企業への影響に関する分析
筆者はこれまで「企業向け 経済安全保障におけるセキュリティクリアランスの活かし方」(2022年6月2日発表)と、「経済安全保障 重要インフラにおけるサイバーセキュリティに関する情報共有の在り方 セキュリティ・クリアランスを視点に」(2023年4月3日発表)において、セキュリティ・クリアランスが法制化された際の企業への影響について分析してきた。
セキュリティ・クリアランスの法制化(重要経済安保情報の保護及び活用に関する法律案)が閣議決定され、今後生じ得る企業への影響をより具体的に想定できるようになった。制度への対応が必要となる企業は、原則として、重要経済安保情報(※1)の提供を政府から受ける企業である。「経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(以後、有識者会議)」の最終取りまとめからは、「サイバー関連情報(サイバー脅威・対策等に関する情報)や規制制度関連情報(審査等に係る検討・分析に関する情報)、調査・分析・研究開発関連情報(産業・技術戦略、サプライチェーン上の脆弱性等に関する情報)、国際協力関連情報(国際的な共同研究開発に関する情報)」が重要経済安保情報の候補として取り上げられている。
法律施行までの期間が公布から1年以内と想定されることから、対応が必要になる企業は短期間のうちに①社内規則の整備や関連設備の更新、②適性評価(セキュリティ・クリアランスの主要箇所である身上調査)の対象となり得る従業者の特定と同意を得た上での名簿の提出、③適性評価の結果から重要経済安保情報を漏らすおそれがないと認められなかった場合の当該人材の配置転換及び別人材の充足などが必要となる。
このうち適性評価に関して、従業者などの対象者を主として調査するのは内閣総理大臣、評価するのは行政機関の長となり、集約することによって効率化が図られる予定である。この調査・評価のプロセスが、遅滞なく実施されるかどうかが、対象となる従業者の円滑な業務遂行や、ひいては企業活動に影響を及ぼす。
先行する米国における状況
セキュリティ・クリアランスについて先行している米国では、調査・評価の遅れが課題になっている。2023年度第四半期実績(※2)によると、対象者に関する処理が完了するまでの日数が、秘密の区分に応じて目標比4日~60日遅れている。
米国政府も遅れへの対策をとっている。組織の移管や業務に必要なシステムの更新により(※3)、対象者の申請から評価、モニタリング等のシステムが統合されるようになった(※4)。
日本において生じ得る課題
セキュリティ・クリアランスの新制度の影響を検討するにあたり、既に実施されている特定秘密保護法における適性評価の実施状況を参照したい。
2022年に行政が適性評価を実施した件数は23,583件(防衛省、警察庁が多い)であり、内訳は行政機関の職員等が22,429件、企業の従業者が約5%にあたる1,154件であった(※5)。ここ数年は毎年全体で2~3万件、企業の従業者は1,000件程度が適性評価を受けているが、時間がかかりすぎたことにより企業活動に支障をきたした例はない旨のコメント(※6)が確認できている。
一方、今回の法案では、前述の通り「サイバー関連情報」、「規制制度関連情報」、「調査・分析・研究開発関連情報」、「国際協力関連情報」という情報に関連する企業が影響を受けるとすると、例えば、情報通信業や先端技術を有する研究所等において、重要経済安保情報を取り扱う必要がある従業者が適性評価の対象になる。そのため、これまでの「年間1,000件程度」よりも多くの件数の調査・評価が必要になる可能性がある。
しかしながら、行政機関の現状のリソースで円滑に調査・評価を実施できるかは、現時点では詳しく説明されていない。特定秘密保護法における適性評価の運用基準(※7)からは、適性評価の際、対象者に対して質問票を提出させ、上司等への質問や各種団体への照会といった多くの業務が生じているものと推定される。今後、対象者が増加した際の、調査・評価に係る追加的コストの低減策や、遅延発生時の対策を講じ、企業活動への制約を最小限にする取り組みが求められる。
政府への提言
セキュリティ・クリアランスの新制度では、内閣府が調査機能を一元的に担う予定である(※8)。特定秘密保護法下で実施されてきたような各行政機関の取り組みを効率化する好機であり、デジタル上での完結を前提として進めることが不可欠と考える。
官民に生じるプロセスを整理すると、プライバシー権の尊重を前提として以下を目指すことが望ましい(※9)。
・申請(マイナンバー使用による本人確認等)から調査、再調査までを一体的に運用
・出入国記録や信用情報などの官民のデータベースと連携
・論文等の著作物やインターネット上の情報から必要な情報を収集
・データ蓄積と機械学習によりリスク要因の抽出やアラート出しを自動的に実施
これらによる効果として、企業やその従業者には、申請に伴う事務負担の軽減、プライバシー保護の向上、評価結果(就業可能性)の早期判明というメリットがある。また、行政機関には、調査コストの軽減、リスク要因の検知による保全の強化、効率的な制度運用による国民の制度理解の向上が期待できる。
もっとも、対応必須となるコストとして、例えば、アナログ的手段によって保たれていた保全に関して、デジタル化に伴いサイバーセキュリティを強化しなければならないし、公開情報といった必ずしも信用度が高いとは言えない情報の見極めが必要となる。
副次的な効果として、長い時間軸を経てスクリーニングをクリアした人材の層が可視化されるという点がある。家族関係といった本人にはどうしようもない事由によってスクリーニングをクリアできなかった人材にも配慮しつつ、人材が集まることができるセキュアな環境を構築し、各々の機微な内容を含む官民の人的交流(※10)を促進し、もって日本の競争力強化につなげることはできないだろうか。
参考文献
(※1) 重要経済安保情報とは、特定秘密等に該当するものを除く「重要経済基盤保護情報であって、公になっていないもののうち、その漏えいが我が国の安全保障に支障を与えるおそれがあるため、特に秘匿することが必要であるもの」である。
重要経済基盤保護情報とは、重要経済基盤に関する情報であり、以下の各事項である。①外部から行われる行為から重要経済基盤を保護するための措置又はこれに関する計画若しくは研究、②重要経済基盤の脆(ぜい)弱性、重要経済基盤に関する革新的な技術その他の重要経済基盤に関する重要な情報であって安全保障に関するもの、③①の措置に関し収集した外国の政府又は国際機関からの情報、④②及び③の情報の収集整理又はその能力。
重要経済基盤とは、「我が国の国民生活又は経済活動の基盤となる公共的な役務であってその安定的な提供に支障が生じた場合に我が国及び国民の安全を損なう事態を生ずるおそれがあるものの提供体制並びに国民の生存に必要不可欠な又は広く我が国の国民生活若しくは経済活動が依拠し、若しくは依拠することが見込まれる重要な物資(プログラムを含む。)の供給網」である。
衆議院「重要経済安保情報の保護及び活用に関する法律案」第213回国会議案の一覧
2024年3月29日参照(※2) Performance Accountability Council ” TRUSTED WORKFORCE 2.0 PERSONNEL VETTING QUARTERLY PROGRESS UPDATE, FY24 Q1”
2024年4月3日参照(※3) かかる米国政府の対応は、サイバー攻撃を受けたことに起因している。2015年4月、サイバー攻撃により連邦人事管理庁(Office of Personnel Management : OPM)は、約420万人の連邦政府職員等の個人情報を窃取された。(永野秀雄「米国におけるセキュリティクリアランス制度の大改革」2020.1 No.185 CISTEC Journal)
(※4) セキュリティ・クリアランスに係る申請システムであるe-Qip:Electronic Questionnaires for Investigations Processing等を、NBIS:National Background Investigation Services に移行中である。
DCSA”Electronic Questionnaires for Investigations Processing (e-QIP)”
2024年4月9日参照、DCSA”National Background Investigation Services (NBIS)”
2024年4月3日参照(※5) 内閣官房「特定秘密の指定及びその解除並びに適性評価の実施の状況に関する報告」令和5年6月
(※6) 情報保全諮問会議の主査を務める有識者が内閣情報調査室に聞き取りしたところ、「わが国では、適性評価に時間がかかり過ぎたことを原因として、特定秘密の取扱いが予定されている行政機関の職員や適合事業者の従業者が、予定された職務につくことができずに支障が生じた例はない」旨の回答があった。(永野秀雄「米国における科学者・技術者に対するセキュリティ・クリアランス-量子情報科学を中心に(上)-」2021.3 No.192 CISTEC Journal)
(※7) 閣議決定「特定秘密の指定及びその解除並びに適性評価の実施に関し統一的な運用を図るための基準の策定について」平成26年10月14日(最終変更:令和3年6月11日)
(※8) 内閣官房「(参考資料)重要経済安保情報の保護及び活用に関する法律」重要経済安保情報の保護及び活用に関する法律案について
令和6年2月27日経済安全保障法制準備室 2024年4月2日参照(※9) 米国ではTrusted Workforce 2.0というイニシアティブに基づきNBISは、リアルタイムの記録確認とアラート出しを目指している。確認する記録のデータは、継続的審査(Continuous Vetting : CV)プロセスとして、渡航歴、犯罪、信用情報等だけでなく、ソーシャルメディアといった公開情報も含まれ、また、機械学習が活用されているものと考えられる。(※5)の他、 DCSA”Continuous Vetting”
2024年4月3日参照、 General Services Administration” Access to Publicly Available Electronic Information (PAEI) and Social Media Data” 2024年4月3日参照、 DISA” Other Transaction Agreement awarded for defense security vetting” 2024年4月3日参照(※10) いわゆる経済安全保障推進法における特定重要技術研究開発協議会と比較して、より広いテーマを対象に扱うことが当該協議会との違いになってくる。(経済安全保障法制に関する有識者会議「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律第62条第1項に規定する協議会に関する協議会モデル規約(案)等」
第4回 令和4年11月16日 資料5 2024年4月2日参照※記事は執筆者の個人的見解であり、日本総研の公式見解を示すものではありません。