本稿は、いわゆるセキュリティ・クリアランスに関する新法の概要と企業に与える影響を考察した記事です。
前編にあたる「セキュリティ・クリアランス制度:新たな経済安保政策による機会とリスク」では、セキュリティ・クリアランス制度の概要を解説しました。
後編にあたる「セキュリティ・クリアランス制度:企業が備えるべき実務と戦略」では、企業の対応について具体的に説明します。
なお、本稿の内容は前後編とも、2025年6月6日執筆時点のものであり、2024年4月22日公開の記事の更新版です。
ポイント1:クリアランス保有による負担・留意点 申請手続き時の各種行政対応や資格保有に伴う情報保全体制の整備が求められている。申請には、対象者本人からの同意の確保やプライバシーとの関係に配慮が必要である。 ポイント2:ステークホルダーへの影響 制度活用に向けては、まずは行政機関側から指定された情報を提供する必要がある事業者として選定される必要がある。行政機関からの「事前の打診」を受けたうえで、重要経済安保情報の提供を受けるか否かの判断を行い、審査を受ける流れとなっている。 |
セキュリティ・クリアランス制度活用に伴うビジネス上の影響と対応の留意点
1.ビジネス機会の拡大や国際共同研究開発の推進
【制度活用による積極的な側面】
| 視点 | 担当部門例 | セキュリティ・クリアランス資格保有に伴う機会例等 |
|---|---|---|
| ビジネス機会の拡大 | 経営企画、調達・購買、現地子会社 |
|
| 国際共同研究開発の推進 | 研究開発、リスク管理 |
|
| 情報セキュリティの強化 | 情報セキュリティ |
|
出所:内閣府「経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議」資料を基にKPMG作成
※米英など英語圏5ヵ国によるUKUSA協定(United Kingdom-United States of America Agreement)に基づく機密情報共有の枠組みの呼称。日本は5ヵ国と安全保障面で協力を進めている。
2.セキュリティ・クリアランス制度活用に向けた流れと留意点
制度活用に向けては、まずは行政機関側から重要経済安保情報を提供する必要がある事業者として選定される必要があります。事業者側としては、事業者選定や情報の概要等の提供といった行政機関からの「事前の打診」を受けたうえで、重要経済安保情報の提供を受けるか否かの判断を行うこととなります。
提供を受ける判断を行った場合には、情報を適切に保護できると認められる「適合事業者」の認定のための申請書を提出することとなります。その後、行政機関側が審査や適合事業者としての認定を行い、適合事業者と重要経済安保情報を提供するための契約を締結、契約締結後、当該事業者内で情報の取扱いが⾒込まれる従業者に対して、適性評価を実施する流れとなります。
現時点で行政機関側が保有していないものの、今後、重要経済安保情報の発生が見込まれる調査研究等を実施する必要がある場合にも、実施前に事業者の同意を取得したうえで、適合事業者として認定を受けるケースも想定されています。
このケースにおいても、事業者選定や情報の概要等の提供といった行政機関からの「事前の打診」を受けたうえで、事業者側は、当該調査研究等を実施するか否かの判断を行うこととなります。行政機関側は、調査研究等の実施により事業者が保有することが⾒込まれる情報に関して、あらかじめ重要経済安保情報に指定することとなっています。
【事前の打診~適合事業者認定・適性評価までの流れ】
出所:内閣府「適性評価と重要経済安保情報の提供の流れ」を基にKPMG作成
(2)適合事業者の認定-ガバナンス体制、教育の実施、施設整備状況などを総合的に審査
適合事業者の認定では、事業者が政令に基づく内部規定を定めたうえで、重要経済安保情報を適切に保護することができると認められるかどうかが審査されます。内部規定では、情報保護の全体の責任を有する者(保護責任者)や情報を取り扱う場所において業務を管理する者(業務管理者)の指名基準のほか、業務を行う従業者の範囲の決定基準等をの策定が求められています。
審査では、上記規定に加え、意思決定に関する外国からの所有・支配又は影響の把握、保護責任者や業務管理者の選定といった「ガバナンス体制の確立」「教育資料の作成と教育の実施」「施設設備の整備」といった考慮要素を踏まえて、総合的に判断されることとなります。
たとえば、認定申請書では、外国の所有・支配・影響がないと認められるかどうかを確認するため、申請事業者の議決権の5%超を直接に保有する者の名称・設立準拠法国・議決権保有割合のほか、申請事業者の役員の氏名・国籍・帰化歴の有無、外国との取引に係る売上高の割合を記入します。
事業者側は、適合事業者の認定を受ける決定をした場合には、規定や教育資料を整備し、施設設備の担保要件を確保したうえで、申請書等に必要事項を記入して提出する必要があります。なお、子会社や委託先等が重要経済安保情報を取り扱う場合は、適合事業者の認定を受ける必要がありますが、重要経済安保情報を管理する施設設備の設置は義務ではないとされています。
【適合事業者認定審査に当たっての考慮要素】
| 要件 | 概要 |
|---|---|
| ガバナンス体制の確立 |
|
| 教育資料の作成と教育の実施 |
|
| 施設設備の整備 |
|
出所:内閣府「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」を基にKPMG作成
(3)適性評価-本人の同意、プライバシー保護、目的外利用の禁止などに留意
【適性評価の流れのイメージ】
出所:内閣府「重要経済安保情報保護活用法の運用基準 概要」基にKPMG作成
前掲のとおり、適性評価の実施にあたっては、プライバシー保護や基本的人権の尊重、法に定める調査事項以外の調査の禁止、適性評価の結果の目的外利用の禁止が、基本的な考え方として掲げられています。
適性評価においては、企業はまず従業員に対し、適性評価の事前説明と意向確認を行い、評価対象者本人の同意を得たうえで行政機関に情報取扱予定者の情報(候補者名簿)を提出する必要があります。事業者側には、あらかじめ本人に対して、行政機関による調査内容など、同意の判断に必要な説明を実施することが求められています。
候補者の選定については、保護責任者を中心に実施されると想定されますが、人事配置にも影響してくる問題でもあることから、候補者の選定にあたっては、関係部署間での相談と調整が必要になります。
適性評価を実施することが必要な者については、「重要経済安保情報の取扱いの業務を新たに行うことが見込まれることとなった者」「重要経済安保情報の取扱いの業務を現に行っており、適性評価から10年経過後も引き続きこれを行うことが見込まれる者」が法によって規定されており、この類型に該当しない場合は、たとえ本人が適性評価を望んだとしても、適性評価を受けることができないとしています。
また、適性評価により重要経済安保情報を漏らすおそれがないと認められた者であっても、その後の事情変更等により、「引き続き当該おそれがないと認めることについて疑いを生じさせる事情がある」者について、改めて適性評価を実施するとしています。ガイドラインでは、「疑いを生じさせる事情」として、「裁判所からの給与の差し押さえ通知により借財の発生を上司が知り得た場合等」を例として挙げています。
候補者名簿提出後、行政機関側から評価対象者に対し適性評価実施の告知と同意確認が行われ、評価対象者は、内閣府まで質問票を提出します。質問票に記入した情報を含め、調査で行政機関が集める個人情報は所属事業者に共有しないとされています。従業員から行政機関への回答には、所属事業者が介在しないという方針が示されていることにも留意が必要です。
適性評価は、情報を適切に管理できるか、情報を漏らすよう働きかけを受けた場合に応じる恐れが高い状態にないかなど、評価対象者の個別具体的な事情を考慮して総合的に判断されます。評価結果は、評価対象者等に書面により通知されますが、事業者側は、評価結果や、同意の拒否や取下げを理由とする不当な取扱いを行わないことを担保しなければなりません。評価対象者は、法令順守や事情変更があった場合の申出などを含む誓約書提出が求められています。
【適性評価に当たっての留意点等】
| 視点 | 留意点等 |
|---|---|
| 候補者の選定 |
|
| 候補者名簿の作成と提出 |
|
| 適性評価の実施 |
|
| 適性評価終了後の措置 |
|
| 個人情報等の管理 |
|
出所:内閣府「重要経済安保情報保護活用法の運用基準」および「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」を基にKPMG作成
(4)適性評価実施後-重要経済安保情報の取扱いに係る留意点
取扱者は部署単位で契約に基づき設定、取扱業務は名簿の掲載者に制限
重要経済安保情報は、適合事業者において、適性評価による認定を受けた者でないと取り扱うことができませんが、取り扱える者の範囲は行政機関との契約で合意されることになります。契約は部署単位で設定されることが想定されており、部署においても業務の実態に照らして必要最小限度の範囲で取扱者が決められることになります。
適合事業者は、重要経済安保情報を取り扱う前に、当該情報を取り扱うことになる者の名簿を行政機関に提出し、承認を受ける必要があります。名簿に掲載されていない者への情報提供や、取り扱うことができない者(資格を有していない上司等)による情報提供命令は、罰則適用の対象となる可能性があることに留意する必要があります。
【重要経済安保情報の取扱い者の選定や制限に関する留意点等】
| 視点 | 留意点等 |
|---|---|
| 取扱者の選定 |
|
| 取扱者名簿の整備 |
|
| 取扱者の制限 |
|
出所:内閣府「重要経済安保情報保護活用法の運用基準」および「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」を基にKPMG作成
インターネット接続機器での取扱い禁止や、通信機器・記録機器の持ち込み禁止
重要経済安保情報は、行政機関から承認された重要経済安保情報取扱区画のなかでのみ取り扱うことが想定されており、適性が認められていない者が立ち入れないよう、アクセス制限や立ち入り制限といった保護措置を設けることが求められています。
また、重要経済安保情報を取り扱うための電子計算機はインターネットに接続していないことが必要であるほか、当該区画内に立ち入る際には、携帯電話、スマートフォンなどの通信機器や記録機器の持ち込みが禁止されています。
【重要経済安保情報の保護措置に関する留意点等】
| 視点 | 留意点等 |
|---|---|
| アクセス・立ち入り制限措置 |
|
| 携帯型情報通信・記録機器の持込禁止措置 |
|
| 電子機器の使用の制限 |
|
出所:内閣府「重要経済安保情報保護活用法の運用基準」および「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」を基にKPMG作成
取扱いルールの周知徹底や、非常時や事故発生を念頭に置いた備えが必要
重要経済安保情報の拝受や保管・管理、複製・運搬・伝達等の情報の取扱いに際しては、規定や体制の整備、一部行為には行政機関の承認を得ることが求められています。提供受けた重要経済安保情報は、行政機関から承認された保管容器のなかに保管する必要があるほか、当該情報の複製に際してはあらかじめ行政機関から許可を受けることが前提とされています。重要経済安保情報の保管や管理に際しては、記録のための簿冊の整備に加え、閲覧や伝達行為についても一定の制限・管理が求められています。
こうした重要経済安保情報の取扱いに係るルールは、当該情報の取扱者に限らず、従業員全体に周知・徹底を行う必要があります。行政側でも通報・相談窓口を設置していますが、重要経済安保情報の管理等が法令等に従って行われていない場合の通報窓口設置も今後検討が進展する可能性があります。
さらには、契約行政機関との緊急連絡体制の整備のほか、⽂書等の紛失・漏えい等を念頭に置いた調査・対応・報告プロセスの整備など、重要経済安保情報の漏えいや紛失、災害発生等の非常時や事故発生時の対応を念頭に置いた体制整備も重要です。
【重要経済安保情報の取扱いに関する留意点等】
| 視点 | 留意点等 |
|---|---|
| 重要経済安保情報の拝受 |
|
| 重要経済安保情報の「保管・管理」 |
|
| 重要経済安保情報の「複製・作成」 |
|
| 重要経済安保情報の「簿冊の整備」 |
|
| 重要経済安保情報の「運搬」 |
|
| 重要経済安保情報の「閲覧」 |
|
| 重要経済安保情報の「伝達」 |
|
| 非常の場合および事故発生時の対処 |
|
出所:内閣府「重要経済安保情報保護活用法の運用基準」および「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」を基にKPMG作成
3.まとめ:適合事業者認定に伴うステークホルダーへの影響
【適合事業者認定に伴うステークホルダーへの影響例や留意点】
| ステークホルダー(例) | 影響や留意点(例) |
|---|---|
| 従業員 |
|
| 経営陣 |
|
| 株主等 |
|
| 子会社、取引先 (ベンダー・委託先等) |
|
| 取扱いが見込まれる求職者等 |
|
| 行政機関等 |
|
出所:内閣府「重要経済安保情報保護活用法の運用基準」および「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」を基にKPMG作成
※本文中の図表は、下記資料を参考にしています。
執筆者
KPMGコンサルティング
アソシエイトパートナー 新堀 光城
スペシャリスト 原 滋
※「セキュリティ・クリアランス制度:新たな経済安保政策による機会とリスク」はこちらからご覧になれます。
