サイバーセキュリティ分野におけるセキュリティ・クリアランス制度の諸外国の活用動向調査

背景

世界情勢の不安定化により、安全保障の概念が経済や技術の分野に拡大し、経済安全保障分野における情報保全の重要性が世界的に高まっています。そのような中、G7の各国では、民間のサイバーセキュリティ分野においても、セキュリティ・クリアランスを活用した情報の管理や運用が行われています。

国内でも、経済安全保障分野におけるセキュリティ・クリアランス制度の運用開始に向け、具体的な運用に関する政令などの制定に向けた準備が進められています。2024年5月に可決・成立した重要経済安保情報保護活用法では、経済活動の基盤となるインフラやサイバー、人工知能（AI）などに関する「重要経済安保情報」を保護対象として想定しています。これにより、特定秘密保護法によるセキュリティ・クリアランス制度の範囲に含まれてなかった基幹インフラ役務を提供する特定社会基盤事業者^※1をはじめ、政府の重要経済安保情報について委託を受ける民間組織の間で、セキュリティ・クリアランスの認定取得が広がることが予測されます。サイバーセキュリティ分野では、政府の委託事業などにおいて有効な情報共有が実施され、事業の成果を高めることや、組織のセキュリティ対策の強化につながることが期待されています。

^{※1 特定社会基盤事業者

国が経済安全保障推進法で、基幹的なインフラ事業を行う事業者として定めた以下の対象事業のうち、省令で作成された基準に該当する事業者です}。

セキュリティ・クリアランス制度の概要

セキュリティ・クリアランス制度^※2とは、政府が指定する安全保障上重要な情報にアクセスできる資格者を政府が認定する制度です。政府は、漏洩した場合に日本の安全保障に支障をきたすおそれがある情報を「重要経済安保情報」に指定し、これらの情報へのアクセスを国が適性評価調査を実施。信頼性を確認した政府職員や民間事業者の従業員に限定して、当該情報を知る必要性を前提とした情報提供を行います。「重要経済安保情報」の取り扱いには管理ルールが適用され、漏洩には最大で5年以下の拘禁刑などの罰則が科されます。
重要経済安保情報には、サイバー脅威・対策などに関する情報や、サプライチェーン上の脆弱性関連情報が想定されているため、サイバーセキュリティ分野にも影響を与えることが想定されています。

^{※2 制度の詳細は内閣府のWebサイトや以下のコラムをご参照ください。}

^{「経済安全保障推進法」企業に求められる対応

経済安全保障分野におけるセキュリティ・クリアランス（適格性評価）制度の企業影響について}

^{『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応

【第1回】諮問委員会での検討状況と企業影響見通し}

事業者がクリアランスを得るための適性評価

事業者が適性正評価調査を受けて適合事業者の認定を得るために、以下のような情報の提示が求められます。

組織の基本的事項
一定規模の株主や役員、事業などにおける海外との関連情報
重要経済安保情報の保護・管理の責任者や体制、規定や教育など
重要経済安保情報を取り扱う場所に関する事項

個人がクリアランスを得るための適性評価

適合事業者の従業員などの個人が適性評価調査を受けてセキュリティ・クリアランスの認定を得るために、以下のような情報の提示が求められます。

重要経済基盤毀損活動との関係に関する事項
犯罪および懲戒の経歴に関する事項
情報の取り扱いに係る非違の経歴に関する事項
薬物の濫用および影響に関する事項
精神疾患に関する事項
飲酒についての節度に関する事項
信用状態その他の経済的な状況に関する事項

民間組織に生じる事業の機会

セキュリティ・クリアランス制度の運用が開始されると、認定を得て適合事業者となる民間組織には、以下に例示するような事業の機会が想定されます。

重要経済安保情報に関わる政府プロジェクトへの参画機会獲得
政府の重要経済安保情報が関わるプロジェクトに参画する事業者には、政府の適性評価調査を実施して信頼性を確認した適合事業者であることが義務付けられる可能性があります。

国際共同プロジェクトなどへの参画機会獲得
海外の政府機関などが関与するプロジェクトの入札への参加に、セキュリティ・クリアランス保有が条件付けられている場合があります。

自組織のサイバーセキュリティ対策強化につながる情報取得
組織のサイバーセキュリティ対策の強化につながりうる、国家間の緊張の高まりや、サイバー脅威に関わる情報などがセキュリティ・クリアランス保有者の範囲のみで共有される可能性があります。

従業員のセキュリティ・クリアランスの運用において想定される組織の課題

適合事業者となる組織は、重要経済安保情報を適切に保護・活用するため、セキュリティ・クリアランスを保有する人材を確保し、関連する組織内の制度や業務プロセスの更新を行う必要性が生じます。そこで求められる運用や、その際に生じる課題としては以下が想定されます。

図表1：運用において想定される課題

本調査レポートについて

本調査レポートでは、民間組織のサイバーセキュリティ分野において、既にセキュリティ・クリアランス認定の運用が進められている欧米の専門家を対象に、組織内での従業員に対するセキュリティ・クリアランスの運用状況に関するインタビューを実施しました。民間組織でのセキュリティ・クリアランス認定者の確保と維持、認定者と非認定者が混在するプロジェクトでの情報の管理、組織内で求められる体制など、具体的な取り組みを中心に専門家の意見を集めました。本調査レポートには、諸外国の取り組み事例を踏まえて、従業員に対するセキュリティ・クリアランスの運用整備に向けて、国内組織で想定される準備策もまとめています。

図表2：インタビュー対象者の拠点と主な従事組織

図表3：本調査レポートにまとめた準備策のチェックリスト