セキュリティ・クリアランス制度の新設

 セキュリティ・クリアランスとは、一般的には、国家における情報保全措置の一環として、政府が保有する安全保障上重要な情報を秘密情報(Classified Information: CI)に指定し、指定された情報にアクセスする必要がある者に対して政府による信頼性の調査を実施し、確認した上でアクセス資格(クリアランス)を付与することを中心とする制度をいう。
 従来、「特定秘密保護法」で我が国は情報保全に対応してきたが、同法で特定秘密に指定できる範囲は、防衛、外交、特定有害活動の防止、テロリズムの防止に限られており、経済安全保障に関する情報が必ずしも保全の対象となっていなかった。特定秘密を取り扱う資格保持者も海外先進国に比べ非常に少なく、その官民比率でも民間はわずか数%だった。
 そうした課題を解決するため、2024年5月、「重要経済安保情報の保護及び活用に関する法律」(以下、セキュリティ・クリアランス法)が成立した。本稿では、セキュリティ・クリアランス法の概要と、2025年5月の施行に向けて民間企業が考えなくてはならない対応などについて解説する。

重要経済安保情報の指定

 セキュリティ・クリアランス法は、「対象となる情報の指定」のほか、民間事業者との関係では、その情報を取り扱える「適合事業者の認定と契約」、その情報を取り扱う「適合事業者内の従業員の適正評価」について定めている。
 同法の対象となる情報が「重要経済安保情報」であり、重要なインフラや重要物資のサプライチェーンを指す「重要経済基盤」(※1)に関する情報(重要経済基盤保護情報)のうち、公にされておらず、その漏えいが我が国の安全保障に支障を与えるおそれがあるため、特に秘匿する必要のあるものが指定される(※2)。
 重要経済安保情報は、基本的に政府が保有している情報から指定されるため、民間事業者が保有する情報が直接指定されるわけではないが、民間事業者が保有している情報であっても、それが政府に提供された場合は指定の対象となる可能性はある。その場合、図表1のとおり、重要経済安保情報として提供を受けた者のみが規制の対象であり、指定前から保有しているものなどには指定の効果は及ばないと解釈されている。

図表1 民間提供情報を重要経済安保情報に指定した場合にその効果が及ぶ範囲
出所:内閣官房 重要経済安保情報の保護及び活用に関する法律案

※1セキュリティ・クリアランス法2条3項  ※2 同法3条1項

事業者に対するクリアランス(Facility Security Clearance: FCL)

 重要経済安保情報は行政機関のみで取り扱われるわけではない。我が国の安全保障の確保に役立つ活動を促すために必要があると認めたときは、行政機関の長が信頼性を認定した事業者である「適合事業者」に、重要経済安保情報を提供することができる(※3)。
 基本的には行政機関が提供の必要性を判断し、民間事業者は受け身の立場だが、民間事業者が行政機関に対して「国際共同研究開発に参加したい」と相談することが提供の必要性判断の契機となるようなケースも想定されている。
 適合事業者とは、施設設備などに関して政令で定める保全基準に適合する事業者をいい(※4)、別途定められる運用基準(※5)も踏まえて行政機関の長によって認定される。運用基準やセキュリティ・クリアランス法の運用に関しては、重要経済安保情報保護活用諮問会議において検討が進められており、2024年11月下旬に、政令案(※6)および運用基準の案(※7)が公開されている。
 適合事業者は、重要経済安保情報の提供を受けるにあたって、行政機関の長との間で法定の事項を定めた契約を締結し(※8)、対象となる情報の適切な保護のために必要な措置を講じる。その際、適合事業者の従業員であれば誰でも情報を取り扱えるわけではなく、契約で定めた範囲の従業者に限定しなくてはならない(※9)。

※3 セキュリティ・クリアランス法10条 ※4 同条1項 ※5 同法18条1項
※6 2024年12月27日までパブリックコメントに付されている。
※7 重要経済安保情報の指定及びその解除、適性評価の実施並びに 適合事業者の認定に関し、統一的な運用を図るための基準(案)
※8 セキュリティ・クリアランス法10条3項  ※9 同条4項

個人に対するクリアランス(Personnel Security Clearance: PCL)-適性評価

「適合事業者」が提供を受けた重要経済安保情報は、同社の全ての従業員が取り扱い可能なわけではなく、「適性評価」をクリアした従業員のみが取り扱うことができる(※10)。
 適性評価とは、行政機関の長が、対象者の同意を得た上で、情報漏えいのおそれにかかわる一定の事項(重要経済基盤を標的としたスパイ活動・テロリズムとの関係や、犯罪歴、薬物濫用、精神疾患など)について調査を行い、その結果に基づき、重要経済安保情報を漏らすおそれがないかを評価する手続きだ(※11)。適性評価の対象者は、法定の調査事項に関する質問票の提出などを行うことが想定されており、詳しい流れは図表2のとおり。プライバシー保護の観点から評価対象者の事前同意が必要であり、また、適性評価に関する個人情報の目的外利用は禁止されている(※12)。

※10 セキュリティ・クリアランス法11条1項本文  ※11 同法12条1項、2項  ※12 同法16条

図表2 適合事業者の従業員に対する適性評価の流れ
出所:重要経済安保情報保護活用諮問会議(第4回)資料2

民間企業に求められる対応

 セキュリティ・クリアランス制度には、こうした厳しい情報取り扱いが要求されるため、これに関わる民間事業者は「クリアランス取得の要否」「適合事業者認定」「従業員の適性評価」の3点での対応が必要になる。
 まず「クリアランス取得の要否」だが、重要経済安保情報の指定範囲などについては、運用基準案で具体化されている。例えば、重要なインフラやサプライチェーンに関わる事業者の施設・設備などにについて、これらに対する「サイバー攻撃に対応するための措置に関する情報」や、「施設・設備などの脆弱性に関する情報」、「安全保障に関わる革新的技術の国際共同研究開発において外国政府から提供されるCI」などが挙げられる。民間企業においては、自社の業務とこれらの情報の関連性を踏まえて、適合事業者の認定(FCL)の要否について検討することが必要と考えられる。
 次に「適合事業者認定(FCL)」については、基準の詳細は政令及び運用基準の確認が必要だが、大きくは組織としての適合性(組織内の規程の整備、周知・教育、人員体制など)と、管理場所・施設設備についての適合性(重要経済安保情報を取り扱うそれぞれの場所)の2点から、重要経済安保情報を適正に管理できるか総合的に判断される。
 審査を受ける事業者は、認定に必要な各種情報を提出することが想定されているが、施設設備に関する基準の具体化には限界があり得るため、Q&Aやガイドラインによる補完も想定されている。
 適合事業者としての認定を目指す事業者としては、重要経済安保情報の取り扱いに関する規程の策定に向けた準備や、取り扱いが予定される施設に関する追加投資などについての検討が必要となる。
 そして、「従業員の適性評価(PCL)」では、民間事業者は、適性評価の前段階として、「重要経済安保情報の取扱いの業務を新たに行うことが見込まれることとなった者」(※13)の名簿を行政機関に提出する際、該当する従業員から名簿に掲載されることについて同意を取得することとなる(図表2③参照)。その際、名簿掲載に同意しなかったことを人事考課といった他の目的に利用しないなど、従業員への丁寧な説明を行う必要がある。
 また、適性評価の結果、PCLを得られなかった従業員は重要経済安保情報を取り扱うことはできないが、民間事業者がその結果を理由として不合理な不利益取り扱いを行うことは許されない。
 このように、民間企業においては、同意取得や名簿作成などのプロセスや、適性評価の結果に伴う適正な処遇の在り方などについても検討が必要となる。

※13 セキュリティ・クリアランス法12条1項1号

蔦 大輔

森・濱田松本法律事務所弁護士。2007年京都大学法学部卒業、2009年神戸大学法科大学院終了。2010年弁護士登録。2017年から2020年まで内閣官房内閣サイバーセキュリティセンター(NISC)にて法改正等を担当。経済安全保障を含むサイバーセキュリティ、個人情報保護、IT・ICTを主要取扱分野とする。著書『クロスセクター・サイバーセキュリティ法』(共著、商事法務NBL連載、2023年~2024年)、「60分でわかる!改正個人情報保護法 超入門」(共著、技術評論社、2022年)ほか多数。

新井 雄也

森・濱田松本法律事務所弁護士。2020年慶應義塾大学法学部卒業。2022年弁護士登録。各インフラ分野の事業者における経済安保推進法への対応等に関する案件のほか、多様な訴訟・紛争解決、Fintech(主に決済・送金)、各種金融関連規制に関する業務を主に取り扱う。