セキュリティ・クリアランス制度が及ぼす民間企業への影響とその対応

Contents

• 1. はじめに
• 2. 「セキュリティ・クリアランス制度」とは
• 3. 民間企業に求められること
• 4. 制度へ対応する民間企業の留意事項
• 5. おわりに

1. はじめに

製造業における原材料の輸入や生産のオフショア化など、サプライチェーンや物流のグローバル化が急速に進む一方で、関税による貿易リスクや国際的な紛争の長期化に伴う地政学リスクの上昇などを背景に、サプライチェーンの維持・確保の重要性が年々増してきています。また、サプライチェーンを支える重要インフラに対する国境を越えたサイバー攻撃も増加しており、脅威情報の適切な管理および共有の仕組みが求められています。近年、人工知能（AI）に代表される軍事・民事に利用可能な革新的な技術情報も急速な進歩を遂げており、安全保障の観点からも当該情報の保全の必要性が高まっています。特に、生成AIに関する技術やデータの盗用といった国際問題も起こり始めており、経済安全保障に関する情報を日本として保全・共有する仕組みの構築が喫緊の課題となっています。

これらの課題の解決に向けて、経済安全保障分野における重要な情報を政府として指定し、政府から認められた民間企業がこれらの情報を活用可能とする制度として、2024年5月に「重要経済安保情報の保護及び活用に関する法律^＊1」が成立し、2025年5月16日に全面施行されました。本法が定めるセキュリティ・クリアランスの資格を得ることで、民間企業は高いセキュリティが要求される政府のプロジェクトに参画できるようになります。また、セキュリティ・クリアランスの資格を有する民間企業は、高い情報保全能力が認められた企業であり、市場における信頼性が高まり、国内外の企業との取引がしやすくなる可能性があります。このように事業機会の拡大への期待からセキュリティ・クリアランス制度に注目が集まっています。

本稿では、「セキュリティ・クリアランス制度」の紹介に加え、民間企業に求められることおよびその留意事項を解説^＊2します。

＊1：

令和6年法律第27号（2024/5/17公布）

＊2：

法律上は、行政機関と民間企業の両方を対象として規定されていますが、本稿では民間企業に関する事項を解説します。

2. 「セキュリティ・クリアランス制度」とは

セキュリティ・クリアランス制度は、行政機関が自身の保有する重要な情報を、民間企業やその従業員の信頼性を評価した上でアクセスを許可する制度です。

具体的には、�@行政機関は自身の保有する重要な情報を指定し、�A民間企業が情報を取り扱う必要性やその施設・設備・体制を審査し、認定した民間企業に重要な情報を提供します。その後、�B情報漏えいのおそれがないと確認（適性評価という）した民間企業の従業員に、重要な情報へのアクセスを許可します。�C違反した場合には罰則も科します（図表1）。

図表1. セキュリティ・クリアランス制度

資料：いわゆる「セキュリティ・クリアランス」について（内閣府）を基に
株式会社日立コンサルティングが作成

�@ 行政機関による情報の指定

国民生活や経済活動に不可欠な社会インフラ（電気・ガス・水道等）の提供体制や供給網を「重要経済基盤」、これらを保護するための情報を「重要経済基盤保護情報」といいます^＊3。この重要経済基盤保護情報のうち、「当該行政機関の所掌事務に係る重要経済基盤保護情報であって、公になっていないもののうち、その漏えいが我が国の安全保障に支障を与えるおそれがあるため、特に秘匿する必要があるもの」（以下、重要経済安保情報）が「重要な情報」です^＊3。この「重要な情報」は、行政機関の長（大臣や長官など）によって指定されるものです。指定される情報としては、重要インフラの施設・設備に関するぜい弱性に関する情報や、サプライチェーンのぜい弱性に関する情報、日本が優位な技術分野の研究情報などが挙げられています^＊3。これらの情報の関係性を図表2に示します。

＊3：

内閣府資料「重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準」

図表2. 重要経済基盤、重要経済基盤保護情報、重要経済安保情報の関係

資料：「重要経済安保情報保護活用法の概要（詳細版）」（内閣府）を基に株式会社日立コンサルティングが作成

�A 企業の審査

行政機関が重要経済安保情報を提供する民間企業は、その情報提供の必要性を行政機関側が判断して選定されます。そのため、民間企業側から要望があったとしても、必要性が認められない場合は選定されません。選定された民間企業が情報の提供を受けるためには、政府の定める「運用基準」^＊3に沿って情報を取り扱う施設や設備（情報を保管する金庫や閲覧用の端末など）、体制を整備し、審査を受ける必要があります。審査で認められた民間事業者（以下、適合事業者）は、行政機関と契約を締結することで情報を受け取ることができます。

�B 個人の評価

重要経済安保情報の取扱者は、行政機関からその適性が認められる必要があります。まず、適合事業者が、情報取り扱い予定者の一覧を行政機関に提出します。次に、行政機関は情報漏えいリスクを調査して、適性の有無を評価します。この際、情報を適正に管理できるか、自発的に情報を漏えいするおそれがないか、働きかけを受けた場合に情報を漏えいするおそれがないか、などが評価されます。

調査は内閣府によって行われ、本人の基本情報や家族・同居人の情報に加え、図表3に示す内容が調べられます。本人による質問票への回答に加え、必要に応じて面談、所属会社ほかへの情報照会が行われます。評価の結果、適性があると判断された者に対して、クリアランス資格が付与され、その結果が伝達されます。

図表3.調査事項

資料：「重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準」（内閣府）を基に株式会社日立コンサルティングが作成

�C 罰則

重要経済安保情報の取扱者が、その情報を漏らした場合（未遂や過失を含む）は5年以下の拘禁刑、500万円以下の罰金またはその両方が科されることとなります。施設への侵入や不正アクセスなどにより重要経済安保情報を取得した場合（未遂を含む）も同様の罰を受けることになります。なお、これらを行った者だけでなく、所属する法人も罰金を科されます。共謀・教唆・扇動した者については、3年以下の拘禁刑または300万円以下の罰金となります（図表4）。

図表4.主な罰則

資料：「重要経済安保情報の保護及び活用に関する法律」を基に株式会社日立コンサルティングが作成

3. 民間企業に求められること

重要経済安保情報を取り扱う対象となる民間企業は5月19日時点で明確になっていませんが、電気・ガス・水道等の重要インフラ事業者や、半導体等の重要物資を取り扱う企業などが対象になると想定されます。これらの民間企業およびその従業員に求められる事項を図表5の業務フロー�@〜�Fに示します。また、これらの対応を行う上での留意事項を次章で示します。

図表5. 業務フローと民間企業・従業員に求められる事項

資料：「重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準」（内閣府）を基に株式会社日立コンサルティングが作成

＊4：

評価対象者の上司、人事担当課の職員等の中から評価対象者の職務の遂行状況等についてよく知ると認める者のことを指す

4. 制度へ対応する民間企業の留意事項

本章では、セキュリティ・クリアランスの認定を受ける際に民間企業が留意すべき事項を紹介します。なお、内閣府から民間事業者向けのガイドライン^＊5やQ&A^＊6が公開されており、民間事業者が行うべき作業の内容や規程のひな型などが提示されているため、これらを参照しながら体制や環境を整備することが求められます。

＊5：

内閣府資料「重要経済安保情報保護活用法の運用に関するガイドライン（適合事業者編） （第1版）」

＊6：

内閣府資料「適性評価に関するQ&A（第1版）」

情報を取り扱う施設のアクセス管理と従業員の安全確保を行うこと

容易に外部の者が侵入できず資格がない者が情報へアクセスできないよう、民間企業の施設内で情報を取り扱う区画を用意する必要があります。この際、鍵や社員証によって入室を制限することが想定されますが、資格がない者がこれらを不正に入手して入室するリスクがあります。また、業務目的外で不正に入室するリスクや、不正入室後の行動に対する対処が遅れるリスクも想定されます。さらに、区画内には情報漏えい防止の観点からカメラ等の監視手段を設置することが困難なため、区画内で作業者の急病等が発生した場合に迅速な対処ができないリスクも想定されます。これらのリスクに対しては、以下の図表6に示す対策を講じることが有効です。

図表6. 情報を取り扱う施設におけるリスクと対策

資格の口外リスクと対策を教育すること

自身がクリアランス資格を保有していることを広く知られてしまうと、外国人スパイなどが接触してくるリスクが想定されます。このため民間企業は、このようなリスクがあることと対策を教育する必要があります。具体的には、以下の内容を従業員および上司等^＊4に教育することが重要です。

• 不特定の人が閲覧できるSNSに資格保有者であることを公表しない
• 不特定の人がいる環境（居酒屋、食堂など）で、自身が資格保有者であることを公言しない
• 社内であっても、自らが資格保有者であることを秘匿する（同僚経由で資格保有者の情報が漏れる可能性があるため）
• 社内の人事管理記録に資格の有無を記載しない。資格の有無を記載する場合は閲覧できる者を制限する

資格を有していない上司等への重要経済安保情報の共有を禁止すること

重要経済安保情報を取り扱う資格がない上司等は、重要経済安保情報を取り扱っている従業員に対し、仮に業務命令の形であっても、重要経済安保情報の共有を指示することはできません。このような指示をした場合には、重要経済安保情報の漏えいの教唆として、罰則の対象となる可能性があるため、事前に教育を行うことが重要です。なお、クリアランス資格者は、自身が取り扱う重要経済安保情報を、その情報へのアクセスが認められていないクリアランス資格者に対して共有できないことに留意が必要です。

評価結果の目的外利用を禁止すること

適性評価の結果は、情報保全に関する目的以外に利用することが禁止されています。

適性が認められなかった場合

それを理由に、解雇や減給、降格などの処遇は実施できません。また、不利益な配置の変更（雑務に従事させる、業務を与えない等）も禁止されています。適性評価が得られなかった従業員本人が配置変更を不利益であると感じた場合は、行政機関への通報や民事訴訟に至るリスクが想定されます。このような事態を防ぐため、例示を用いて目的外利用の禁止を上司に理解させるとともに、会社としてこのような行為がないようにチェックすることが重要です。

適性が認められた場合

適性評価を得たことに対するインセンティブ（昇給、昇格、ボーナス等）を与えることは目的外利用に抵触する可能性があります。また従業員に資格取得を打診する際に、インセンティブを提示することも同様です。一方で、インセンティブがないと転職のリスクも想定されます。このため、資格取得に対して直接的な評価を与えるのではなく、資格を得て従事したプロジェクトやその成果に対して評価を与えることが重要です。

資格喪失につながる事態が発生した場合は行政機関に報告すること

例えば、従業員が経済的に困窮した場合（裁判所からの給与差し押さえが発生した場合など）に、外国のスパイからの買収に応じてしまうリスクが想定されます。このため運用基準では、質問票で回答した内容（図表3）に変化が生じた場合は、それを行政機関に報告することが定められています。従って、上司は、質問票の回答内容に変化があった場合に報告するよう従業員に対して周知することが重要です。上司に報告しにくい場合は、行政機関に直接報告してもらうこともできます。なお、行政機関への直接報告により資格が喪失したケースにおいて、従業員に喪失の理由を聞くことは機微な事情に触れる可能性があるため避けるべきです。併せて、周囲からの不要な臆測によってその従業員が不利益を被らないようにするため、資格を喪失した事実自体が広がらないように配慮することも重要です。

従業員のプライバシーを保護すること

従業員が提出する質問票には個人の機微な情報も含まれるため、プライバシーの保護対策を行うことが必要です。このため企業は、上司が従業員に質問票の記載内容を聞くことがないように教育することが重要です。また、従業員に対しても、上司に質問票の記載内容を共有しないよう周知する必要があります。さらに、記載内容が周りに漏れないよう、質問票の回答を記入する場所（自宅も可能にする等）にも配慮すべきです。

5. おわりに

2025年5月から始まったセキュリティ・クリアランス制度によって、多くの企業が資格取得を行うことが想定されます。それにより、取引先が資格保有企業であった場合に、情報保全に関する意識が高くなり、一定程度の情報セキュリティ対策を要求してくる可能性があります。また、資格を有する企業と重要経済安保情報を利用する共同研究を行う場合に、一定程度の秘密保全体制を求められる可能性があります。

当社では、情報セキュリティ対策や従業員のプライバシー保護対策^＊7のコンサルティングサービスを提供しており、情報保全規程の作成や従業員向けの教育を支援できます。例えば、保全すべき対象、セキュリティインシデント、リスク源を特定し、対策要件の整理を通じて、社内の体制や規定整備の支援を行うことが可能です。また、適性評価を受ける際の従業員のプライバシーや人権侵害のリスクを洗い出した上で、社内の実施体制、業務手順・社内ルール、教育ツールなどの整備が可能です。これらのソリューションの提供を通して、わが国におけるセキュリティ・クリアランス制度の円滑な運用に貢献していきます。

＊7：

当社サービス「プライバシー保護対策支援コンサルティング」

※記載内容（所属部署・役職を含む）は制作当時のものです。