国内で進む経済安全保障関連法整備の狙いと企業の対応

世界に先駆けて経済安全保障の包括的対策を法制化した日本。2022年の経済安全保障推進法の施行を起点に、セキュリティクリアランス制度を始めとする関連法制の整備も進んでいます。長年続いたグローバリゼーションの変調が企業経営に影響を及ぼす中、経済と安全保障の融合はもはや避けて通れない課題です。本稿では法制度の趣旨や既存法制との違いについて法律の専門家に解説いただくとともに、日本電気の実例を基に、リスクと機会を正しく捉える企業対応のあり方を探ります。

登壇者

駒澤綜合法律事務所
所長弁護士
高橋 郁夫氏

日本電気株式会社
経済安全保障統括室長
石見 賢蔵氏

モデレーター
PwC Japan合同会社
ディレクター
ピヴェット 久美子

経済安全保障推進法の背景と企業の対応状況

ピヴェット：
はじめに、経済安全保障を巡る法制度の整備が、どのようなリスク対応の流れの中で進められてきたのかを確認しつつ、企業がそれをどのように活用して機会につなげていけるのかを考えていきたいと思います。高橋先生、日本における経済安全保障推進法と関連法制の背景についてご説明いただけますか。

高橋氏：
経済安全保障は、主権国家の不可侵性という大前提に基づいています。国家活動の中核は「外交」「情報」「軍事力」「経済」の4側面から捉えることができます。ただし近年は社会のデジタル化に伴い、「経済」が従来とは異なる側面で重要になっています。

さらに、国際情勢の複雑化と社会・経済構造の変化があります。社会のデジタル化が進む一方で、各国が地政学的な観点から国益を守るために主権主義的な動きを強め、国際社会での優位性を巡る競争が顕在化しています。

こうした状況の中で、SNSを巡るデータの所在問題や、米国の石油パイプライン企業に対するランサム攻撃、さらにロシアによるウクライナ侵攻など、現実の事象として経済と安全保障が深く結びついていることが明らかになりました。特にウクライナ侵攻では、デジタル通信が情報収集や戦略立案において極めて重要な役割を果たしていることが広く認識されました。

このような背景を受け、経済安全保障は政治的にも大きな関心を集めるようになり、経済安全保障担当大臣の設置や、経済安全保障推進法の制定・施行といった具体的な制度整備へとつながっていったのです。

ピヴェット：
ありがとうございます。次に日本企業がこうした経済安全保障の状況にどのように対応しているのか、PwCの年次調査結果を基に概観していきます。

PwCの調査によると、日本企業の約8割が地政学リスクマネジメントを重要視しており、この傾向は年々増加しています。一方、社内体制を見ると、専任チームを設置している企業が2割、兼任部署で対応している企業が3割と、全体の約半数が何らかの組織的対応を取っている状況です。

主な活動内容としては、約半数の企業が情報収集・モニタリングを主な業務として挙げています。しかし、収集・分析した情報を経営の意思決定に活用できている企業は約1割にとどまっています。この「情報収集から意思決定への活用」のギャップが、今後の日本企業にとって重要な課題だと言えます。

PwCでは2016年のブレグジットやトランプ第1次政権発足以降、日本企業と地政学・経済安全保障の議論や検討支援を行ってきました。日本企業の対応は徐々に進展していますが、各社独自の取り組みとなっており、日本全体としてはまだ立ち上げ期にあります。多くの企業が「何をどこまで取り上げるべきか」「どこまで対応すれば十分か」を模索している状況です。

では、多くの日本企業がまだ経済安全保障への対応を模索している状況の中で、既に取り組みを行っている企業の事例を伺います。石見さん、NECでの経済安全保障統括室の設立経緯、ミッション、取り組み内容、そして社内外との連携についてご説明いただけますか。

NECの経済安全保障体制と統括室の設立の背景

石見氏：
NECで経済安全保障への関心が高まり始めたのは2020年頃からです。きっかけは、米国の国防権限法（NDAA 2019）による特定企業の排除や規制リストの強化でした。これに伴い、各国でも類似の規制や政策の強化が相次ぎ、日本企業も国際情勢を正しく捉えて行動する必要性が高まったのです。

そこで2020年10月、まずはバーチャルな組織として「経済安全保障ワーキンググループ」を立ち上げ、役員や関係部門の責任者十数名による議論を開始しました。活動を進める中で実務的な相談が増えたことから、2021年4月には専門組織として「経済安全保障統括室」を設置しました。同室のミッションは以下の3点です。

• 国際情勢や各国の経済安全保障政策に関する情報の収集・分析（いわゆる経済インテリジェンス）
• 得られた情報を基に自社にどのようなリスクがあるかを評価
• それらのリスクにどう対応するかの検討・実行

経済安全保障の課題は、明確な線引きが困難な点にあります。何が許容され、何がリスクかは状況により異なるため、ケースごとの判断が必要になります。当初のワーキンググループも現在は40名以上の体制となり、定期的に国際情勢やリスクに関する議論を重ねています。

統括室は少人数で構成されており、社内の関連部門と連携しながら個別事案に対応しています。例えば輸出管理部門や調達部門などと連携し、テーマごとに専門的な知見を融合させて対処しています。また、NECのグループ会社シンクタンクである国際社会経済研究所（IISE）とも連携を強化し、各国のインテリジェンスを共有・活用する体制を構築しています。

「経済安全保障」という言葉は広く使われるようになり、その意味も多様化しています。そこで社内では主なリスクを以下の4点に整理して対応を進めています。

1点目は法規制違反リスクです。日本国内の経済安全保障関連法規はもちろん、米国のエクスポートコントロールや各種制裁、さらには欧州やその他各国が急速に強化している規制にも適切に対応する必要があります。

2点目は地政学的サプライチェーンリスクです。特定国への部品・原材料調達の過度な依存は、国際情勢の悪化時に深刻な問題となる可能性があります。そのため、代替調達先の事前確保も重要です。NECのようなIT企業では、国内の人材不足から海外の人的リソースに依存する場合も多く、特に重要情報を扱う場合は信頼性の確保が不可欠です。

3点目のレピュテーションリスクは、法的には問題なくても社会的批判を受ける可能性に関するものです。例えば、NECの技術が最終ユーザーによって人権侵害などの問題に利用された場合、NECそのものが非難の対象となるリスクがあります。企業の社会的責任に関する説明責任を果たすため、人権方針など自社の取り組みを適切に発信していく必要があります。

4点目の情報漏えいリスクは、自社の競争力の源泉となる技術・情報を守るための取り組みです。サイバー攻撃など悪意ある攻撃からの防御に加え、人を通じた意図的・非意図的な情報漏えいにも注意を払います。従業員が日常的に触れる社内情報の中には、本人が気付かない重要情報も含まれており、情報セキュリティ意識の向上が不可欠です。技術的対策では防ぎきれない人的要因への包括的なアプローチを進めています。

セキュリティクリアランス制度の制度概要とその意義

ピヴェット：
次に「重要経済安保情報保護活用法（以下、セキュリティクリアランス制度）」について話を進めます。現在、多くの企業が2025年5月16日施行の同制度に関心を寄せています。高橋先生、その概要について解説をお願いできますか。

高橋氏：
セキュリティクリアランス制度の対象となるのは、行政機関の所掌事務に関連し、漏えいすれば日本の安全保障に深刻な影響を与える可能性のある情報、すなわち「重要経済安保情報」です。

セキュリティクリアランス制度の流れとしては、まず政府がこの情報を定義し、具体的に指定します。次に、その情報を取り扱える民間事業者（適合事業者）が認定され、さらにその中で実際に情報を扱う人（取扱者）には適性評価が行われます。この評価には、基準や手続き、不服申立ての方法などが法令で明確に定められています。このように情報の特定から、企業と個人へのアクセス権の付与、それを裏付ける評価制度までを一連の仕組みとして構築し、情報の保護と活用の両立を図ることが、この制度の目的です。

ピヴェット：
セキュリティクリアランス制度に対応するため、企業は既存の情報保護制度との違いや対応の変化も理解する必要がありますよね。そもそも同制度が新設された背景にはどのような課題があったのでしょうか。

高橋氏：
セキュリティクリアランス制度の導入は、経済安全保障推進法の付帯決議における制度整備の要請が出発点となりました。その背後には、経済団体からの強い働きかけがあったとされています。

具体的には、防衛関連の機密情報を取り扱う際に、従業員ごとに個別の審査が必要となり、手続きが煩雑で非効率だったこと。さらに、国際共同開発においては、セキュリティクリアランス制度がないために日本企業が参加できないケースがあったこと。そして、「セキュリティクリアランス保有者のみ参加可能」とされる国際会議に、日本からの出席が認められないといった課題も指摘されていました。

こうした状況が政府関連の受注案件や共同研究への参画を妨げ、ビジネス上の大きな障壁となっていたのです。これら現場からの切実な声を受け、セキュリティクリアランス制度の整備が強く求められるようになりました。

ピヴェット：
今回のセキュリティクリアランス制度の施行にあたって、企業は新たな制度が既存の法制度とどう異なるのか、どこに対応の違いが生じるのかを見極める必要がありますね。日本には既に特定秘密保護法がありますが、同制度との違いについてご説明いただけますか。

高橋氏：
例えば防衛産業ではこれまで、特定秘密保護法、自衛隊法、MDA秘密保護法（日米相互防衛援助協定等に伴う秘密保護法）などに基づき情報保全が行われてきました。実務面でも、契約時にNDA（秘密保持契約）や特約条項を設けることで情報管理を徹底し、さらに各国との情報保護協定によって国際的な連携体制も築かれてきました。

今回のセキュリティクリアランス制度はこれら既存の枠組みとは異なり、機密情報の取り扱いにおいて新たな段階を設けるものです。同制度では、情報が機密性に応じて「トップシークレット」「シークレット」「コンフィデンシャル」と分類される中で、「コンフィデンシャル」レベルの情報を民間企業が扱えるようになる点が大きな特徴です。いわゆる「適合事業者」として認定された企業と、情報を取り扱う「取扱者」によって構成される新しい枠組みが導入されます。

このような枠組みが整えば、将来的に各国との相互認証（ISA）が進み、日本企業も他国のコンフィデンシャル情報を前提とする国際的な協議や共同開発プロジェクトに参加できる可能性が広がります。既に米国やオーストラリアの間ではこうした制度が稼働しており、日本も同様の仕組みに接続できることが期待されています。

ただし、より上位の「シークレット」や「トップシークレット」に相当する情報については、各国とも原則として自国民のみが対象であり、情報へのアクセスには自国政府を通じた手続きが必要となります。こうした制約の中で、日本企業にとってこの新制度がどの程度の機会となるのか。私自身、今の段階では見通しが立てづらいと考えています。

ピヴェット：
セキュリティクリアランス制度によって新たに機密情報へアクセスする企業にとって、どのようなリーガルリスクが考えられるでしょうか。

高橋氏：
主な法的リスクとしては、まず適性評価に伴うプライバシーの侵害が懸念されます。評価では、従業員の生活状況など私的な部分にも踏み込む可能性があり、個人の権利とのバランスが問題となります。また、評価で「適性が認められない」と判断された場合、その従業員が社内で不利益を受けるのではないかという懸念もあります。特に労働法の観点からは、思想信条の自由や平等原則との整合性が問われる場面も出てくるでしょう。

ただし、法律の立場から言えば、セキュリティクリアランス制度は政府機密へのアクセスという「特権」を前提としたものであり、適性が認められないとされたからといって企業内の処遇が即座に違法と判断されるわけではありません。「プライバシー侵害」とする主張がどこまで成立するかも一概には言えず、慎重に判断されるべきです。

とはいえ、企業としてはこれらの懸念を過小評価せず、透明性のある運用と丁寧な説明、そして社内体制の整備が欠かせません。信頼ある制度運用のためには、こうした基盤づくりが非常に重要です。