経済安全保障時代のセキュリティ・クリアランス——法務担当が知っておくべき適格性評価の実務

近年、防衛産業や先端技術分野だけでなく、インフラ関連企業との取引においても「セキュリティ・クリアランス」という言葉を耳にする機会が増えてきました。「適格性評価」とも呼ばれ、機微な情報を取り扱う職務に従事する個人と組織が、情報漏えいや不正利用のリスクを適切に管理できるかを評価する制度です。国内では2024年に成立した重要経済安保情報保護活用法により、機微情報の保護・活用と適格性評価の枠組み整備が求められています。 

「わが社にはまだ関係ない」と考える経営者や法務担当者もいるかもしれません。しかし実際には、大手企業や官公庁との取引条件にセキュリティ・クリアランスが組み込まれるケースが急速に増えており、体制を整備していない企業は受注機会を失う可能性があります。

この記事では、企業の法務担当者が押さえておくべきセキュリティ・クリアランスの基本と実務上のポイントを解説していきます。

セキュリティ・クリアランスの設計思想

セキュリティ・クリアランスを理解する上で最も重要なのは、「人ではなく職務に権限を付与する」という設計思想です。つまり、特定の個人に包括的なアクセス権を与えるのではなく、まずその職務がどの程度の機密情報へのアクセスを必要とするかを定義し、その職務に就く個人が適切な管理能力を持つかを評価するのです。

この考え方は「最小権限の原則」とも呼ばれ、職務遂行に必要最小限の情報へのアクセスのみを許可することで、万が一の漏えい時にも被害範囲を限定するリスク管理手法として機能します。評価を受けたからといって何でも閲覧できるわけではなく、あくまで職務に必要な範囲内でのアクセスに限定される点を理解しておくことが重要です。

重要経済安保情報保護活用法が施行された背景には、国家・企業の機微情報を巡る脅威の高度化と国際協調の進展があります。国内外で越境データ統制と適格性評価の共通枠組みが求められる中、職務に基づく最小権限管理を制度的に担保するのが目的です。

セキュリティ・クリアランスで実現する情報保護

セキュリティ・クリアランスは大きく分けて「個人適格性評価」と「組織適格性評価」の2つの軸で構成されます。

個人適格性評価

個人適格性評価では、情報を取り扱う個人の身元、経歴、信用状態、遵法意識、外国との関係性などを確認します。この評価は必ず本人の同意に基づいて実施され、漏えいや不正のリスク要因を総合的に判断します。具体的には、氏名や生年月日といった基本情報の正確性検証から始まり、多額の債務や経済的困窮状態の有無、過去の法令違反歴、外国政府や外国企業との関係などが確認されます。

ここで注意したいのは、単一の要素で即座に不適格と判断されるわけではないという点です。たとえば債務があるからといって直ちに不適格とされるのではなく、返済計画や管理能力を含めて総合的に評価されます。また、外国籍を持つことや外国との関係があることが一律に排除理由となるわけでもありません。評価の目的は、外国からの不当な影響を受けるリスクを見極めることにあります。

組織適格性評価

一方、組織適格性評価では、企業や団体が機密情報を管理する体制が整っているかを評価します。具体的には、情報管理規程やアクセス管理規程といった文書の整備、誰がいつどの情報にアクセスしたかを記録・監視する仕組み、機密情報取扱区域への入退室管理などの物理的セキュリティ、委託先が同等の管理水準を持つかの確認、情報漏えい時の報告ルートや初動対応プロセス、定期的な内部監査と是正の仕組みなどが評価対象となります。

特に経済安全保障の観点から重要性が高まっているのが「越境データ統制」です。機密情報が国外のサーバーに保存されたり、海外拠点に送信されたりしないよう、契約的・技術的に管理する仕組みの構築が求められています。

セキュリティ・クリアランスの審査レベルとリスク判断の仕組み

セキュリティ・クリアランスには情報の機密度に応じて複数の等級が設定されており、審査の深さも変わってきます。

簡易審査レベルでは、基本的な身元確認と簡易な経歴確認、自己申告ベースの財務・遵法確認が行われます。通常審査レベルになると、身元・経歴の第三者確認、信用情報機関への照会、前職への確認、面接といったより詳細な調査が実施されます。さらに精査レベルでは、身辺調査や家族・関係者への聞き取り、過去十年以上の履歴確認、定期的な再評価が行われます。

どのレベルの審査を適用するかは、「情報価値×脅威可能性×脆弱性」という三要素のリスクスコアに基づいて判断されます。情報価値とは情報が漏えいした場合の損害規模、脅威可能性とはその情報を狙う攻撃者の存在可能性や攻撃の実現可能性、脆弱性とは現在の管理体制でどの程度漏えいしやすいかを指します。これら三要素のスコアを掛け合わせて粗スコアを算出し、閾値に基づいて審査レベルを決定します。

境界的なケースについては、セキュリティ責任者や外部専門家を含む委員会でエスカレーション審議を行い、慎重に判断する仕組みが採用されています。

セキュリティ・クリアランス構築のポイント

個人適格性評価の基本フロー

個人適格性評価の実務は、概ね5つのステップで進行します。まず、本人から個人情報の収集・利用に関する明示的同意を取得し、申告書類と公的証明書の形式的確認を行います。次に、第三者情報源との照合、前職確認、信用情報照会、面接などの詳細審査を経て、総合評価に基づいて決定します。アクセス可能な情報の範囲・有効期間・条件を明記した証明書を発行し、3〜5年ごとの更新評価、または職務変更や重大インシデント発生時に再評価を実施します。

審査期間と必要書類

審査期間は、簡易審査が1〜2週間、通常審査が1〜2カ月、精査レベルでは3〜6カ月が目安です。必要書類は評価レベルにより異なりますが、基本的には履歴書、職務経歴書、住民票、卒業証明書、自己申告書（財務・遵法・外国関係）を提出します。評価レベルが上がる場合、前職の在籍証明書や推薦状が追加されることがあります。

整備必要項目

組織として最低限、整備すべき事項は4点です。

1.規定の整備・周知：情報管理／アクセス管理／インシデント対応

2.技術的対策：アクセス制御システム／ログ記録システム／暗号化技術

3.教育：全従業員向け基礎教育＋機密情報担当者向け専門教育（年1回以上）

4.監査：年1回以上の内部監査と是正計画の策定

記録した越境データの管理

越境データは特に慎重な管理が求められます。どの情報がどの国のサーバーに保存されるかを台帳で管理し、契約と技術の二重統制を行います。機密情報は原則として国内サーバーのみに保存し、クラウドサービスを利用する場合は契約・設定でリージョンを日本に固定します。やむを得ず越境する場合は、暗号化を施した上で発注元の承認を得ることが必須です。

セキュリティ・クリアランスと契約書

契約書に盛り込むべき必須要素

セキュリティ・クリアランス関連の契約書には、次の項目を明記する必要があります。機密区分の定義、アクセス範囲の限定、監査権、委託統制、インシデント報告（例：発見後24時間以内）、越境制限、更新・再評価の手続き。これらを文書化することで、後日のトラブルを予防します。

委託・下請け管理の要点

委託先・下請企業には自社と同等の管理水準を求め、契約に管理義務を明記し、定期監査を実施します。再委託は事前承認を必須とし、機密情報にアクセスする職務と、アクセスしない職務を明確に分離します。小規模組織では職務分離が課題となるため、適格性を持つ従業員が不在となった場合の代替計画も用意します。

プライバシー配慮と同意文面での要件

個人情報の収集に際しては、同意文面に「収集情報の種類・範囲」「利用目的」「保管期間（一般に評価終了後5年程度）」「第三者提供の有無」「開示・訂正請求権」「同意撤回方法」を明記します。さらに、評価情報と一般の人事情報を分離管理する二重管理を導入し、評価情報へのアクセス権をセキュリティ責任者と評価担当者に限定して、不要な情報拡散を防ぎます。

証拠の品質基準と層別化

審査で用いる証拠には品質基準を設定します。1次証拠は公的機関発行の証明書、2次証拠は第三者機関の回答、3次証拠は本人の自己申告とし、検証可能性・完全性・最新性・出所信頼性・改ざん耐性を担保します。

セキュリティ・クリアランスへの誤解と今後の論点

セキュリティ・クリアランスについては、いくつかの誤解が広がっています。

まず、評価を受ければ組織内の機密情報を無制限に閲覧できるという誤解です。実際には職務に必要な範囲のみアクセス可能であり、包括的な権限が与えられるわけではありません。一般企業には関係ないという誤解もありますが、防衛・インフラ・先端技術分野では契約条件化が進行しており、むしろ積極的な対応が求められています。

外国籍や外国との関係があれば一律不可という誤解も根強いですが、一律排除ではなく不当な影響リスクを総合的に判断する仕組みです。

一度通れば永続するという誤解もありますが、実際には3年から5年ごとの更新が必要です。

今後の論点としては、組織ごとに基準が異なる可能性による予見可能性の問題、人材確保のスピードとアクセス制約の両立、国際連携と越境統制の調整、プライバシー保護と透明性・異議申立の実効性といった課題が挙げられます。業界標準やガイドラインの整備、段階的な権限付与や暫定的なアクセス許可の仕組み、開示請求権や訂正請求権の具体的手続きの明確化などが検討されています。

例えば、日英伊の次期戦闘機共同開発（GCAP）では、機微情報の共有・標準化や第三国移転ルールの整合が課題です。国内では国会議員や議員秘書が適格性評価の対象外で、接触リスク（ハニートラップ等）への脆弱性が指摘されています。論点は、透明性・倫理規範・通報体制の補完策です。

セキュリティ・クリアランスが左右する企業の競争力

セキュリティ・クリアランスの本質は「必要な情報に、必要な人だけが、必要な範囲でアクセスできる仕組み」の構築にあります。初期投資は必要ですが、取引先からの信頼獲得、受注機会の拡大、自社の情報資産保護という明確なリターンをもたらします。

まず着手すべきは、現状把握から始めることです。自社がどのような機密情報を扱っており、どの職務でアクセスが必要かを洗い出します。次に、情報管理規程・アクセス制御・ログ記録・教育という最小セットを構築し、パイロット実施を行います。そして、パイロット実施から監査、是正というサイクルを回すことで、段階的に体制を改善していくのです。

本稿で示した設計思想、評価観点、実務手順を参考に、自社の規模と事業特性に合った体制を構築してください。経済安全保障の重要性が高まる今、セキュリティ・クリアランスへの対応は企業の競争力を左右する要素となりつつあります。

【参考・出典】

・KYODO NEWS「Japan launches economic security clearance system amid privacy woes」

・The Japan Times「Japan Cabinet OKs bill on new economic “security clearance” system」