今回のコラムでは、以下のラインナップでお送りいたします。
日本は、サイバー攻撃の増加と高度化、国際的なリスクと脅威の拡大などにより、他国と安全保障上の情報共有や技術協力を深める必要があります。しかし、未だ情報安全制度が整っていないため、信頼性の欠如、規制遵守の追加コストなどにより、ビジネス面で不利な状況にあります。日本はデュアルユース技術(民生・軍事両方に適用される技術)などの国際共同研究や開発に参加することで、イノベーションを生み出すことができる場合もありますが、現行の制度ではそれが制限されています。
企業は、国際的なセキュリティクリアランス制度の導入により、情報開示が進み、国際共同開発や取引が円滑化すると期待しています。しかしながら、クリアランス不足がデュアルユース技術やCUIの取り扱いで障害となっていることも指摘されています。
また、日本の企業は、最先端の技術や重要なインフラに関する情報を保有していますが、その情報が外国に流出するリスクが高まっています。情報漏洩を防ぎ、国益を守ることが急務となっており、制度導入により信頼性向上が期待されています。
そこで、経済安保分野における重要情報の取扱いを、有資格者のみに認める「セキュリティクリアランス制度」を創設する法律が本年5月に成立され、「重要経済安保情報の保護及び活用に関する法律」に基づき、2025年中に導入される予定です。情報漏洩を防ぎ、他国との信頼関係を構築し、新たなビジネスチャンスを創出するために、今回はこの制度について説明いたします。
※本内容は、西岡氏へのインタビューを基に再編集したものです。
LINEUP1:セキュリティクリアランス制度の概要
1:セキュリティクリアランス制度とは
政府が保有する経済安全保障上重要な情報(以下、重要経済安保情報)にアクセスできる資格者を認定する制度です。この制度は、機密情報の漏洩や不正利用を防ぐこと及び、国際社会での情報共有における信頼性を確保することを目的としています。
2:セキュリティクリアランスの3つの機能
(1)情報指定
重要経済安保情報を指定し、どの機密情報に誰がアクセスできるかを明確にすることで、情報への接触が限定され、情報漏洩のリスクを最小限に抑えることができます。
この情報には、「特定秘密保護法で定められた4分野」に加えて、各分野で具体的にどういう情報を指定するのかが含まれます。特定秘密の指定対象になるかどうかについては、安保情報保護や行政機関の情報公開に知見のある産業界、労働界の代表が決定します。
(2)政府の調査によるセキュリティクリアランスの付与
①審査と調査
セキュリティクリアランスは、重要経済安保情報にアクセスするための信頼性を確認する制度です。個人と事業者に対するセキュリティクリアランスの付与について、それぞれ以下のとおりです。
個人に対するセキュリティクリアランス
個人に対するセキュリティクリアランスは、政府職員や政府と契約を結んでいる企業の従業員などが対象です。クリアランスを取得するためには、以下のような調査が行われます。
事業者に対するセキュリティクリアランス
事業者に対するセキュリティクリアランスは、政府から重要な情報を提供される企業が対象です。クリアランスを取得することで、以下のような利点があります。
②管理
A.クリアランスの更新
セキュリティクリアランスは有効期限が設定されており、定期的に更新手続きが必要です。更新の際には、再度背景調査が行われることがあります。
B.アクセス権限の管理
クリアランスを持つ職員に対して、機密情報へのアクセス権限が付与されます。アクセス権限は、業務に必要な範囲に限定され、定期的に見直されます。
C.アクセスログの記録
情報へのアクセス履歴はログとして記録され、監査やトラブルシューティングの ために利用されます。
D.セキュリティポリシーの策定
機密情報を保護するためのセキュリティポリシーや手順が策定されており、すべ ての職員がこれに従う必要があります。
E.リスク評価
セキュリティリスクを評価し、リスク管理策が講じられています。リスク評価には、セキュリティインシデントの予防策や対応策が含まれます。
F.インシデント対応
セキュリティインシデントが発生した場合の対応計画が整備されており、迅速な 対応と回復が図られます。
③情報漏えい時の厳罰
クリアランスを取得した対象者には、情報の機密性を保護するため、情報漏洩に対して厳しい罰則が設けられます。これにより、情報の適切な管理が確保され、不正なアクセスや漏洩を防止するための厳格な管理体制が構築されます。
3:認定の対象企業
一つ目の対象は、政府の機関や組織と安全保障関連のプロジェクトや契約に参加協力している企業です。例えば、防衛省や外務省と兵器や装備、通信や監視、防衛や外交などの分野で、研究・開発・製造・供給・運用・保守などの業務を行っている企業です。これらの企業は、政府から機密情報を受け取るだけではなく、必要に応じて政府に機密情報を提供する役割を担っています。
二つ目の対象は、安全保障関連の技術や製品を開発・提供する企業です。これらの企業は必ずしも政府との契約や協力関係を結んでいるわけではありませんが、安全保障に関連する技術や製品を自主的に開発・提供しています。例えば、人工衛星やロケット、ドローンやロボット、暗号技術やブロックチェーン、個体電池、などの分野で、革新的な技術や製品を生み出している企業などが該当します。
LINEUP2:セキュリティクリアランス制度のメリットとデメリット
LINEUP1では、セキュリティクリアランス制度の概要について説明しました。LINEUP2では、セキュリティクリアランス制度のメリットとデメリットを解説していきます。
1:セキュリティクリアランス制度のメリット
(1)国家の安全保障の強化
機密情報は、国の防衛や外交、経済などに関わるものであり、情報漏洩されると国益を損なう可能性があります。セキュリティクリアランス制度により、厳しい審査を通過し、信頼性の高いアクセス資格者が、機密情報の管理・取扱いをすることで、情報の安全性が確保されます。これにより、国際社会の情報共有における信頼性や評価が向上し、国家の安全保障に関する協力や交渉が円滑に進むことで、機密情報の漏洩や不正利用を防ぐことに繋がり、国家の安全保障が強化されます。
(2)企業の国際競争力の向上
機密情報にアクセスできる企業は、政府の安全保障関連のプロジェクトや契約に参加できるようになり、企業は、高度な技術やノウハウを習得し、新たなビジネスチャンスを得ることができます。また、機密情報にアクセスできる企業は、国際社会での信頼性や評価が高まり、海外のパートナーや顧客との協力や取引を円滑に進めることができ、企業の国際競争力を向上させます。企業は、国際的なセキュリティクリアランス制度の導入が国際競争力の向上に寄与すると期待しており、クリアランスを保有することで、情報開示が進み、国際共同開発や取引が円滑化し、特にデュアルユース技術や次世代技術(衛星、AI、量子、Beyond 5Gなど)の分野での競争力が高まるとされています。さらに、クリアランス制度が信頼の証となり、国内外のビジネスチャンスの拡大やセキュリティレベルの向上にもつながる可能性が指摘されています。
2:セキュリティクリアランス制度のデメリット
(1)認定の審査と更新
機密情報にアクセスする必要がある人物は、認定のプロセスで、自身の身分や経歴、資格、能力、信頼性、家族の情報など様々な情報を開示しなければなりません。これにより、プライバシーや人権に関わる問題が生じる可能性があります。
また、認定の期限があり、定期的に認定の更新を行わなければなりません。その際、人物の状況や環境の変化に応じて、認定のレベルや条件が変更される場合があります。
(2)コストと時間の負担
企業は、機密情報を適切に管理するための厳格な体制を整える必要があります。これには、機密を扱う部署に専用の区画を設置したり、出入りする社員の認証システムを強化したりするなど、施設の整備費用が含まれます。また、調査に伴う業務負担とコスト増加が避けられません。
(3)認定の取消しと処分のリスク
機密情報にアクセスする人物は、認定を受けた後も常に監視や監査の対象となります。そのため、行動や活動に制限がかかる場合があり、機密情報へのアクセスが制限されたり、解雇されるリスクもあります。これにより、業務への影響だけでなく、信頼の低下や転職の際の制約など、将来のキャリアにも悪影響を及ぼす可能性があります。
LINEUP3:セキュリティクリアランス制度の導入に向けた準備と対策
LINEUP1とLINEUP2ではセキュリティクリアランス制度の中身や導入するメリットとデメリットについて解説しましたが、実際にセキュリティクリアランス制度を導入するには、どのように進めたらよいでしょうか。LINEUP3では、セキュリティクリアランス制度の導入に向けた準備と対策について説明していきます。
1:機密情報の管理・保護体制の整備
機密情報は、アクセスできる必要最小限の人数や範囲に限定し、物理的にも電子的にも厳重に保管される必要があります。不正アクセスや流出を防ぐために企業は、機密情報の管理と保護に関するルールや手順を策定し、従業員に周知徹底し、遵守させる必要があります。
2:情報セキュリティ企業対策
企業は、審査や調査に関する必要な事項をアクセス資格者に対して十分に説明し、同意の判断や取下げを理由とする不当な取扱いが行われないように、法的・倫理的配慮をすることが求められます。
また、アクセス資格者に対する審査や調査にかかる費用や時間の補償、情報管理に関する教育や研修制度の充実など、資格者の心理的負担を軽減するためのサポートが必要です。これにより、アクセス資格者が安心して制度を活用できるよう、企業は適切なフォロー体制を整えることが大切です。
3:まとめ
セキュリティクリアランス制度は、機密情報にアクセスできる人や施設を審査し認定する制度です。この制度の導入は、国際協力や経済安全保障、イノベーションなどの観点から、日本の安全保障や経済発展にとって重要な意義を持ちます。一方で、コストやプライバシーの問題、運用の複雑さ、国際的な互換性や調和などの課題も抱えています。そのため、企業はセキュリティクリアランス制度の導入に向けて、そのメリットとデメリットを正しく理解し、適切に運用することが求められます。