サイバーセキュリティ対策促進助成金 申請で落ちる企業の共通点5つ ― 不採択理由から学ぶ対策
~「申請したのに不採択だった」を防ぐために知っておくべきこと~
「サイバーセキュリティ対策促進助成金に申請したけど、不採択だった。何がダメだったのかわからない」
こうした相談を受けることが増えています。サイバーセキュリティ対策促進助成金は、東京都内の中小企業がセキュリティ対策を進めるうえで非常に有効な制度ですが、申請すれば必ず採択されるわけではありません。
アクセルパートナーズがこれまでの支援経験を通じて見えてきたのは、不採択になる企業には共通するパターンがあるということです。そして、そのほとんどは事前に対策できるものばかりです。
このコラムでは、サイバーセキュリティ対策促進助成金の申請で不採択になりやすい5つのパターンと、それぞれの具体的な改善策を解説します。
この記事でわかること
・サイバーセキュリティ対策促進助成金で不採択になる企業に共通する5つのパターン
・各パターンに対する具体的な改善策と申請書の書き方のコツ
・採択率を高めるために事前に整えておくべき準備
・専門家を活用して採択率を上げる方法
サイバーセキュリティ対策促進助成金の概要をおさらい
不採択のパターンに入る前に、サイバーセキュリティ対策促進助成金の概要を簡単に確認しておきましょう。
| 項目 | 内容 |
|---|---|
| 実施主体 | 東京都中小企業振興公社 |
| 助成対象者 | 都内の中小企業者・中小企業団体 |
| 助成率 | 対象経費の1/2以内 |
| 助成限度額 | 最大1,500万円 |
| 主な申請要件 | SECURITY ACTION二つ星宣言済み、GビズIDプライム取得済み |
この制度を最大限活用するには、申請書の品質が鍵を握ります。では、不採択になる企業はどこでつまずいているのでしょうか。
パターン1:申請書の記載が抽象的で「なぜ必要か」が伝わらない
サイバーセキュリティ対策促進助成金の申請で最も多い不採択理由が、申請書の記載内容が抽象的で説得力に欠けるというパターンです。
よくある失敗例
審査員に「この企業にはこの対策が必要だ」と納得してもらうことが採択の前提ですが、多くの企業が以下のような抽象的な記載で済ませてしまっています。
| NG例(抽象的) | OK例(具体的) |
|---|---|
| 「セキュリティを強化したい」 | 「過去1年間にフィッシングメール被害が2件発生し、復旧に延べ5日間を要した。UTMとEDRを導入し、外部からの不正通信を検知・遮断する体制を構築することで、インシデント発生率を年間50%以下に抑える」 |
| 「サイバー攻撃に備えたい」 | 「取引先の大手メーカーからセキュリティチェックシートの提出を求められており、現状のウイルス対策ソフトのみの体制では要件を満たせない。UTM導入によりネットワーク監視体制を構築し、取引先の要件を充足する」 |
改善策
申請書には、以下の3つの要素を必ず含めてください。
1. 現状の課題:今、自社のセキュリティにどんな問題があるか(できれば数字で)
2. 対策の内容:何を導入して、どう課題を解決するか
3. 期待される効果:導入後にどのような改善が見込めるか(数値目標)
「自社の課題を具体的に言語化するのが難しい」と感じる場合は、セキュリティの専門家に壁打ちすることで整理が進みます。リモートセキュリティ顧問サービス(月額5万円〜)を活用すれば、日常的なセキュリティ相談とあわせて申請書の内容についてもアドバイスを受けられます。
パターン2:対象経費を誤解して申請している
サイバーセキュリティ対策促進助成金の対象経費を正しく理解していないために不採択になるケースも多く見られます。
よくある誤解
| 誤解している内容 | 正しい理解 |
|---|---|
| 「PC購入もセキュリティ対策だから対象になる」 | 汎用的なPC・プリンター等は対象外。セキュリティ機能に特化した機器・サービスが対象 |
| 「既存サービスの更新費用も出る」 | 新規導入が原則。既存契約の更新費用は対象外になることが多い |
| 「社内のセキュリティ担当者の人件費も対象」 | 人件費は対象外。機器・サービスの導入費用が対象 |
| 「交付決定前に買っても後から申請できる」 | 交付決定前の発注・購入は対象外。必ず交付決定後に発注すること |
改善策
サイバーセキュリティ対策促進助成金の公募要領を熟読することが基本ですが、判断に迷う場合は東京都中小企業振興公社の窓口に事前相談することをお勧めします。
また、見積書の取得段階で、ベンダーに「サイバーセキュリティ対策促進助成金の対象経費として申請する予定である」と伝えておくと、対象経費に合致する形で見積書を作成してもらいやすくなります。
セキュリティ製品の選定と見積取得に不安がある場合は、セキュリティ製品導入支援サービスをご活用ください。特定メーカーに偏らない中立的な立場で、サイバーセキュリティ対策促進助成金の対象となる製品の選定から見積取得までサポートいたします。
パターン3:SECURITY ACTION二つ星の取得が不十分
サイバーセキュリティ対策促進助成金の申請には、SECURITY ACTION二つ星を宣言済みであることが必須条件です。しかし、この要件を形式的にしか満たしていないために、申請全体の説得力が下がっているケースがあります。
よくある失敗例
・二つ星の宣言だけ済ませて、実際の対策に着手していない:「自社診断」を実施したものの、診断結果を踏まえた改善に取り組んでいない
・情報セキュリティ基本方針がテンプレートのまま:IPAのひな形をそのまま使い、自社の事業内容や環境に合わせたカスタマイズをしていない
・申請書の内容とSECURITY ACTIONの宣言内容に矛盾がある:二つ星で「対策済み」と宣言した項目が、申請書では「未対策」として記載されている
改善策
SECURITY ACTION二つ星は、サイバーセキュリティ対策促進助成金の申請要件であると同時に、自社のセキュリティ対策の出発点でもあります。以下のステップを丁寧に進めてください。
1. 「5分でできる!情報セキュリティ自社診断」を正直に実施する:見栄を張らず、現状をありのまま回答する
2. 診断結果をもとに改善計画を立てる:すべてを一度に改善する必要はありません。優先順位をつけて段階的に取り組む
3. 情報セキュリティ基本方針を自社の実態に合わせてカスタマイズする:業種、取り扱うデータの種類、事業所の形態などを反映させる
4. 申請書との整合性を確認する:二つ星の宣言内容と申請書の記載に矛盾がないことをチェックする
SECURITY ACTION二つ星の取得プロセスに不安がある企業は、SECURITY ACTION二つ星取得支援を含むやり切りパッケージ(12万円・税別)をご検討ください。自社診断からセキュリティ基本方針の策定、宣言代行、BCP策定まで一貫して支援いたします。
パターン4:導入計画が曖昧で実現可能性が見えない
サイバーセキュリティ対策促進助成金の申請書には、導入する機器・サービスの具体的な導入計画を記載する必要があります。しかし、「いつ・誰が・どのように導入するか」が曖昧な申請書が少なくありません。
よくある失敗例
・導入スケジュールが「採択後すぐに導入」としか書かれていない:具体的な月次スケジュールがない
・導入後の運用体制が記載されていない:機器を導入した後、誰がどのように管理・運用するかが不明
・複数の製品を導入する場合の優先順位が整理されていない:すべてを同時に導入する計画で、実現可能性に疑問が残る
改善策
導入計画には、以下の情報を具体的に記載してください。
| 記載項目 | 具体的に書くべき内容 |
|---|---|
| 導入スケジュール | 「交付決定後1か月目:UTM機器発注、2か月目:設置・設定、3か月目:テスト運用」のように月次で記載 |
| 実施体制 | 「情報システム部 山田(社内担当)+セキュリティベンダー A社(機器設定・保守)」のように具体的に |
| 運用計画 | 「導入後はベンダーの保守サービスを契約し、月次でログレポートを確認。異常検知時は即時対応」 |
| 教育計画 | 「導入と同時に全社員向けセキュリティ研修を実施。年4回の定期研修を継続」 |
導入計画の策定に不安がある場合は、セキュリティ伴走コンサルティング(vCISO)を活用することで、中期的な視点からの計画策定が可能になります。サイバーセキュリティ対策促進助成金の申請に向けた計画策定だけでなく、導入後の運用体制の構築まで一貫してサポートいたします。
パターン5:実績報告の準備をしていない
意外と見落とされがちなのが、採択後の実績報告の準備を申請段階からしておくということです。サイバーセキュリティ対策促進助成金は、採択されて終わりではありません。機器・サービスの導入後に実績報告書を提出し、審査を経て初めて助成金が支給されます。
よくある失敗例
・効果測定の方法が申請書に記載されていない:「導入後にどう効果を測るか」が不明
・申請書の数値目標と実績報告の整合性が取れない計画:大風呂敷を広げて、実績報告で達成できない
・証拠書類の保管ルールを決めていない:請求書・領収書の原本管理ができていない
改善策
サイバーセキュリティ対策促進助成金の申請段階から、以下の準備をしておきましょう。
1. 測定可能な数値目標を設定する:「インシデント発生件数を年間○件以下に」「セキュリティ管理工数を月○時間削減」など
2. 効果測定の方法と時期を計画に含める:「導入後3か月で中間評価、6か月で効果測定レポートを作成」
3. 証拠書類の保管ルールを事前に決める:請求書・領収書・契約書・納品書を整理して保管する担当者と保管場所を決める
4. 実績報告書の様式を事前に確認する:採択後に慌てないよう、報告書の様式と記載項目を事前に把握しておく
5つのパターンをまとめて確認
| # | 不採択パターン | 改善の方向性 |
|---|---|---|
| 1 | 申請書の記載が抽象的 | 現状・課題・効果を数値で具体的に記載する |
| 2 | 対象経費を誤解している | 公募要領を熟読し、不明点は事前に窓口で確認する |
| 3 | SECURITY ACTION二つ星が形式的 | 自社の実態に合った基本方針を策定し、申請書と整合させる |
| 4 | 導入計画が曖昧 | 月次スケジュール・実施体制・運用計画を具体的に書く |
| 5 | 実績報告の準備をしていない | 申請段階から効果測定の方法と証拠書類の管理を計画する |
採択率を上げるための3つのポイント
5つの不採択パターンを避けたうえで、さらに採択率を高めるためのポイントをお伝えします。
ポイント1:申請書は「第三者が読んで納得できるか」を基準に推敲する
サイバーセキュリティ対策促進助成金の審査員は、あなたの会社の事情を知りません。社内の人が読めば理解できる表現でも、第三者には伝わらないことがあります。申請書を書き終えたら、セキュリティやITの知識がない人に読んでもらい、内容が理解できるか確認することをお勧めします。
ポイント2:複数の対策を組み合わせた「包括的な計画」を提示する
UTM1台だけの申請よりも、UTM+EDR+社員教育のように複数の対策を組み合わせた包括的な計画のほうが、審査での評価が高くなる傾向があります。サイバーセキュリティ対策促進助成金の助成限度額は最大1,500万円ですから、1つの対策だけでなく、自社のセキュリティ体制全体をレベルアップさせる計画を検討しましょう。
ポイント3:専門家の力を借りる
サイバーセキュリティ対策促進助成金の申請書作成には、「セキュリティの知識」と「助成金申請のノウハウ」の両方が求められます。どちらか一方だけでは、説得力のある申請書を作るのは困難です。
アクセルパートナーズでは、中小企業診断士がセキュリティと助成金の両面からサイバーセキュリティ対策促進助成金の申請を支援しています。成功報酬型の料金体系なので、採択されなかった場合の成功報酬は発生しません。
よくある質問(FAQ)
Q1:一度不採択になったら、再申請できますか?
はい、再申請は可能です。不採択の理由を分析し、申請書を改善したうえで次回の公募に申請できます。サイバーセキュリティ対策促進助成金は年に複数回の公募がありますので、不採択になっても次の機会を活用しましょう。
Q2:申請書の添削を受けられる公的な窓口はありますか?
東京都中小企業振興公社では、事前相談を受け付けている場合があります。また、商工会議所やよろず支援拠点でも助成金申請に関するアドバイスを受けられます。ただし、セキュリティの専門知識を持つアドバイザーは限られますので、セキュリティに特化した支援が必要な場合はサイバーセキュリティ対策促進助成金 申請サポートサービスをご検討ください。
Q3:サイバーセキュリティ対策促進助成金とIT導入補助金は併用できますか?
同一の経費に対して複数の補助金・助成金を重複して受けることはできません。ただし、サイバーセキュリティ対策促進助成金で機器導入を行い、人材開発支援助成金でセキュリティ研修を行うなど、異なる経費に対してそれぞれの制度を活用することは可能です。
Q4:従業員数が少ない企業でも採択されますか?
サイバーセキュリティ対策促進助成金は、中小企業であれば従業員数に下限はありません。従業員数が少ない企業でも、自社の課題と対策の必要性を具体的に記載できれば採択の可能性は十分にあります。
アクセルパートナーズへのご相談
サイバーセキュリティ対策促進助成金の申請でお悩みですか?
アクセルパートナーズでは、サイバーセキュリティ対策促進助成金の申請をトータルでサポートしています。
・「前回不採択だったが、どこを改善すれば採択されるか知りたい」
・「申請書の書き方に自信がない。プロの目で添削してほしい」
・「SECURITY ACTION二つ星の取得から助成金の申請まで、まとめてお願いしたい」
こうしたご相談に、サイバーセキュリティと助成金申請の両方に精通した中小企業診断士が丁寧にお答えします。着手金と成功報酬の透明な料金体系で、採択されなかった場合の成功報酬は発生しません。
初回60分のZoom相談は無料です。お気軽にお問い合わせください。
お問い合わせ:0120-659-057(平日対応)
参考・出典
・東京都中小企業振興公社「サイバーセキュリティ対策促進助成金」公式ページ
・IPA「SECURITY ACTION」制度紹介ページ https://www.ipa.go.jp/security/security-action/
・IPA「中小企業の情報セキュリティ対策ガイドライン 第3.1版」 https://www.ipa.go.jp/security/guide/sme/about.html
・経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0」 https://www.meti.go.jp/policy/netsecurity/mng_guide.html







