セキュリティクリアランス制度：日本企業への影響と対策

Author: 有馬 典孝(Michitaka Arima) 

セキュリティクリアランス制度は、海外共同案件への参加を目指す企業にとって好機となる一方で、クリアランス（許可）取得・維持のためのコスト増、対応の遅れによる公官庁案件の失注といったリスクをもたらす複雑な問題です。リスクを回避しつつ、その恩恵を享受するために、企業はセキュリティクリアランス制度導入を見越した先行投資を行うことが必要です。

2023年2月、岸田文雄首相がセキュリティクリアランス（SC）制度の創設に向けた検討を行うよう指示を出しました。高市早苗経済安全保障大臣が主導し、有識者会議による1年間の議論・検討を経て2024年通常国会への法案提出を目指すとみられています。

セキュリティクリアランス制度は、一部の企業から導入推進を望む根強い声がある一方で、その取得・維持コストに対する懸念があるなど、企業にとって諸刃の剣となりうる制度です。本記事では、この制度の概要を解説し、企業が注意すべきポイントをご紹介します。

セキュリティクリアランス制度とは

セキュリティクリアランス制度とは、政府が国家機密であると指定した情報（「機密情報」）の取扱いに際して、その適格性を審査するために世界各国で設けられている制度です。機密情報には防衛、外交、諜報などに関する情報が含まれるほか、人工知能やドローンなど「デュアルユース」と称される軍事転用可能な技術、金融やインフラなど経済安全保障に係る重要情報など、広義の安全保障全般に関する情報が指定対象とされます。

この制度は通常、人的クリアランス（Personal Security Clearance, PCL）と施設クリアランス（Facility Security Clearance, FCL）という2つの柱からなっており、人的クリアランスを取得した人員が、施設クリアランスを取得した執務エリアにおいてのみ、機密情報を取扱うことが認められます。これはSC制度を導入している各国共通の特徴となっていることから、日本でも踏襲されるでしょう。

海外のSC制度では、施設クリアランスを取得するには人員、物理セキュリティ、サイバーセキュリティの3領域からなるいくつもの要件を満たすことが求められます。人的要件にはセキュリティ管理者の任命や教育実施、物理的要件には入退管理システムや監視カメラの設置、サイバー要件にはネットワーク隔離やサプライチェーン管理などが含まれると見込まれます。

人的クリアランスの審査にあたっては、交友関係、信用情報、職務経歴、犯罪歴、海外渡航歴といった入念な身辺調査が行われることが通例で、これは対象人物が金銭問題など機密情報を漏えいしうる要因に晒されているかどうかを確認するためのものです。一部で懸念があるようにプライバシーに深く立ち入った調査が行われるため、クリアランス取得に際しては本人同意が必要不可欠です。

日本における議論とその影響

日本では、2014年に施行された特定秘密の保護に関する法律である通称「通称特定秘密保護法」にて、民間人を含む特定秘密の取扱いに従事する従業者の適格性評価の仕組みが確立されており、これがセキュリティクリアランスに最も近しい制度だといえます。

一方、特定秘密として指定しうる情報が防衛装備、外交など狭義の安全保障に係るものに限定されており、かつ適格性評価の対象が従業者のみであり施設クリアランスの概念が存在しないなど、その限界がかねてより指摘されていました。

特に、日本が十分なSC制度を有さないことでアメリカを中心とした同盟国、同志国との国際協力関係に制約が生じていること、およびデュアルユース技術に関する国際共同研究プロジェクトなど、海外案件に日本企業が参入する際の障害になっていることなどが、SC制度導入を推進する大きな動機となっています。

日本にてSC制度が導入された場合、その影響を最も直接的に受けるのは日本の公官庁から重要情報に係る契約を受注している企業になると予想されます。SC制度の導入後、クリアランス取得のための猶予期間が設けられることが海外事例から予想されますが、期間内にクリアランスを取得できない場合、その後の営業活動において不利な立場に追いこまれるリスクがあります。これら企業にとってSC制度対応は喫緊の経営課題となる可能性が高いでしょう。

前述の通り、SC制度の対象範囲となる情報は幅広く、デュアルユース技術や重要インフラ分野で政府から契約を受注している、あるいは契約獲得を目指している企業は、本制度導入に関する動向を注視し、公官庁の担当者と継続した対話を行う必要があります。どのような情報が機密指定されるかはSC制度の運用次第ですが、例えば米国では情報が安易に機密指定される「過剰指定」問題が慢性化しており、日本でも予想以上に広範な影響が生じるかもしれません。

他方、グローバルで事業を展開している日本企業にとって、SC制度の導入はデュアルユース技術に関する国際共同研究など海外プロジェクトに参入する好機をもたらします。日本のSC制度が海外制度とどのような互換性を有するかは続報を待つ必要がありますが、少なくとも「セキュリティクリアランス制度を有する国の企業」として営業活動できるようになることは、そういった海外プロジェクトへの参画を目指す日本企業にとって大きな恩恵をもたらすでしょう。

企業がとるべき対策

まだ日本のセキュリティクリアランス制度は検討段階に入ったばかりであり、その正確な内容を完全に予測することはできません。一方で、SC制度導入の動機として同盟国との協力関係深化が挙げられていることから、米国や英国といった国々の制度との互換性について一定の配慮がなされるだろうと考えています。各国の制度を調査することで、日本におけるSC制度対応に向けた有用な知見を得ることができるでしょう。

企業はまず、自身がSC制度の影響をどれほど受けるか評価しなければなりません。デュアルユース技術や重要インフラ分野で公官庁と協力関係にある、あるいは将来的に契約受注を目指している企業は、SC制度の導入後、速やかにクリアランスを取得できるよう先行投資を行うことで、競合他社に対する優位性を獲得できる可能性がありますが、そうして得られるメリットがクリアランス取得のために要するコストを上回る必要があります。前述の通り、SC制度は人的クリアランス（PCL）と施設クリアランス（FCL）から構成され、そのうちFCLには人員、物理セキュリティおよびサイバーセキュリティという3種類の要件が設定されることが予想されます。クリアランスを取得しなければならない人員および施設を特定し、それらリソースの適格性を社内で事前審査することは、SC対応に向けた初めの一歩として効果的です。

コントロール・リスクスには、英国や米国でクリアランス審査を受けた経験のあるコンサルタントが複数在籍しており、これら国々のSC制度についての有用な情報をご提供できます。また、身辺調査、施設の物理セキュリティ、サイバーセキュリティなど各分野の専門家が、SC制度対応を支援します。

海外におけるSC制度の詳細や、日本でのSC制度導入に向けた対応準備にご興味のある方は、以下フォームからお問合せください。