セキュリティクリアランス制度:日本企業への影響と対策
セキュリティクリアランス制度:日本企業への影響と対策
Author: 有馬 典孝(Michitaka Arima)
セキュリティクリアランス制度は、海外共同案件への参加を目指す企業にとって好機となる一方で、クリアランス(許可)取得・維持のためのコスト増、対応の遅れによる公官庁案件の失注といったリスクをもたらす複雑な問題です。リスクを回避しつつ、その恩恵を享受するために、企業はセキュリティクリアランス制度導入を見越した先行投資を行うことが必要です。
【本記事のサマリ】
- セキュリティクリアランスとは、政府が国家機密であると指定した情報を取り扱う人や施設について、適格性を審査し認証を与える制度。既に世界各国で導入されている。
- 2024年の国会で重要経済安保情報の保護及び活用に関する法律が可決・成立したことで、2025年内のセキュリティクリアランス制度の施行が確実になった。
- セキュリティクリアランス制度の導入は日本企業にとって商機拡大というメリットがある一方、取得と維持のためのコスト負担が発生する。
- 企業はセキュリティクリアランス制度の影響を評価したうえで、クリアランス取得にメリットがあると判断される場合、制度導入後速やかにクリアランスを取得できるよう準備を進める必要がある。
2024年5月、セキュリティクリアランス制度に関する法律である「重要経済安保情報の保護及び活用に関する法律」が国会で可決され、成立しました。これにより、2025年5月17日までの政令で定める日から、セキュリティクリアランス制度が施行されることになります。内閣府の資料によると、重要経済安保情報保護活用の諮問会議および準備委員会での検討・議論を経て、2024年冬ごろに政令案、運用基準案に対するパブリックコメントを募集するというスケジュールが示されています。
セキュリティクリアランス制度は、一部の企業から導入推進を望む根強い声がある一方で、その取得・維持コストに対する懸念があるなど、企業にとって諸刃の剣となりうる制度です。本記事では、この制度の概要を解説し、企業が注意すべきポイントをご紹介します。
セキュリティクリアランス制度とは
セキュリティクリアランス制度とは、政府が国家機密であると指定した情報(「機密情報」)の取扱いに際して、その適格性を審査するために世界各国で設けられている制度です。機密情報には防衛、外交、諜報などに関する情報が含まれるほか、人工知能やドローンなど「デュアルユース」と称される軍事転用可能な技術、金融やインフラなど経済安全保障に係る重要情報など、広義の安全保障全般に関する情報が指定対象とされます。
この制度は通常、人的クリアランス(Personal Security Clearance, PCL)と施設クリアランス(Facility Security Clearance, FCL)という2つの柱からなっており、人的クリアランスを取得した人員が、施設クリアランスを取得した執務エリアにおいてのみ、機密情報を取扱うことが認められます。日本のSC制度においては「個人に対する適性評価」と「適合事業者」という2つの概念が示されており、それぞれ人的クリアランスと施設クリアランスに対応すると考えられます。
適性評価(人的クリアランス)
適性評価は、対象者本人から質問票を提出することにより実施され、下記のような項目が回答対象となる見込みです。
① 氏名、年齢、性別、勤務先などの基本的な属性
② 重要経済基盤毀損活動(いわゆる産業スパイ、テロ活動)
③ 犯罪、懲戒の経歴
④ 情報の取扱いに関する非違の経歴
⑤ 薬物の濫用および影響
⑥ 精神疾患
⑦ 飲酒についての節度
⑧ 信用状態その他の経済的な状況
特に②に関して、海外の制度では海外渡航履歴や交友関係など、入念な身辺調査が行われるケースがみられます。
これは適性評価の対象者が金銭問題など機密情報を漏えいしうる要因にさらされているかどうかを確認するためのものですが、多くの項目が対象者のプライバシーに深く関わるものであることから、企業は適性評価の対象者本人から同意を得る必要があるほか、対象者が同意しなかった場合に業務上不利益な扱いが生じないよう配慮する必要があります。
適性評価の実施主体となるのはSC制度を利用する企業ではなく各行政機関ですが、提出された質問票に基づき、適性評価対象者の上司や同僚に対して調査票の提出やヒアリング対応が求められる可能性があります。
適合事業者(施設クリアランス)
海外のSC制度では、施設クリアランスを取得するには人員、物理セキュリティ、サイバーセキュリティの3領域からなるいくつもの要件を満たすことが求められます。人的要件にはセキュリティ管理者の任命や教育実施、物理的要件には入退管理システムや監視カメラの設置、サイバー要件にはネットワーク隔離やサプライチェーン管理などが含まれると見込まれます。日本のセキュリティクリアランス制度において、適合事業者認定を受けるための具体的な要件は2024年9月時点ではまだ定められておらず、運用基準に関する今後の議論を注視する必要があるでしょう。
また、米国や英国のSC制度においては、施設クリアランスとは別に「組織の適格性」の評価が行われます。これは主に海外勢力による会社の所有、支配、影響力の行使(Foreign Ownership, Control and Influence, FOCI)によるリスクを排除することを目的とし、役員や株主、売上の海外比率などが評価対象となります。
日本のSC制度の場合、「適合事業者」が海外SC制度における「組織の適格性」と「施設クリアランス」の両方の概念を内包していると考えられます。例えば、第三回重要経済安保情報保護活用諮問会議の参考資料によると、適合事業者は(A)重要経済安保情報を取扱う事業部が変更または追加された場合、および(B)代表や役員、株主構成に変更があった場合、いずれのケースにおいても追加・変更部分に関する追加の審査が必要となる可能性が示唆されています。
対象となる情報と企業への影響
重要経済安保情報の保護及び活用に関する法律では、SC制度の対象となる情報(重要経済安保情報)を(1)重要経済基盤保護情報であって、(2)公になっていないもののうち、(3)その漏えいが我が国の安全保障に支障を与えるおそれがあるため、特に秘匿することが必要であるものと定義しています。
具体的な指定の範囲についての指針までは示されていませんが、第四回重要経済安保情報保護活用諮問会議の参考資料では、指定対象となる情報の類型として(1)基盤公共役務の提供体制を保護するための措置等、(2)重要物資の供給網を保護するための措置等、(3)重要経済基盤の脆弱性に関する情報であって安全保障に関するもの、(4)重要経済基盤に関する革新的な技術に関する情報であって安全保障に関するもの、の4つが示されました。
このうち、例えば類型(1)には「施設・設備等の導入・維持管理に係る規制・制度に関して行政機関が行う審査・監督等の措置」が含まれ、類型(4)には「重要経済基盤に関する革新的な技術で我が国が技術優位性を持つ分野(これから技術優位性を確保しようとする分野も含む)における技術に関する研究・調査・分析・審査等により得られた情報」が含まれています。
米国では情報が安易に機密指定される「過剰指定」の問題が慢性化しており、日本でも予想以上に広範な影響が生じるかもしれません。先端技術や重要インフラ分野で行政機関から契約を受注している、あるいは契約獲得を目指している企業は、本制度の運用に関する議論の動向を注視し、各機関の担当者と継続した対話を行っていく必要があります。
海外事例からはSC制度の施行後、クリアランス取得のための猶予期間が設けられることが予想されますが、期間内にクリアランスを取得できない場合、その後の営業活動において不利な立場に追いこまれるリスクがあります。これら企業にとってSC制度対応は喫緊の経営課題となる可能性が高いでしょう。
他方、グローバルで事業を展開している日本企業にとって、SC制度の導入は先端技術に関する国際共同研究など海外プロジェクトに参入する好機をもたらします。日本のSC制度が海外制度とどのような互換性を有するかは続報を待つ必要がありますが、少なくとも「セキュリティクリアランス制度を有する国の企業」として営業活動できるようになることは、そういった海外プロジェクトへの参画を目指す日本企業にとって大きな恩恵をもたらすでしょう。
企業はセキュリティクリアランス制度に向けて何を準備すべきか?
企業はまず、自身がSC制度によって受けるプラス、マイナスの影響を評価しなければなりません。先端技術や重要インフラ分野で行政機関から契約を受注している、あるいは将来的に契約受注を目指している企業は、SC制度の施行後、速やかにクリアランスを取得できるよう先行投資を行うことで、競合他社に対する優位性を獲得できる可能性がありますが、そうして得られるメリットがクリアランス取得のために要するコストを上回る必要があります。
前述の通り、SC制度は人的クリアランス(PCL)と施設クリアランス(FCL)から構成され、そのうちFCLには人員、物理セキュリティおよびサイバーセキュリティという3種類の要件が設定されることが予想されます。クリアランスを取得しなければならない人員および施設を特定し、それらリソースの適格性を社内で事前審査することは、SC対応に向けた初めの一歩として効果的です。
例えば、セキュリティクリアランス取得が求められる業務に関わる従業員に対して、適性評価の仕組みについて説明のうえ事前の同意を求めることで、重要メンバーが適性評価を辞退しプロジェクトが遅延するリスクを軽減することができるでしょう。同様に、既存のフレームワークに従って施設の物理セキュリティやシステムの情報セキュリティを事前評価し、セキュリティクリアランス取得にあたって障害となりうる要素を特定することも有効だと考えられます。
この際、SC制度は行政機関と直接取引している企業だけに影響するわけではない点に留意してください。海外事例では適合事業者から重要経済安保情報に関する業務の再委託を受ける場合、または情報通信システムなど重要経済安保情報を処理するための施設、装置などを適合事業者に提供している場合などもSC制度の影響を受けることになりますが、日本でも同様の運用が行われる可能性があります。
また、海外事例をみると、セキュリティクリアランスを必要とする契約を複数抱えている企業にとっては、セキュリティクリアランスを取得したリソースを効率的に管理するための全社的な仕組みが重要になると思われます。可能なかぎり各種リソースを共通化することで、セキュリティクリアランス取得に関連する費用を低減し、利益率を高めることができるでしょう。
コントロール・リスクスには、英国や米国でクリアランス審査を受けた経験のあるコンサルタントが複数在籍しており、これら国々のSC制度についての有用な情報をご提供できます。また、身辺調査、施設の物理セキュリティ、サイバーセキュリティなど各分野の専門家が、SC制度対応を支援します。
海外におけるSC制度の詳細情報や、日本でのSC制度導入に向けたご相談などございましたら、以下フォームからお問合せください。