セキュリティ・クリアランス制度：企業が備えるべき実務と戦略

本稿は、いわゆるセキュリティ・クリアランスに関する新法の概要と企業に与える影響を考察した記事です。

前編にあたる「セキュリティ・クリアランス制度：新たな経済安保政策による機会とリスク」では、セキュリティ・クリアランス制度の概要を解説しました。
後編にあたる「セキュリティ・クリアランス制度：企業が備えるべき実務と戦略」では、企業の対応について具体的に説明します。

なお、本稿の内容は前後編とも、2025年6月6日執筆時点のものであり、2024年4月22日公開の記事の更新版です。

ポイント1：クリアランス保有による負担・留意点

申請手続き時の各種行政対応や資格保有に伴う情報保全体制の整備が求められている。申請には、対象者本人からの同意の確保やプライバシーとの関係に配慮が必要である。

ポイント2：ステークホルダーへの影響

制度活用に向けては、まずは行政機関側から指定された情報を提供する必要がある事業者として選定される必要がある。行政機関からの「事前の打診」を受けたうえで、重要経済安保情報の提供を受けるか否かの判断を行い、審査を受ける流れとなっている。

セキュリティ・クリアランス制度活用に伴うビジネス上の影響と対応の留意点

1．ビジネス機会の拡大や国際共同研究開発の推進
 2．セキュリティ・クリアランス制度活用に向けた流れと留意点
 3．まとめ：クリアランス保有に伴うステークホルダーへの影響

1．ビジネス機会の拡大や国際共同研究開発の推進

積極的な側面としては、制度活用に伴い、セキュリティ・クリアランス保有が前提となる諸外国での入札参加、国際会議への出席がしやすくなると言われます。AI、量子などの次世代国際共同研究開発では、相手先企業からの情報開示を受けられる事例が増えることも想定されます。

【制度活用による積極的な側面】

視点	担当部門例	セキュリティ・クリアランス資格保有に伴う機会例等
ビジネス機会の拡大	経営企画、調達・購買、現地子会社	いわゆる「ファイブ・アイズ^※」（米国・英国・カナダ・オーストラリア・ニュージーランド）における、セキュリティ・クリアランス保有が前提の入札や政府調達、国際会議への参加
国際共同研究開発の推進	研究開発、リスク管理	国際共同研究開発における相手先企業からの情報開示衛星・AI・量子、Beyond 5G といった、次世代技術の国際共同研究開発に関する機会の拡充
情報セキュリティの強化	情報セキュリティ	政府や諸外国が保有するサイバーセキュリティ上の脅威・対策等に関する情報の共有

出所：内閣府「経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議」資料を基にKPMG作成

※米英など英語圏5ヵ国によるUKUSA協定（United Kingdom-United States of America Agreement）に基づく機密情報共有の枠組みの呼称。日本は5ヵ国と安全保障面で協力を進めている。

2．セキュリティ・クリアランス制度活用に向けた流れと留意点

（1）制度活用には行政機関側からの事前の打診が必要

制度活用に向けては、まずは行政機関側から重要経済安保情報を提供する必要がある事業者として選定される必要があります。事業者側としては、事業者選定や情報の概要等の提供といった行政機関からの「事前の打診」を受けたうえで、重要経済安保情報の提供を受けるか否かの判断を行うこととなります。

提供を受ける判断を行った場合には、情報を適切に保護できると認められる「適合事業者」の認定のための申請書を提出することとなります。その後、行政機関側が審査や適合事業者としての認定を行い、適合事業者と重要経済安保情報を提供するための契約を締結、契約締結後、当該事業者内で情報の取扱いが⾒込まれる従業者に対して、適性評価を実施する流れとなります。

現時点で行政機関側が保有していないものの、今後、重要経済安保情報の発生が見込まれる調査研究等を実施する必要がある場合にも、実施前に事業者の同意を取得したうえで、適合事業者として認定を受けるケースも想定されています。

このケースにおいても、事業者選定や情報の概要等の提供といった行政機関からの「事前の打診」を受けたうえで、事業者側は、当該調査研究等を実施するか否かの判断を行うこととなります。行政機関側は、調査研究等の実施により事業者が保有することが⾒込まれる情報に関して、あらかじめ重要経済安保情報に指定することとなっています。

【事前の打診～適合事業者認定・適性評価までの流れ】

Japanese alt text: セキュリティ・クリアランス制度：企業が備えるべき実務と戦略_図表1

出所：内閣府「適性評価と重要経済安保情報の提供の流れ」を基にKPMG作成

（2）適合事業者の認定－ガバナンス体制、教育の実施、施設整備状況などを総合的に審査

適合事業者の認定では、事業者が政令に基づく内部規定を定めたうえで、重要経済安保情報を適切に保護することができると認められるかどうかが審査されます。内部規定では、情報保護の全体の責任を有する者（保護責任者）や情報を取り扱う場所において業務を管理する者（業務管理者）の指名基準のほか、業務を行う従業者の範囲の決定基準等をの策定が求められています。

審査では、上記規定に加え、意思決定に関する外国からの所有・支配又は影響の把握、保護責任者や業務管理者の選定といった「ガバナンス体制の確立」「教育資料の作成と教育の実施」「施設設備の整備」といった考慮要素を踏まえて、総合的に判断されることとなります。

たとえば、認定申請書では、外国の所有・支配・影響がないと認められるかどうかを確認するため、申請事業者の議決権の5％超を直接に保有する者の名称・設立準拠法国・議決権保有割合のほか、申請事業者の役員の氏名・国籍・帰化歴の有無、外国との取引に係る売上高の割合を記入します。

事業者側は、適合事業者の認定を受ける決定をした場合には、規定や教育資料を整備し、施設設備の担保要件を確保したうえで、申請書等に必要事項を記入して提出する必要があります。なお、子会社や委託先等が重要経済安保情報を取り扱う場合は、適合事業者の認定を受ける必要がありますが、重要経済安保情報を管理する施設設備の設置は義務ではないとされています。

【適合事業者認定審査に当たっての考慮要素】

要件	概要
ガバナンス体制の確立	株主や役員の状況に照らして、事業者の意思決定に関して外国の所有、⽀配または影響がないと認められるかどうか保護責任者または業務管理者として指名される者が、業務を適切に⾏うための必要な知識を有しており、その職責を全うできる地位にあると認められるかどうか
教育資料の作成と教育の実施	重要経済安保情報の保護に関する教育内容が、従業者が必要な知識を的確に習得できる内容となっており、適切な頻度で継続的に実施されることとなっているか
施設設備の整備	重要経済安保情報の保護のために設置される施設設備が、必要な機能および構造を有し、⽴⼊の制限や持込の制限に関して有効な機能及び構造を有しているかどうか

出所：内閣府「重要経済安保情報保護活用法の運用に関するガイドライン（適合事業者編）」を基にKPMG作成

（3）適性評価－本人の同意、プライバシー保護、目的外利用の禁止などに留意

【適性評価の流れのイメージ】

Japanese alt text: セキュリティ・クリアランス制度：企業が備えるべき実務と戦略_図表2

出所：内閣府「重要経済安保情報保護活用法の運用基準　概要」基にKPMG作成

前掲のとおり、適性評価の実施にあたっては、プライバシー保護や基本的人権の尊重、法に定める調査事項以外の調査の禁止、適性評価の結果の目的外利用の禁止が、基本的な考え方として掲げられています。

適性評価においては、企業はまず従業員に対し、適性評価の事前説明と意向確認を行い、評価対象者本人の同意を得たうえで行政機関に情報取扱予定者の情報（候補者名簿）を提出する必要があります。事業者側には、あらかじめ本人に対して、行政機関による調査内容など、同意の判断に必要な説明を実施することが求められています。

候補者の選定については、保護責任者を中心に実施されると想定されますが、人事配置にも影響してくる問題でもあることから、候補者の選定にあたっては、関係部署間での相談と調整が必要になります。

適性評価を実施することが必要な者については、「重要経済安保情報の取扱いの業務を新たに行うことが見込まれることとなった者」「重要経済安保情報の取扱いの業務を現に行っており、適性評価から10年経過後も引き続きこれを行うことが見込まれる者」が法によって規定されており、この類型に該当しない場合は、たとえ本人が適性評価を望んだとしても、適性評価を受けることができないとしています。

また、適性評価により重要経済安保情報を漏らすおそれがないと認められた者であっても、その後の事情変更等により、「引き続き当該おそれがないと認めることについて疑いを生じさせる事情がある」者について、改めて適性評価を実施するとしています。ガイドラインでは、「疑いを生じさせる事情」として、「裁判所からの給与の差し押さえ通知により借財の発生を上司が知り得た場合等」を例として挙げています。

候補者名簿提出後、行政機関側から評価対象者に対し適性評価実施の告知と同意確認が行われ、評価対象者は、内閣府まで質問票を提出します。質問票に記入した情報を含め、調査で行政機関が集める個人情報は所属事業者に共有しないとされています。従業員から行政機関への回答には、所属事業者が介在しないという方針が示されていることにも留意が必要です。

適性評価は、情報を適切に管理できるか、情報を漏らすよう働きかけを受けた場合に応じる恐れが高い状態にないかなど、評価対象者の個別具体的な事情を考慮して総合的に判断されます。評価結果は、評価対象者等に書面により通知されますが、事業者側は、評価結果や、同意の拒否や取下げを理由とする不当な取扱いを行わないことを担保しなければなりません。評価対象者は、法令順守や事情変更があった場合の申出などを含む誓約書提出が求められています。

【適性評価に当たっての留意点等】

視点	留意点等
候補者の選定	法第12条第1項における「適性評価を実施することが必要な者の類型」に従い選定。該当しない場合は、本人が望んでも適性評価を受けることができない選定に当たっては、関係部署間での調整必要派遣労働者や求職者も候補者となり得る
候補者名簿の作成と提出	名簿作成時に、候補者への説明や同意が必要説明は、候補者の直属の上司等適切な者が実施適性評価の強制や名簿掲載に同意しない場合に理由を問うなどのプライバシーへの侵害防止を徹底候補者が対象業務から離任するなど事情に変更が生じた場合には、行政機関に速やかに報告する必要
適性評価の実施	名簿に掲載も、適性評価を実施することが必要な者についての該当性判断は行政側で実施適性評価が開始されると、上司等に対する質問や人事記録の確認など、行政による調査に協力する必要対象者が提出した質問票の内容は不開示
適性評価終了後の措置	適性があるとは認められなかった対象者に対しては、その理由も併せて通知。事業者側が本人から理由を聞き出そうとすることは許容されない対象者が苦情の申出をしたことを理由とする、不利益取扱いの禁止。違反が解消されない場合には、事業者名の公表や契約解除も適性があると認められた従業者を一覧にした適性評価者名簿を作成して、管理する必要
個人情報等の管理	発生した個人情報は、漏えいや滅失の防止等のための安全管理措置を厳格に実施適性が認められたという結果に関する情報は 10年間、それ以外の情報に関しては1年間は保存しておくことが実務上必要候補者名簿および適性評価者名簿等は、業務の遂行上必要とされる者の間だけで厳重に管理適性評価に関する個人情報の利用および提供の制限（目的外利用の禁止）

出所：内閣府「重要経済安保情報保護活用法の運用基準」および「重要経済安保情報保護活用法の運用に関するガイドライン（適合事業者編）」を基にKPMG作成

（4）適性評価実施後－重要経済安保情報の取扱いに係る留意点

取扱者は部署単位で契約に基づき設定、取扱業務は名簿の掲載者に制限

重要経済安保情報は、適合事業者において、適性評価による認定を受けた者でないと取り扱うことができませんが、取り扱える者の範囲は行政機関との契約で合意されることになります。契約は部署単位で設定されることが想定されており、部署においても業務の実態に照らして必要最小限度の範囲で取扱者が決められることになります。

適合事業者は、重要経済安保情報を取り扱う前に、当該情報を取り扱うことになる者の名簿を行政機関に提出し、承認を受ける必要があります。名簿に掲載されていない者への情報提供や、取り扱うことができない者（資格を有していない上司等）による情報提供命令は、罰則適用の対象となる可能性があることに留意する必要があります。

【重要経済安保情報の取扱い者の選定や制限に関する留意点等】

視点	留意点等
取扱者の選定	重要経済安保情報を取り扱える者の範囲は、まずは契約で合意、部署単位で設定情報を取り扱えるとされた部署においても、業務の実態に照らして、取り扱う者は必要最小限度で設定
取扱者名簿の整備	重要経済安保情報を取り扱う部署において、取扱者名簿の形で整備し、行政に提出実際に重要経済安保情報を取り扱う前に、行政機関から提出した名簿の承認を受ける必要取扱者の変動等があれば行政機関に報告、新たな取扱者については別途適性評価を実施取扱者名簿は、適性評価者名簿と同様、業務の遂行上必要とされる者の間だけで厳重に管理
取扱者の制限	取扱者名簿に掲載されていない者に対しては、当該重要経済安保譲情報を提供してはならない行政から適性が認められていない者は、業務命令に形であっても重要経済安保情報の提供を求めてはならず、罰則の対象になる可能性も

インターネット接続機器での取扱い禁止や、通信機器・記録機器の持ち込み禁止

重要経済安保情報は、行政機関から承認された重要経済安保情報取扱区画のなかでのみ取り扱うことが想定されており、適性が認められていない者が立ち入れないよう、アクセス制限や立ち入り制限といった保護措置を設けることが求められています。

また、重要経済安保情報を取り扱うための電子計算機はインターネットに接続していないことが必要であるほか、当該区画内に立ち入る際には、携帯電話、スマートフォンなどの通信機器や記録機器の持ち込みが禁止されています。

【重要経済安保情報の保護措置に関する留意点等】

視点	留意点等
アクセス・立ち入り制限措置	重要経済安保情報は、行政機関から承認された取扱区画のなかでしか取り扱うことができない適性が認められない者の立ち入りは基本的に禁止当該区画の出入口には、監視・警報装置等の物理的な防護措置を講じることが必要
携帯型情報通信・記録機器の持込禁止措置	重要経済安保情報は、文書等や電磁的記録媒体の形で行政機関から提供重要経済安保情報の取扱いの際には、電子計算機のインターネット接続や、撮影・録画・録音が可能な記録機器の持ち込みは禁止
電子機器の使用の制限	電子計算機は、生体認証等によるアクセス制限が講じられ、当該アクセス制限に関して行政機関から認定を受けることが必要電磁的記録の可搬記憶媒体への書き出しログ及び印刷ログを保存する必要

取扱いルールの周知徹底や、非常時や事故発生を念頭に置いた備えが必要

重要経済安保情報の拝受や保管・管理、複製・運搬・伝達等の情報の取扱いに際しては、規定や体制の整備、一部行為には行政機関の承認を得ることが求められています。提供受けた重要経済安保情報は、行政機関から承認された保管容器のなかに保管する必要があるほか、当該情報の複製に際してはあらかじめ行政機関から許可を受けることが前提とされています。重要経済安保情報の保管や管理に際しては、記録のための簿冊の整備に加え、閲覧や伝達行為についても一定の制限・管理が求められています。

こうした重要経済安保情報の取扱いに係るルールは、当該情報の取扱者に限らず、従業員全体に周知・徹底を行う必要があります。行政側でも通報・相談窓口を設置していますが、重要経済安保情報の管理等が法令等に従って行われていない場合の通報窓口設置も今後検討が進展する可能性があります。

さらには、契約行政機関との緊急連絡体制の整備のほか、⽂書等の紛失・漏えい等を念頭に置いた調査・対応・報告プロセスの整備など、重要経済安保情報の漏えいや紛失、災害発生等の非常時や事故発生時の対応を念頭に置いた体制整備も重要です。

【重要経済安保情報の取扱いに関する留意点等】

視点	留意点等
重要経済安保情報の拝受	文書等は、保護責任者または保護責任者から指名された者（行政から適性を認められた者）が拝受拝受ではなく、行政機関での文書等の閲覧も可
重要経済安保情報の「保管・管理」	文書等は、重要経済安保情報取扱区画において、行政機関から承認された保管容器のなかに保管持ち出しや盗難、紛失防止措置や暗号化措置等を施したうえで保管
重要経済安保情報の「複製・作成」	複製や作成をする場合には、あらかじめ行政機関から許可を受け、立ち合いを得ることが必要複製・作成したものも、「重要経済安保情報」の表示をしたうえで厳重に管理
重要経済安保情報の「簿冊の整備」	文書等の交付元行政機関やその件名、有効期間が満了する日、接受年月日や接受者、保管区画や容器等の情報を簿冊に整理し、記録
重要経済安保情報の「運搬」	承認を受けた区画内で文書等を運搬する場合は、2名以上による携行や運搬・受領側双方による受領書への署名などに留意する必要
重要経済安保情報の「閲覧」	文書等の一時的な持出しや閲覧等を行う場合には、内容を筆記することを禁止する等の措置や、管理するための別途の簿冊を整備する必要
重要経済安保情報の「伝達」	口頭等によって重要経済安保情報が共有される伝達行為についても一定の管理が必要電子メール、電話、FAX、ストレージサービス等のインターネットを介したもの等での伝達は禁止伝達は、区画内で取扱者名簿掲載者のみに対して実施、伝達の内容は筆記・録音の禁止
非常の場合および事故発生時の対処	契約行政機関との緊急連絡体制の整備漏えい防止のため他に適当な手段がない場合の文書等の廃棄対応（事前申請もしくは事後報告）⽂書等を紛失／漏えい／破壊された場合を念頭に置いた調査・対応・報告プロセスの整備

3．まとめ：適合事業者認定に伴うステークホルダーへの影響

運用にかかわるステークホルダーとしては、政府機関や民間事業者とその従業者のほか、株主、子会社、ベンダーや委託先等の取引先、重要経済安保情報の取扱いが見込まれる求職者や派遣労働者等が含まれます。

内閣府公表のガイドラインやQ&A、各行政機関が定める重要経済安保情報保護規程等を参照しつつ、必要に応じて行政機関の相談窓口を活用しながら、体制整備を進めていく必要があります。

ガイドラインやQ&Aでは、申請手続きやクリアランス取得後の運用における対応事項・留意点等が提示されています。以下では、適合事業者認定に伴うステークホルダーの影響や留意点の一例を掲載しています。

【適合事業者認定に伴うステークホルダーへの影響例や留意点】

ステークホルダー（例）	影響や留意点（例）
従業員	重要経済基盤の保護や調査研究等、日常的に国の安全保障に資する活動に関与する事業部門や研究開発部門は、事前の打診を受ける可能性に留意関係部署間で相談・調整のうえ、指揮命令を受ける従業者のなかから適性評価を受ける候補者を選定適性評価の名簿作成時と行政機関による調査前に、対象者本人への説明や同意が必要機微な個人情報にあたる書類を管理する部署と、申請書類担当部署が異なる場合はあり得る、業務の遂行上必要とされる者の間だけで厳重に管理
経営陣	社長や取締役会メンバーが、重要経済安保情報を取り扱う（当該情報をエスカレーションする）場合には経営陣への適性評価実施が必要適合事業者認定に必要な内部規定策定にあたっては、取締役役会での決定を経るのが望ましい全体の責務を負う「保護責任者」は執行役・取締役相当が適任、取締役会の決定など規定の整備必要
株主等	クリアランス保有にかかわる開示は、業務への影響や情報漏えいの観点から慎重に検討する必要申請時に外国株主等の情報を記載、事情変更の場合は行政機関への報告が必要審査では、意思決定に関して外国の所有、支配または影響がないと認められるかどうかが評価
子会社、取引先　　　　　　　　　　（ベンダー・委託先等）	子会社や委託先等も重要経済安保情報を取り扱う場合は、適合事業者の認定を受ける必要アドバイザー等外部に重要経済安保情報を共有する必要がある場合は、別途該当する個人や所属先が適性評価をうけたうえで契約の当事者に子会社や委託先等において、施設設備の設置は義務ではない。行政機関と相談のうえ、親会社のみに管理区分や保管庫を設けるケースは許容
取扱いが見込まれる求職者等	求職者も適性評価の対象に含まれ得るため、採用・内定前の段階から適性評価を行うことは可能クリアランス保有者採用の場合、行政機関への照会ではなく、適性評価実施を求める方法が可能派遣労働者も適性評価の対象、他の従業者同様に同意取得のほか、派遣元との間には行政機関からの通知の共有や労働者派遣契約等の対応が発生
行政機関等	経営や運用体制の事情変更等に伴う適時の報告非常時の緊急連絡体制の整備・維持重要経済安保情報⽂書等の紛失・漏えい等を念頭に置いた調査・対応・報告プロセスの整備