えた費用の10パーセント 2/3以内 200万円

(出所:「中小企業デジタル化・AI導入支援事業費補助金交付規程 複数者連携デジタル化・AI導入枠(別表)」)

(注1)*1の補助率は、中小企業は3/4以内、小規模事業者は4/5以内です。

(注2)*2のソフトウェア購入費、クラウド利用費は、会計、受発注、決済のいずれかの機能を有するものが対象です。

(注3)*3のグループ構成員数は、消費動向等分析経費の対象となるITツールを導入するグループ構成員が対象となります。

(注4)*4の各種システムは、消費動向分析システム、経営分析システム、需要予測システム、電子地域通貨システム、キャッシュレスシステム、生体認証決済システム等が例示されています。

3)インボイス枠 (インボイス対応類型)

インボイス制度への対応を強力に推進するため、インボイス制度に対応した会計ソフト等を導入する場合、「通常枠」よりも補助率を引き上げて優先的に支援するものです。

なお、補助対象となるハードウェア購入費は、以下に限定されます (該当しない機器および周辺機器の購入費は補助対象外)。

  • PC・タブレット等:PC、タブレット、プリンター、スキャナー、複合機
  • レジ・券売機: POSレジ、モバイルPOSレジ、券売機

(図表4)【インボイス枠(インボイス対応類型)の概要】

ITツール PC・タブレット等 レジ・券売機
補助額 (下限なし)~350万円 ~10万円 ~20万円
内、~50万円部分 内、50万円超~350万円部分
機能要件 会計・受発注・決済のうち1機能以上 会計・受発注・決済のうち2機能以上 左記ITツールの使用に資するもの
補助率 3/4以内
※小規模事業者は4/5以内		 2/3以内 1/2以内
補助対象経費 ソフトウェア購入費*1、クラウド利用費(クラウド利用最大2年分)
*1、ハードウェア関連費、導入関連費

(出所:「中小企業デジタル化・AI導入支援事業費補助金交付規程 インボイス枠(インボイス対応類型) (別表)」を基に作成)
(注)*1のソフトウェア購入費、クラウド利用費は、会計、受発注、決済のいずれかの機能を有するものが対象です。

4)インボイス枠(電子取引類型)

取引関係における発注者がインボイス制度対応のITツール(受発注ソフト)を導入し、当該取引関係における受注者である中小企業・小規模事業者等に対して当該ITツールを供与する場合に、ITツールの導入経費の一部を補助するものです。

(図表5)【インボイス枠(電子取引類型)の概要】

補助額 (下限なし)~350万円
機能要件 インボイス制度に対応した受発注の機能を機能を有しているものであり、かつ取引関係における発注側の事業者としてITツールを導入する者が、当該取引関係における受注側の事業者に対してアカウントを無償で発行し、利用させることのできる機能を有するもの
補助率 中小企業・小規模事業者等:2/3以内
その他の事業者等:1/2以内
補助対象経費 クラウド利用費(クラウド利用料最大2年分)
ただし、契約する受注側のアカウントの総数のうち、取引先である中小企業・小規模事業者等に供与するアカウント数の割合を乗じた額が補助対象経費とする

(出所:「中小企業デジタル化・AI導入支援事業費補助金交付規程 インボイス枠(電子取引類型)(別表)」を基に作成)

5)セキュリティ対策推進枠

中小企業・小規模事業者等のサイバーセキュリティ対策を強化して、サイバーインシデントを原因として事業継続が困難となる等の生産性向上を阻害するリスクを低減するとともに、供給制約やそれに起因する価格高騰といった潜在的リスクを低減するために、ITツールの導入経費の一部を補助するものです。

(図表6)【セキュリティ対策推進枠の概要】

補助額 5万円~150万円
機能要件 独立行政法人情報処理推進機構が「サイバーセキュリティお助け隊サービスリスト」に掲載しているいずれかのサービス
補助率 1/2以内
※小規模事業者は2/3以内
補助対象経費 サービス利用料(最大2年分)

(出所:「中小企業デジタル化・AI導入支援事業費補助金交付規程 セキュリティ対策推進枠(別表)」を基に作成)

3 交付申請の前提となる2つの手続き

1)GビズIDの取得

デジタル化・AI導入補助金の交付申請には、GビズID(一つのID・パスワードで、複数の行政サービスにログインでき、補助金申請、社会保険手続き、各種認可申請など業務上の電子届出や申請に使用できるサービス) のプライムアカウント (GビズIDプライム)が必要です。GビズIDプライム発行までの期間は、おおむね2週間です。

■GビズID■
https://gbiz-id.go.jp/top/

なお、2026年3月下旬から、GビズIDアプリによる認証 (ログイン) 方法が変わります。最新情報については、次のウェブサイトをご確認ください。

■GビズIDアプリについて■
https://gbiz-id.go.jp/top/app/app.html

2)SECURITY ACTION宣言の実施

交付申請の要件にはGビズIDプライムの取得に加え、情報処理推進機構(IPA) が実施する「SECURITY ACTION」の宣言が必要になります。「SECURITY ACTION」の宣言は、中小企業・小規模事業者等が情報セキュリティ対策に取り組むことを自己宣言する制度です。取り組み目標に応じて「★一つ星」と「★★二つ星」のロゴマークがあり、宣言するには、中小企業の情報セキュリティ対策ガイドライン付録の

  • 「情報セキュリティ5か条」に取り組むこと (★一つ星)
  • 「5分でできる! 情報セキュリティ自社診断」で自社の状況を把握した上で、情報セキュリティ基本方針を定め、外部に公開すること(★★二つ星)

が必要です。

■SECURITY ACTION セキュリティ対策自己宣言■
https://www.ipa.go.jp/security/security-action/it-hojo.html

なお、SECURITY ACTIONは、2026年4月に新しいシステムをリリース予定です。第1次公募(2026年3月~5月ごろ予定)の申請は現在の方法で取得した自己宣言ID、および新システムにより取得した自己宣言IDの双方で申請が可能です。ただし、第1次公募で補助金申請した後、不備訂正があり第2次公募の期間に自己宣言IDを提出する必要がある場合には、デジタル化・AI導入補助金で使用したGビズIDを用いて、新システムでの自己宣言のお申し込みが必要になります。

第2次公募(2026年5月頃開始予定)以降は、現在の自己宣言IDでは申請できなくなります。以降の申請にはデジタル化・AI導入補助金で使用するGビズIDを用いて、新システムでの自己宣言のお申し込みが必要です。

■新システムリリースのご案内: SECURITY ACTION セキュリティ対策自己宣言■
https://www.ipa.go.jp/security/security-action/news/sa-notice-202602.html

以上(2026年3月更新)

pj00758
画像:takasu-Adobe Stock

長期休暇があったらどうする? 経営者に「もしも」を聞いてみた

目次

1 もしも1週間の休暇を取得できるとしたら?

もしも、1週間だけ「経営者」という肩書きを脱ぎ捨てて過ごせるとしたら・・・・・・?

海、山、街、あるいはストイックな自己研鑽の場。どこへ向かい、何をするかはまさに人それぞれ。また明日から頑張るために、経営者はどこで「ガソリン」を満タンにするのか。

今回は、中小企業の経営者214人に、そんな「もしもの話」についてアンケートを実施し、

  • もし、業務に全く影響が出ない1週間の休暇があったとしたら、取得しますか?
  • 1週間の休暇を、どんな風に過ごしますか?

という2つの質問をしました。経営者の素顔や価値観が垣間見える結果が集まりましたので、この記事で個性豊かな回答をご紹介します。

アンケートは2025年8月に、インターネットを通じて行いました。回答の中で、明らかに誤字と思われる表記などは修正しています。

2 夢の長期休暇! もちろん優勢な「取得する」

1週間の休暇を取得できるとしたら

アンケートの結果、

「取得する」と答えた人は、78.0%

でした! 「取得する」派の経営者は、1週間の休暇で一体何をしたいのか? 次章からは、個性豊かな回答を部門に分けて紹介していきます。

3 海、山、街・・・・・・自由な時間でどこに行く?

自由な時間でどこに行く?

夢の長期休暇。経営者たちは一体どんな方法で羽を伸ばすのでしょうか?

海派の意見

「ハワイのコンドミニアムでのんびり過ごす」 「ビーチリゾートでのんびり過ごしたい」「ゆっくり船旅をしたい」 「バリ島で、のんびりしたい」 「家族と石垣島へいってマリンアクティビティをする」 「海でのんびりなにもせず一日を過ごしたい」 「ハワイのリゾートホテルでのんびりしたい」 「ビーチリゾートでサーフィンがしたい」 「ビーチでの非日常体験」

山派の意見

「静かな湖畔でキャンプしながら自然を感じたい」 「キャンプ旅行に出かけたい」「山の中で静かに過ごしたい」 「軽井沢でのんびりしている」 「山の見えるところで、のんびり過ごす」 「キャンピングカーで車中泊しながらの旅行」 「登山と旅行」 「観葉植物の手入れ、山の別荘でのんびりしたい」

温泉派の意見

「温泉につかって美味いものを食べたい」 「湯治に行く」 「温泉旅行でのんびり」 「温泉リゾートで読書三昧」 「ゆっくりと温泉に浸かってデトックスをしたい」 「温泉旅館でゆっくり過ごしたい」

街派の意見

「妻とお城周りをしたい」 「昔行ったアフリカに又行きたい」 「夫婦二人で温泉地や神社仏閣を巡ってみたい」 「学生時代に過ごしたワシントンDCの各所を再訪したい」 「タイに行く」

趣味に費やす派の意見

「野菜づくり」 「ゴルフ三昧」 「ロックのCDを大音量で聞く」 「家で酒」 「趣味の写真を楽しみたい」 「思い切り釣り」 「ラグビー観戦に行く」

自宅でのんびり派の意見

「何も考えずのんびりしたい」 「自宅でのんびり」 「ボケーっと何もしない」「どこでもいいので何も考えずゆっくり過ごす」 「時間に捕らわれずなすがままの流れで過ごしてみたい」

ストイックに自己研鑽派の意見

「整理整頓」「別の仕事をして生活費を稼ぐ」 「リゾート物件視察」

以上(2026年2月作成)

pj00807
画像:日本情報マート

【書籍ダイジェスト】『日本経済の死角』

本書は、「生産性が上がれば賃金も上がる」という通説に対し、日本ではこの関係が崩れていることを示すとともに、経済停滞の原因を、従来はあまり注目されてこなかった「死角」から明らかにする。
実質賃金が上がらない一方で物価が上がる背景には、高齢者や女性を中心とする労働力の増加、残業規制の影響などがあるという。また、イノベーションによって実質賃金を上げるには、「平均生産性」より「限界生産性」を高める必要があるとし、収奪的ではなく包摂的なイノベーションの必要性を説く。

書籍ダイジェストは、こちらからお読みいただけます。pdf

【有利な契約】トラブルなく「契約解除」をするための基礎知識

目次

1 ビジネスシーンで欠かせない契約

円満に始まった取引でも、実際に動き出すと「想定よりも品質が悪い」「納期遅れが頻発する」などの問題が生じることは珍しくありません。場合によっては契約解除を検討しますが、このようなときのトラブルを避けるために、

契約締結時に、解除条項をできるだけ具体的に規定すること

が大切です。

一方、継続的契約の場合、先々を見越して契約期間を長期に定めたり、契約期間を定めなかったりするケースがあります。一見、収益を安定させる自社にとって有利な条件のように思えますが、その間は自社も契約解除ができない諸刃の剣となります。

以上を踏まえつつ、この記事では「契約解除」について知っておきたい基礎知識を紹介します。契約が解消されるパターンは

  • 契約の無効: 契約内容が公序良俗に反するなど、効力が認められない
  • 契約の取消し: 未成年者が締結したなど、契約締結時に遡って取り消すことができる
  • 契約解除: 契約自体は有効だが、契約を解消することができる (1.と2.以外のケース)

の3つに大別されますが、この記事で注目するのは「3.契約解除」です。

2 任意規定と強行規定

任意規定とは、

当事者の意思によって変更することができる法令上の規定

です。民法の規定の多くは任意規定です。当事者が契約で定めた内容は任意規定に優先します。

強行規定とは、

当事者の意思によって変更することが許されない法令上の規定

です。下請法(2026年1月からは取適法)や労働法、消費者契約法などの規定の多くは強行規定です。当事者が契約で定めた内容でも、強行規定に反すれば無効です。

つまり、解除条項が強行規定に反すれば無効です。例えば、「倒産解除条項」などが該当します。倒産解除条項とは、

仮差押え、税金の滞納、支払停止など相手方に強い信用不安が生じたときや、破産・民事再生・会社更生手続開始の申立てがあった場合などに、無催告解除できる

というものです。

分割払いで商品を購入する際に、売主が代金完済まで所有権を留保する所有権留保契約では、買主に倒産手続の申立てがあった場合、契約を解除できる特約が設けられることがあります。このような特約があると、買主が民事再生手続を申し立てた途端に、事業に必要な設備や在庫を失うことになります。

例えば、製造業者が事業設備を所有権留保付きで購入していた場合、民事再生の申し立てを行ったことにより事業設備を引き揚げられてしまうと事業の継続が困難になります。これでは、民事再生による事業再建という制度趣旨が損なわれてしまいます。

そこで、譲渡担保法により、民事再生手続や会社更生手続の申立てがあったことや、その原因となる事実が生じたことを理由とする契約解除特約は無効と定められています。これにより、倒産手続における買主の事業継続が保護されるのです。

3 法定解除と約定解除

法定解除とは、

法律の規定に基づいて契約を解除すること

です。例えば、民法には債務不履行を理由とする契約解除が定められているので、相手に債務不履行があれば、契約書に解除条項がなくても契約解除ができます。

一方、約定解除とは、

契約の条項に基づいて契約を解除すること

です。例えば、契約に「営業停止、営業免許・営業登録・営業許可の取消し等の行政上の処分を受けたとき」などと定めた場合、実際に相手が支払停止などの状態に陥ったときは契約解除ができます。

4 継続的契約か否か

継続的契約であるか否かは、契約上の文言ではなく、取引の実態で判断されます。裁判例では、継続的契約の要件として、

取引の種類、態様、支払手段、契約当事者の意思等によって定まるものであって、契約書の存否によって左右されるものではない

と示されています。

そして、契約解除において、継続的契約か否かは大切なポイントとなります。継続的契約を解除する場合、

契約で定められている要件に該当することに加え、裁判例上、「解除につきやむを得ない事由」があるか否かを問われる

ことがあります。例えば、納期が遅れた場合は催告なしに、即刻、契約を解除できる旨を定めていたとしましょう。この規定自体は問題なく、わずかに納期が遅れた場合でも、契約の解除を求めることができます。

しかし、それが継続的契約の場合、相手との継続的な取引を念頭に、もう一方の契約の当事者が設備投資を行ったり、社員を雇用したりしていることがあります。こうした事情に鑑みて、解除してもやむを得ない事情があるかが問われるのです。そのため、わずかな納期遅れのような、軽微な債務不履行では契約の解除が認められないことがあります。

やむを得ない事情の有無は、契約を解除する必要性、契約当事者間で想定していた契約期間、契約解除により当事者に与える影響、下請契約であるなど解除する側とされる側の力関係や、継続的な取引を継続することが困難なほど信頼関係が破壊されたといえるかなどが考慮されるようです。

以上(2026年1月更新)
(監修 弁護士 田島直明)

pj60153
画像:pixabay

360度評価で働き方の「指さし確認」をしてみよう

目次

1 本当に会社の方針や時代に合った働き方はできているか?

360度評価とは、

上司、同僚、部下、取引先や顧客など、立場や関係性の異なる人たちが評価者となり、文字通り360度の方向から被評価者の仕事ぶりを評価する制度

です。360度評価の主な役割は、

評価者(上司)が多忙だったり評価に不慣れだったりする場合でも、「目」を増やして評価を補完できること

です。しかし、ここにきて別の役割が期待されています。それは、

各評価者からのフィードバックを通して、被評価者の働き方が、本当に会社の方針や時代に合ったものかを「指さし確認」すること

です。例えば、「昭和・平成の時代では普通」とされていた指導やコミュニケーションが、「令和の時代ではハラスメント」と指摘されるのはよくあるケースです。評価者が1人だとこうした問題に気付けない恐れがありますが、世代や立場の違うさまざまな人が評価者になることで、

社員は互いに「自分は今の状態で大丈夫なのか?」と確認することができる

わけです。

そこでこの記事では、360度評価における経営者の役割、被評価者・評価者の選び方などを紹介します。なお、

通常、360度評価は報酬決定(賞与や昇給など)につながる人事考課とは切り離して運用

されます。評価者が増えることで被評価者の報酬が変動しやすくなるリスクがあるからです。この記事でも、360度評価は人事考課と切り離して考えます。

2 360度評価における経営者の役割

社員は上司から評価されることには慣れていますが、同僚、部下、取引先などから評価されるのには慣れていません。ですから、360度評価の結果が良くないものだった場合、それを冷静に受け止められない恐れがあります 。例えば、管理職が部下から低い評価を受けた場合、

  • 「自分を低く評価するなんて許せない!」と憤慨する
  • 「部下が何と言おうと関係ない。今まで通りやる」と開き直る
  • 「自分は管理職失格だ・・・・・・」と必要以上に落ち込む
  • 「もう部下に嫌われたくない・・・・・・」 とおびえて指導に消極的になる

といったケースが考えられます。

これでは360度評価の意味がないので、経営者は事前に社員に次の2点を伝えましょう。

  • 評価結果は評価者の「主観的」な意見であり、妥当性は一旦横に置いてほしいこと
  • 1.を踏まえ、評価結果を「自分の働き方を見直すためのヒント」にしてほしいこと

評価者の中には評価に不慣れな人も多いですし、被評価者について知っていること、知らないことにもバラつきがあります。また、単純な好き嫌いで評価してしまう人もいるでしょう。

ですから、正当かどうかはともかく、フィードバックを受けた被評価者が、「そういう考え方もあるのか」「言われてみればそうかもしれない」と気付きを得て、自分の働き方の見直しに活かしていくことができ、そこには大きな意味があります。

360度評価を実施するに当たって重要なのは、「評価結果を過大にも過小にも受け止めず、客観的に見てほしい」という経営者のメッセージ

です。

3 匿名性を確保しつつ、被評価者・評価者を選ぶ

1)被評価者

360度評価を報酬や配置など人事考課と切り離して運用する場合、全社員を被評価者にする必要はなく、

  • 管理職のマネジメント能力を確認したいので、管理職を被評価者にする
  • プロジェクトチームの雰囲気などを確認したいので、メンバーを被評価者にする
  • 他社に出向している社員の状況が分からないので、出向社員を被評価者にする

といった具合に、経営者の方針で決めていきます。なお、部下や後輩がいない社員は360度評価の対象になりにくいですが、リーダーとしての資質などを確認するために、複数の管理職や同僚、取引先などを評価者にして実施することも効果的です。

2)評価者

評価者を選ぶ場合、上司、同僚、部下、取引先や顧客などの中から、

  • 被評価者と業務上の接点があり、接触する頻度が高い人
  • 被評価者の業務内容や求められている役割について、ある程度知っている人

を選びます。評価者の人数は、会社の規模や被評価者の状況によって変わりますが、できれば上司、同僚、部下、取引先など各レイヤーで2人以上いると好ましいです。取引先などに評価してもらう場合、被評価者が自ら取引先に依頼する方法もあります。そうすれば、評価結果をより真摯に受け止められるでしょう。

なお、一概には言えませんが、上司以外の評価者については次のような特性がありますので、念のため触れておきます。

1.同僚

被評価者と同レベルの仕事を行っていて、被評価者の仕事内容や仕事の進め方を理解しています。ただし、友人・ライバルなどの場合、なれ合いや足の引っ張り合いにもなり得ます。

2.部下

上司の言動を日ごろから観察していて、良い点も悪い点も把握しています。ただし、上司の仕事内容についての理解が浅く、厳しい、優しいなど表層的な基準で評価することがあります。

3.取引先や顧客

被評価者の接客レベルなどの他、評価結果から取引先や顧客のニーズも知ることができます。ただし、社外の人間なので、評価者になってもらうには相応のハードルがあります。

3)匿名性の確保が大前提

評価者が安心して本音を伝えるには、厳格な「匿名性」の担保が前提です。特に中小企業のように、一人ひとりの顔が見える規模の組織では、コメントの内容から誰が書いたかが容易に推測できてしまうリスクがあります。匿名性を確保するポイントの例は次の通りです。

  • 各レイヤー (同僚、部下など) で複数の評価者を選定する
  • 自由記述は人事が文体を整えたり、箇条書きに要約したりして個人の特定を防ぐ
  • 集計・分析を外部の専門ベンダーに委託し、社内で生データを閲覧できないようにする

4 設問は30問以内で、抽象的な質問はなるべく避ける

設問は30問以内5段階評価など選択式を基本としつつ、自由記述式の設問も交えます(10~15分程度で完了できるのが理想)。項目が多すぎると一つひとつの評価が浅くなり、フィードバックも表面的になりがちです。

また、その際、被評価者本人にも同じ設問を送り、自己評価をしてもらいます。自己評価と他者評価のギャップが分かると、自身の働き方について気付きを得やすくなるからです。

質問内容は、できるだけ定義がブレない具体的な行動事実にフォーカスします。抽象的な項目(NG例) と具体的な行動指標 (OK例) の例は次の通りです。

  • (NG例) コミュニケーション能力があるか → (OK例) 相手の話を最後まで傾聴し、理解した上で応答しているか
  • (NG例) リーダーシップを発揮しているか → (OK例) チームの目標を明確なビジョンとしてメンバーに共有しているか
  • (NG例)協調性があるか→ (OK例) 意見の異なる同僚とも、共通の目標達成のために協力できているか
  • (NG例)部下育成に熱心か → (OK例) 部下の強みと弱みを把握し、具体的な成長課題を提示しているか

なお、選択式よりも自由記述のほうが、より詳細な情報を得やすいので、選択式の設問を減らしつつ、自由記述式のボリュームを増やすのも一策です。あるいは、リポート形式とし、

「新しい働き方に合った管理職であるか?」

などのテーマでリポートを書いてもらう方法もあります。

5 被評価者に対しては「過大評価せず、過小評価もしない」

フィードバックは、上司(または経営者)と被評価者による面接形式で行い、その際、被評価者には自己評価の結果を持参してもらいます。フィードバックの目的は、被評価者に、

  • 相対的な強み・弱みを知ってもらうこと
  • 自己評価と他者評価のギャップに着目してもらうこと

です。点数の低い項目、自己評価と他者評価の点数の乖離(かいり)が大きい項目があれば、それを洗い出し、働き方の見直しに役立ててもらいます。

フィードバック面談は、例えば次のような流れで進めます。

  • 準備段階: 本人に事前に結果を読み込ませ、強みと改善点を自己分析してもらう
  • 目的の再確認: 面談の冒頭で「この面談はあなたの成長を支援するためのものである」と伝える
  • 自己評価の傾聴: 本人が結果をどう受け止めたか、なぜそのギャップが生じたと思うかを、まずは否定せずに「傾聴」する
  • 上司等からのフィードバック: まずは感謝や評価している点など、ポジティブな内容から話す。課題については「客観的な事実」をベースに話し、今後の関わり方を議論する
  • スモールステップの設定: 明日から変えられる具体的な小さなアクションを共に決定し、合意する

360度評価の結果は、「過大評価せず、過小評価もしない」が原則なので、上司(または経営者が被評価者の点数の低さなどを糾弾するようなことはしません。ただし、働き方を見直してもらうのには良いタイミングなので、フィードバックと併せて、

  • 被評価者自身は、評価結果を受けて今後どのように成長していきたいか
  • 上司(または経営者)として、今後どのような働き方を期待しているか

を明らかにし、改善に役立ててもらうとよいでしょう。

以上(2026年2月更新)

pj00328
画像:Studio Romantic-Adobe Stock

【規程・文例集】 「秘密保持契約書」のひな型

目次

1 秘密保持契約を軽視してはいけない

秘密保持契約(NDA(Non-Disclosure Agreement))とは、

取引や交渉の過程で、広く知られていない情報を相手に開示する場合に、その情報を秘密として保持する義務を定めた契約

です。秘密保持契約は「本契約前のお決まりの作法」のように軽視されることもあり、相手から提供されるひな型をそのまま利用しがちですが、これは危険です。そもそも秘密保持契約は、

自社の営業上、技術上の重要情報を守るためのものであり、それが実現できなければ本契約はあり得ない

わけですから、本契約と同じように慎重に取り組む必要があります。

この記事では、秘密保持契約の確認ポイントを説明した上で、弁護士が監修した秘密保持契約書のひな型を紹介します。

2 秘密保持契約で必ず確認すべきポイント

1)秘密情報の定義

最も大切なのは何を守るのか、つまり「秘密情報の定義」です。ただ、多くの場合はこの点に注力せず、単に「書面、電磁的記録、口頭、視覚的方法その他の方法を問わず、相手方から開示を受けた、当該相手方の営業上、技術上その他業務上の一切の情報」などと定めています。この場合、当事者間でやり取りする情報を包括的に契約의 対象にできる良さはありますが、具体的でないため、自社と相手とで重視する秘密に対する認識が一致されていないとトラブルになりかねません。

そこで、次のように秘密情報をより具体的に定めることが重要です。秘密情報の表示・明示等、実務が煩雑になりますが、秘密情報を守るためには必要なことです。

【具体的に定める場合の条項例】

本契約における秘密情報とは、営業上、技術上その他業務の一切の情報であって、次の各号に該当するものをいう。

  • 秘密である旨の表示がなされている書面および電磁的方法によって記録された情報。
  • 口頭または視覚的方法により開示された情報であって、開示の時点で秘密である旨が明示され、開示後○日以内に、その内容が秘密情報である旨を明示した書面により相手方に対して通知されたもの。

2)秘密情報を守る取り決め

秘密情報が定義できたら、それを守るための具体的な取り決めがあるかを確認します。最低でも次の5つがしっかりと定められている必要があります。

  • 秘密情報にアクセスできる役職員が限定されているか
  • 秘密情報の利用目的が明示されているか
  • 秘密情報の目的外利用が禁止されているか
  • 秘密情報を複製する場合の「事前承諾」などが定められているか
  • 秘密情報の廃棄や返還の手続が定められているか

3)損害賠償請求

秘密情報の漏洩などによって生じた損害に対する賠償請求について定めます。秘密情報の漏洩などによる損害額は算定しにくく、争いになることがあります。

そこで、事前に賠償額を定めておくことも一案です(賠償額の予定、または違約金)。注意が必要なのは、実際の損害額に関係なく、事前に定めた賠償額が原則となることです。そのため、「○○万円以下」といったように、当事者が負担可能な賠償額の上限金額を定めておくことも一策です。

4)残存条項

契約期間が終了すれば、その契約は効力を失います。一方、秘密情報は契約期間が終了したからといって、その重要性が失われるものではありません。そのため、契約期間終了後も一定の義務を課す必要があります(残存条項)。

残存条項は、秘密保持義務や損害賠償義務などを対象にすることが一般的です。とはいえ、契約期間終了後もずっと義務を課し続けるのは妥当ではないため、併せて残存条項が効力を持つ期間を定める必要があります。

なお、1回だけの業務委託など、取引関係の終了後も秘密保持義務を長期間課し続けるのが適切ではないケースもあるので、取引内容に合わせて存続期間を定めることも考えられます。存続期間の長さは、秘密情報の性質(時間の経過によって重要性が変わる情報か、保管コストはどの程度かなど)や取引内容を検討しながら決めることになります。

3 秘密保持契約書のひな型

以降で紹介するひな型は一般的な事項をまとめたものであり、個々の企業によって定めるべき内容が異なってきます。実際にこうした契約書を作成する際は、必要に応じて専門家のアドバイスを受けることをお勧めします。

【秘密保持契約書のひな型】

○○(以下「甲」という)と□□(以下「乙」という)は、甲および乙間において開示される秘密情報について、次の通り秘密保持に関する契約(以下「本契約」という)を締結する。

第1条(目的)

甲および乙は、△△を目的として、相手方に対して秘密情報を開示する。

甲および乙は、相手方から開示された秘密情報を前項の目的以外に使用してはならない。

第2条(秘密情報)

1)本契約における秘密情報とは、営業上、技術上その他業務の一切の情報であって、次の各号に該当するものをいう。

  • 秘密である旨の表示がなされている書面および電磁的方法によって記録された情報。
  • 口頭または視覚的方法により開示された情報であって、開示の時点で秘密である旨が明示され、開示後○日以内に、その内容が秘密情報である旨を明示した書面により相手方に対して通知されたもの。

2)前項にかかわらず、次の各号に該当するものは秘密情報に当たらないものとする。

  • 相手方から開示される前に既に公知となっている情報。
  • 相手方から開示される前に被開示者が保有していた情報。
  • 相手方から開示された後に、被開示者の責によらず公知となった情報。
  • 正当な権限を有する第三者から、秘密保持義務を負わず適法に入手した情報。
  • 開示者から開示された秘密情報に基づかず、被開示者が独自に開発をした情報。

第3条(秘密保持義務)

1)甲および乙は、相手方から開示された秘密情報を厳重に保管・管理し、相手方の書面による承諾なく、秘密情報を開示、漏洩してはならない。

2)前項にかかわらず、甲および乙は、以下の関係者に対し、本契約の目的(以下「本件業務」という)遂行の範囲内で、事前に相手方の書面による承諾を得ることなく秘密情報を開示することができる。ただし、甲および乙は、秘密情報の開示を受ける者に対し、本契約に定める秘密保持義務と同等の秘密保持義務を遵守させなければならない。

  • 甲および乙の役職員で、本件業務の遂行に従事し、かつ秘密情報の開示を受けることが必要な者。
  • 本件業務について相談する必要がある弁護士、公認会計士、税理士等の専門家。

3)第1項にかかわらず、甲および乙は、裁判所からの命令、その他の法令に基づき開示が義務付けられる場合は、秘密情報を開示・提供することができる。

第4条(複製の禁止)

甲および乙は、事前に相手方からの書面による承諾を得た場合を除き、秘密情報の一部または全部を書類または電磁的記録媒体に複写または複製してはならない。

第5条(立入調査)

1)甲および乙は、相手方における秘密情報の管理状況等を調査するため、相手方に事前に通知した上で、相手方の営業時間内に、相手方の事業所に立ち入ることができるものとする。

2)前項に基づき、立入調査の通知を受けた当事者は、相手方による立入調査を承諾し、当該調査について協力をしなければならない。

第6条(秘密情報の破棄等)

甲および乙は、本契約が終了したときは、秘密情報(複写または複製された秘密情報がある場合はそれらを含む)を、相手方の指示に従い破棄または返還しなければならない。

第7条(事故報告)

甲および乙は、秘密情報の漏洩等の事故が発生し、または発生する恐れのある事態が生じたときは、直ちに相手方に報告をし、その指示を仰がなければならない。

第8条(損害賠償義務)

甲および乙は、本契約に違反することにより、相手方に損害を与えた場合、相手方に対し、損害の賠償をしなければならない。

第9条(反社会的勢力排除)

1)甲および乙は、次の各号の事項を表明し、保証する。

  • 自らまたは自らの役職員が暴力団、暴力団員、暴力団準構成員、暴力団関係企業、総会屋、社会運動等標榜ゴロ、特殊知能暴力集団若しくはこれらに準ずる者またはその構成員(以下「反社会的勢力」という)ではないこと。
  • 自らまたは自らの役職員が反社会的勢力に対し、資金等の提供、便宜の提供等反社会的勢力と何ら取引をしていないこと。
  • 自らまたは第三者を利用して、次の行為をしないこと。

・相手方に対する脅迫的な言動または暴力を用いる行為。

・法的な責任を超えた不当な要求行為。

・偽計または威力を用いて相手方の業務を妨害し、または信用を毀損する行為。

2)甲および乙は、相手方が前項に違反した場合、何らの催告なしに直ちに本契約を解除することができる。この場合、相手方は他方当事者に発生した全ての損害を賠償するものとする。

第10条(有効期間)

本契約の有効期間は○年○月○日から○年○月○日までとする。ただし、有効期間満了日の○カ月前までに、いずれの当事者からも解約の申し出がない場合には、更に1年間本契約を延長し、以後も同様とする。

第11条(残存条項)

第3条および第8条に定める義務は、本契約終了後○年間存続するものとする。

第12条(協議解決)

本契約に定めのない事項、または本契約の解釈について疑義が生じたときは、甲および乙は誠意をもって協議の上解決する。

第13条(合意管轄)

甲および乙は、本契約に関し裁判上の紛争が生じたときには、訴額等に応じ、○○簡易裁判所または○○地方裁判所を専属的合意管轄裁判所とすることに合意する。

以上(2026年1月更新)

pj60058
画像:ESB Professional-shutterstock

ジョブ型雇用で注目される「役割等級制度」とは?

目次

1 「ジョブ型」の論点は企業の成長スピードである!

近年、耳にする機会が増えた「ジョブ型雇用」(以下ジョブ型)。

ジョブ型とは、「仕事に人を割り当てる」という考え方
です。

例えば、営業やマーケティングを行う人材が欲しいのであれば、そうした人材をフルタイムに限らず採用していく方法です。ジョブ型が注目されるのは、「社員の成長をゆっくりと待っている時間がない」からです。

経営者は新規事業を「今すぐにやりたい」と考えており、即戦力が必要

です。

そうした人材は成果と賃金の関係も明確なので、経営の合理化にもつながります。

一方、これまで多くの日本企業が取り入れてきたのが「メンバーシップ型雇用」(以下「メンバーシップ型」)です。

メンバーシップ型とは、「人に仕事を割り当てる」という考え方

です。

何ができるわけではないけれど、ビジョンなどに共感しているはずの人材を採用し、ジョブローテションを通じて適性を見つけていく方法です。企業が長く続くためには、長い時間をかけて社員のメンバーシップを育む必要があります。今は技能がなくても、

経営者の「イズム」を受け継いでくれる社員は育てなければならない

のです。

ジョブ型とメンバーシップ型を二者択一で考えるのは間違いです。技能がある人材も、思いがある人材も両方必要なのです。とはいえ、足元ではジョブ型は普及していくでしょうから、ジョブ型を受け入れるための人事制度が必要になります。この記事で紹介する

「役割等級制度」は、ジョブ型にフォーカスしつつ、メンバーシップ型で大事にしたい「思いがある人材」も置き去りにしない、ハイブリッド型の制度

です。

2 役割等級制度を提案する理由

役割等級制度とは、

仕事(ジョブ)に等級を設け、それに基づいて賃金を支払う仕組み

です。

もともとは、同一労働同一賃金を実現するために注目された制度です。つまり、正社員とパートの役割を整理することで不合理な待遇格差をなくそうというものです。

この役割等級制度が、ジョブ型雇用になじみやすい理由は次の2点です。

1)雇用形態を問わない柔軟性

ジョブ型で雇用されるのは、正社員とは限りません。特定の仕事がフルタイムで頼むほどの量でなければ、パートタイムとしての雇用となります。役割等級制度は、雇用期間や労働時間の長短ではなく、仕事の内容で評価できるため、ジョブ型になじみやすいのです。

2)「役割」まで評価することで、既存社員の納得を得やすい

役割等級制度は単なる「職務給」ではなく、「役割」にも注目します。

例えば、新規事業のためのマーケティング担当が必要になったとします。通常なら、まず既存社員の中から可能性がありそうな社員を登用することを考えるでしょうが、所詮は素人なので成果は限られます。一方、社員は未経験のことに戸惑いつつも、企業への思いや帰属意識があるので頑張るわけです。「君に任せるぞ!(企業)」と、「一から勉強します!(社員)」というのが、ある意味で日本企業の労使の良いところでした。

しかし、効率性を考えると、ジョブ型でマーケティングの専門家を採用すれば、断然成果が上がります。ただ、ジョブ型の社員に企業への強い思いがあるとは限りません。

役割等級制度では、この「思い」を「役割」に置き換えます。つまり、単純に実務をこなすだけでなく、企業の歴史や文化、顧客への思いなどを業務に落とし込むための役割を既存社員が担います。ここまでを含めて評価することで、既存社員の納得を得やすくなるのです。

3 役割等級制度の具体例

役割等級制度では、「社員に求められる部門間共通の役割」を等級別に設定します。また、「部門間共通の役割を果たすために必要な資格・知識や期待される姿勢・行動」を部門・等級別に設定することで、役割を仕事(ジョブ)に落とし込みます。イメージは次の通りです。

画像1

具体的な資格・知識や姿勢・行動の内容は「役割基準書」で定義します。例えば、図表2は電気機械器具製造業の技術系職種を想定した、技術部門4等級(課長レベル)の役割基準書のイメージです。

画像2

このように、役割等級制度は部門・等級ごとに職務を考慮し、具体的な役割基準書を作成します。これは、職務等級制度で作成する「職務記述書(ジョブ・ディスクリプション)」と似ています。しかし、職務等級制度は、あくまで職務だけをベースに等級を設定するものです。この点は前述した通りで、役割等級制度は企業の歴史や文化、顧客への思いなどを「期待される姿勢・行動」などに落とし込みます。

4 役割等級制度を構築するための4つの工程

1)社員の職務をリストアップする

既存の職務については、各社員にリストアップしてもらいます。就業場所や取り扱うサービスの種類、他の社員からサポートを受けているかなども明確にします。ジョブ型で新たに生まれる職務は経営者や部門長がリストアップします。

単に業務をリストアップするだけでなく、「自社が5年後にどうありたいか」などのビジョンから逆算することが大切です。若手人材の定着やDX推進スキルの確保など、優先課題を明確にしましょう。

2)重要度や難易度に応じて職務内容をグルーピングする

リストアップされた職務内容を基に、経営者や部門長がグルーピングします。重要度や難易度の評価は難しいので、例えば、厚生労働省「職業能力評価基準」などを参考にします。

■厚生労働省「職業能力評価基準」■
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/koyou_roudou/jinzaikaihatsu/ability_skill/syokunou/index.html

ジョブ型で新たに生まれる職務については、知見のない人が作るよりも、その分野の専門家に相談するのがよいでしょう。時間単位で専門家に相談できるサービスもあるので、そうしたものを利用するのも一策です。

なお、等級数は細分化しすぎないことが大切です。中小企業では、一般社員層で3~5段階、管理職層で2~3段階程度が標準的な目安です。現場で違いが実感できない細かすぎるグレード分けは避けましょう。

3)グルーピングの内容を基に役割等級の格付けを行う

格付けは賃金支給額と密接に結び付くものなので、既存の制度との対応関係に注意しながら行います。職能資格制度を導入している場合、「職能資格制度の○等級は、役割等級制度の○等級に相当する」などルールを決めていきます。

賃金テーブルの改定で不利益が出る層には経過措置(調整給など)を設けるなど、ソフトランディングの工夫を検討しましょう。

4)各等級について, 部門間共通の役割を定義しつつ、役割基準書を作成する

部門間共通の役割を定義し、その内容を基に各部門長が役割基準書を作成します。役割基準書は、グルーピングした職務内容の重要度や難易度に沿った内容になっているかを確認しながら作成します。

役割基準書は「誰が読んでも理解できる簡潔な言葉」で記述することが重要です。「この等級の人は具体的にどんな業務・責任を負い、何ができれば昇格なのか」を例示するなど視覚化しましょう。

以上(2026年2月更新)

pj00333
画像:-Adobe Stock

【朝礼】クジラのひげが操り人形に命を吹き込んだ?

【ポイント】

  • クジラは食べるだけのものではない。そのひげは昔、人形のワイヤーに使われていた
  • モノの価値は1つじゃない。「他にも使い道があるかもしれない」と考えることが大事
  • モノの真価は使ってみないと分からない。失敗しても、別の活かし方の可能性を探ろう

今日は、最近知って「おもしろいな」と感じた、クジラの話をしたいと思います。昔の日本では、クジラは「食べるだけのもの」ではありませんでした。例えば、クジラのひげは、人形浄瑠璃で人形を操るためのワイヤーに使われていました。クジラのひげには「軽い」「よくしなる」「折れにくい」という特性があり、それが人形を細かく動かすのに最適だったのです。

海の巨大な生き物の一部が、舞台の小さな人形の、首や目を動かす繊細な仕掛けになっていた。一見、全く関係なさそうな世界同士がつながっているところに、私はすごくワクワクしましたし、せっかく捕った命をムダにしない、昔の人の精神性にも感銘を受けました。さて、この話を通じて皆さんにお伝えしたいことが2つあります。

1つは「モノの価値は1つじゃない」ということ。当たり前ですが、仮に昔の人がクジラを「食べるだけのもの」と考えていたら、クジラのひげは使われることなく、捨てられていたでしょう。「他にも使い道があるかもしれない」と考えるところから、全ては始まるのです。例えば、コンペで負けた提案書は、一部を組み替えれば別の提案で再利用できるかもしれませんし、過去のクレーム対応のやり取りは、整理すれば応対マニュアルや研修素材にできるかもしれませんよね。会社の中に眠っているクジラのひげを皆さんも探してみてください。

もう1つは「モノの真価は使ってみないと分からない」ということ。クジラのひげは結果的に人形のワイヤーになりましたが、昔の人がいきなりその使い道にたどり着けたのかというと、そうではないと思います。当然、「こうやって使ってみたけど、駄目だった」という失敗もあったでしょう。それでも「別の活かし方はないか?」と、あらゆる方向から可能性を探り、試行錯誤を繰り返したからこそ、人形に命を吹き込むという最高の使い道が見つかったのではないでしょうか。大切なのは早々に諦めず、価値が見つかるまで使ってみることです。

皆さんもぜひ、日々の仕事の中で「これ、ムダになっていないか?」「この人・この道具・この情報の、別の活かし方はないか?」と疑問を持つことを意識してください。皆さんの中から、新しい“クジラのひげの使い道”が生まれることを期待しています。

以上(2026年2月作成)

pj17243
画像:Mariko Mitsuda

いち早く解説! 経済産業省「セキュリティ対策評価制度」

目次

1 セキュリティ対策レベルが取引条件に!?

セキュリティ対策に取り組まないと、新規取引先の獲得はもとより、既存取引先の維持も難しくなる―――そんな事態が迫っています。経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度」(以下「セキュリティ対策評価制度」)の導入に向けた検討を進めており、2026年度末ごろからのスタートが予定されているからです。

セキュリティ対策評価制度の仕組みは、簡単に言うと、

  • 国が主導して、満たすべきセキュリティ対策の水準 (★レベル) を標準化する
  • 発注企業・受注企業の2社間の取引契約で、★レベルを満たすことが条件となる
  • 結果として、サプライチェーン全体でセキュリティが強化される

というものです。

サプライチェーンでは、ある企業でセキュリティ事故 (情報漏洩、マルウェア感染、システム停止など)が起きると、他の企業にも被害が連鎖する恐れがある一方、受注企業は異なる取引先から様々なセキュリティ対策を要求され、負担が大きいという課題があります。そのため、「標準的なセキュリティ対策の水準を設けよう」というのが、この制度の趣旨です。

「セキュリティ対策評価制度」について、2025年12月に経済産業省・内閣官房国家サイバー統括室が示した「制度構築方針(案)」では、三つ星(★3)、四つ星(★4)、五つ星 (★5)が示されました。一つ星(★1)、二つ星 (★2) がないのは、情報処理推進機構 (IPA)の「SECURITY ACTION」という制度で既に使われているからです。

セキュリティ対策評価制度

セキュリティ対策評価制度は、セキュリティ対策レベルを競わせる格付け制度ではないことが、「制度構築方針(案)」に明記されています。とはいえ、サプライチェーンを構成する全ての企業がまず対応すべきなのは「三つ星 (★3)」です。以降で、もう少し詳しく見ていきましょう。

2 セキュリティ対策評価制度「三つ星 (★3)」の要求事項

「三つ星(★3)」の評価について、「制度構築方針(案)」では、26項目の要求事項と、それらにひも付く83項目の評価基準が示されました。これらについて、「専門家確認付き自己評価」を実施することが求められます。「専門家確認付き自己評価」とは、★取得を希望する組織が自ら実施した評価の結果について、社内外のセキュリティ専門家による確認・助言を経て、その組織の評価結果として確定させることをいいます。

全体像をつかむため、「制度構築方針(案)」に示された「三つ星 (★3)」の要求事項 (26項目)をご紹介します。

セキュリティ対策評価制度「三つ星 (★3)」の要求事項

次章では各項目について、中小企業が取り組むべき実践ポイントを、もう少し分かりやすくご紹介します。

3 「三つ星(★3)」の要求事項(26項目)の実践ポイント

1)ガバナンスの整備

1.セキュリティ推進活動を担当する部署、役員および従業員を決定し、責任および権限を割り当てる

誰がセキュリティの責任者で、誰が実務担当かを明確にしましょう。セキュリティを統括する役員(最高情報セキュリティ責任者など)やセキュリティ担当部署の役割・責任を定めます。担当者の連絡先リストを作成しておくことで、問題が起きたときにすぐ対応できます。また、これら平時の体制について、年1回以上は点検することが求められます。

2.守秘義務のルールを策定し、遵守させる

役員、従業員、派遣社員、受入出向者を対象に、自社の守秘義務のルールを定めます。入社時または社外要員の受け入れ時に守秘義務のルールを説明し、退職時に機密情報を持ち出しさせない対策を取りましょう。

3.自社のセキュリティ対応方針を策定し、周知する

「どんなセキュリティ対策をするか」というセキュリティ対応方針を文書化し、役員、従業員、派遣社員、受入出向者の全員が、いつでも見られる状態にします。セキュリティ対応方針の改正時には必ず内容を周知して、組織全体の意識を統一しましょう。

2)取引先管理

4.取引先と自社とのビジネスまたはシステム上の関係を把握する

自社以外の組織(顧客・子会社・関連会社・クラウドサービス提供者を含む取引先)が管理・提供するシステムで、自社の情報資産が接続しているものを一覧化するなどして把握します。そうすることで、外部との依存関係とリスクが見えるようになります。また、年1回以上は点検することが求められます。

5.他社との間で、機密情報の取り扱い方法を明確にする

取引先と機密情報を共有する前に、機密情報の定義・取り扱い(表示・保管方法・複製や第三者提供の可否)・返還または廃棄について契約で明確にします。そうすることで情報漏洩リスクと責任範囲を明らかにします。

6.セキュリティインシデント発生時の他社との役割および責任を明確にする

セキュリティインシデントとは、情報漏洩やシステムの停止などセキュリティに関わる事故や事象のことです。機密情報を共有する取引先との間で、セキュリティインシデント発生時の相手方への通知義務や、連絡先、再発防止策の協議方法について定めておきます。

3)リスクの特定

7.ハードウェア、OSおよびソフトウェアに関する情報を把握する

自社のパソコン、サーバー、スマホなどの機器と、そこに入っているOSやソフトウェアを一覧化します(製造元や台数も記載)。導入・設置・ネットワーク接続・セキュリティパッチ適用などの管理ルールも文書化し、IT資産を正確に把握しましょう。また、管理ルールの遵守状況について、年1回以上は点検することが求められます。

8.ネットワークの情報に関する一覧を作成する

自社のネットワーク構成(所在地、目的など)と、接続されている機器の情報 (ファイアウォール、ルーターなど。製造元とモデル、保守事業者に関する情報を含む)を一覧化します。ネットワーク全体を可視化することで、対策や問題対応が効率的になります。

9.自社の機密情報を扱う外部情報サービスを管理する

外部の情報サービス利用時のセキュリティ要件を定め、利用前に要件を満たしているかを確認・承認するプロセスを作ります。外部の情報サービスの接続先とは、機密情報の取り扱いについて守秘義務契約を結びましょう。

10.機密区分に応じた情報の管理ルールを定め、それに基づく管理を行う

情報を機密レベルで分類し、レベルごとの管理ルールを定めます。特に機密性の高い情報は一覧化し、対象情報・管理者・部署・保管場所・保管期限・開示先・連絡先などを明確にして厳格に管理します。また、管理ルールの遵守状況について、年1回以上は点検することが求められます。

4)攻撃等の防御

11.ユーザーIDの発行・変更・削除の手続を定め、適切に運用する

ユーザーID付与の承認プロセスを文書化し、ID共有は原則禁止とします。退職者のID、一定期間使用されなかったID、特別なアクセス権限が不要になったIDは、速やかに削除または無効化して不正利用を防ぎます。

12.管理者IDの発行・変更・削除の手続を定め、適切に運用する

システム管理者と責任者を定め、管理者権限を持つ人を限定します。必要最低限の権限のみ付与し、管理者IDの発行・変更・削除は申請・承認制にして悪用を防ぎます。

13.システムおよび情報の重要度に応じて認証の強度および実装方法を決定する

全てのユーザーIDについて、アクセス許可前に一意の認証情報 (パスワードなど)による認証を徹底し、重要な情報を扱うクラウドサービスでは多要素認証を義務化します。多要素認証では、知識情報(ID、パスワードなど)、所有情報(ワンタイムパスワード、証明書など)、生体情報(指紋、顔、虹彩、静脈など)、その他(IPアドレスなど)の要素から2種類以上を利用します。多要素認証の知識情報として用いるパスワードは8文字以上とします。

14.社内システムを構成する端末にアカウントロック制御を行う

端末へのログオン時、試行回数を制限し、失敗が続くと試行間隔を長くするか、10回以上失敗するとアカウントをロックする設定にします(できない場合、次の15.の要求事項よりも高度なパスワード設定が必要)。これでブルートフォース攻撃を防げます。

15.パスワード設定に関するルールを定め、周知する

デフォルトパスワードは必ず変更し、10文字以上(英大小文字・数字・記号を含む)にします。機器やサービス間でのパスワード使い回しを禁止し、ルールを従業員に周知しましょう。

16.パスワードの管理に関するルールを定め、周知する

パスワードは紙に記載してそれを施錠保管するか、パスワード管理アプリで保管します。定期変更は不要ですが、パスワードの漏洩時またはその疑いがある場合、速やかに変更できる手順を整備しましょう。

17.アクセス権の管理ルールを定めて、運用する

業務で利用するシステムや端末へのアクセス、機密情報を取り扱う場所や部屋への入室について申請・承認制とし、付与する権限は必要な範囲に限定します。また、アクセス権限や入室権限を棚卸しし、不要な権限の残存リスクを排除します。

18.セキュリティインシデント発生時の対応に関する教育・訓練を行う

役員、従業員、社外要員を対象に、新規受け入れ時と年1回以上、インシデント対応の教育・訓練を実施します (内容はマルウェア感染の予防、機密区分の定義と取り扱いなど)。実施内容や受講状況を記録し、有事の対応能力を高めましょう。また、教育・訓練の実施内容について、年1回は点検することが求められます。

19.適切なバックアップを行う

データのバックアップ対象とどのくらいの頻度でバックアップを行うかを定めます。重要情報は遠隔地にも保管し、災害や大規模攻撃に備えます。バックアップごとにリストア (復元)手順書を整備し、迅速に復旧できるようにしましょう。

20.ハードウェア、OSおよびソフトウェアの安全な構成を確立し、維持する

利用を許可していないソフトウェアを全て削除または無効化します。また、外部記録媒体を使う全てのシステムで自動実行・自動再生を無効化します。サーバーやネットワーク機器の設定変更は申請・承認制にして、不要な機能による脆弱性を排除しましょう。

21.ハードウェア、OSおよびソフトウェアへのセキュリティパッチおよびアップデートの適用に係る手続を策定し、実行する

全ての機器、OS、ソフトウェアがライセンス付きでサポートされた状態を維持します。「重大」または「高リスク」 (CVSS v3の基本スコアが7以上)の脆弱性修正は14日以内に適用し、可能なら自動更新を有効にします。サポートが終了したソフトウェアは削除するか、インターネットとの全てのトラフィックを遮断しましょう。

22.システムをマルウェア感染から保護する

ネットワーク接続している全ての機器にマルウェア対策ソフトを導入し、適切なスキャンを実行します。パターンファイルはベンダーの推奨に従ってアップデートして、既知のマルウェアから守ります。

23.内外のネットワークを適切に分離し、境界部分を防護する

全てのファイアウォールやルーターについて、デフォルト管理パスワードを変更するか、リモート管理アクセスを無効化します。未認証のインバウンド通信は遮断し、インバウンド通信に関するルールは担当者が承認・文書化したものとします。不要なルールは削除し、ルール変更をインターネット経由で行う場合は多要素認証を適用するか、IPアドレスによるアクセス制限を適用しましょう。

5)攻撃等の検知

24.ネットワーク上の適切な場所でネットワーク接続およびデータ転送を監視する

社内外ネットワークの境界でファイアウォール(または同等の機能を持つネットワーク機器)を使い、不正アクセスをリアルタイムで検知・遮断します。アラートが即座に発報される設定にし、担当者がインシデントかどうかを判断して迅速に対応します。

6)インシデントへの対応

25.セキュリティインシデントへの対応手順、対応体制等を定める

インシデント発生時の対応手順(発見報告、初動、調査・対応、復旧、最終報告)を文書化します。インシデント基準、インシデント発生時の社内外の連絡先、役割を明確にし、報告フォーマットを整備します。年1回以上、事例と対応策を社内に共有して組織全体の対応力を高めましょう。

7)インシデントからの復旧

26.事業上重要なシステムについて、事業継続の要件に沿う復旧に必要な準備を行う

事業上重要なシステムについて、サイバー攻撃を念頭に、業務の目標復旧レベルを定めで、当該レベルまで業務を回復するために必要な対策を整備します。

現状把握で明らかになった不足点を解消するための具体的な対応は、単なる技術的な対策だけでなく、組織体制の整備、従業員教育、運用ルールの策定など多岐にわたります。優先順位を付けて計画的に進めていくことが重要です。

例えば、まずは比較的容易に着手できる組織的なルール整備や従業員への周知から始め、次にシステム的な防御策を導入するなど、無理のないスケジュールで進めることが成功の鍵となります。

4 参考:「四つ星 (★4)」が必要になる!?

この記事では「四つ星 (★4)」 については詳しく触れませんが、「三つ星(★3)」の26項目を含む計44項目について、第三者評価を受けることが想定されています。

取引先の要求レベルが「四つ星 (★4)」になる可能性もあります。2025年12月に経済産業省・内閣官房国家サイバー統括室が示した「制度構築方針(案)」では、事業活動上重要な業務の多くがIT基盤に依存している取引先であることを前提に、

  • 取引先の事業中断により自社の事業継続上重要な業務に許容できない遅延等が生じ得るか
  • 取引先へのサイバー攻撃等により自社の機密等に係る情報管理に重大な影響が生じ得るか

という観点から、要求レベルが 「三つ星 (★3)」 「四つ星 (★4)」のどちらに該当するのかを判断する案が示されています。

「三つ星 (★3)」 「四つ星 (★4)」

なお、評価を行う専門家や第三者に求められる資格や専門性、評価取得や更新に要する費用負担などの実務的な点については、今後の制度設計での議論・整理が待たれる部分となります。

以上(2026年2月作成)

pj60380
画像:Muhammad Adnan-Adobe Stock

【参加無料】3/10カスタマーハラスメント対策セミナー「弁護士が教える従業員を守る体制づくり」オンライン13:00から。後日アーカイブ視聴も可能

2026年3月10日13:00から【無料】カスハラ(カスタマーハラスメント)対策オンラインセミナーを開催します。

2026年10月から、カスハラの防止措置を講じることが企業に義務付けられます。
それに向けて、このセミナーでは、日本ハラスメントカウンセラー協会の顧問として数々の企業のハラスメント対策に向き合ってきた弁護士が、事例を交えて、「企業はカスハラからどのように従業員を守ればいいのか」などを、分かりやすく解説します。

お申し込みフォームはこちら 

(外部サイトへリンク)(先着順)
※セミナー参加時にアンケートにお答えいただいた方に、無料でセミナー資料をプレゼントいたします。


↑クリックで拡大表示↑

お申し込みフォームはこちら


(外部サイトへリンク)(先着順)
※セミナー参加時にアンケートにお答えいただいた方に、無料でセミナー資料をプレゼントいたします。

お申し込み締め切りは2026年3月6日(金)18:00です。
※定員100名になりましたら、締切日前でも申し込み終了となります。

登壇者

  • 東京エクセル法律事務所 弁護士 日本ハラスメントカウンセラー協会顧問
    弁護士 坂東 利国 氏

【坂東先生のセミナー実績】

    • カスタマーハラスメントのリスクマネジメントと裁判例
    • カスタマーハラスメント対策研修
    • ハラスメント防止のための管理職のあるべき姿
    • ハラスメントの事実確認・和解調整担当者のための研修
    • メンタルヘルスの法律問題・裁判例を踏まえた企業対応

など多数。セミナーのほか、実践的な管理職研修なども実施

主催

  • 株式会社日本情報マート(きらやか情報ステーション運営会社)

プログラム 13:00~14:15

  • カスハラとは何か(定義、判断基準)
  • カスハラに関する法改正の状況
  • 実際にあったカスハラ事例(裁判例) など
  • 従業員を守るために必要な事前の準備(相談窓口の設置等)
  • 従業員がカスハラに遭った場合の対応(事実確認、再発防止等)
  • 14:00から15分間・質疑応答(事前に質問を受け付けることも可能)
お問合わせ先
きらやか銀行 きらやか情報ステーション事務局
電話:023-628-3818

きらやか情報ステーションでは、カスハラ対策に役立つコンテンツも公開しています。ぜひご覧ください!

いよいよカスハラ防止措置が義務化! 悪質クレームを退ける4つのポイント
どんな言動がカスハラ(カスタマーハラスメント)になるのか、社員がカスハラにあった場合、上司や経営者はどう対応すればいいのかなどを紹介します。