近年、政府や企業の間で「セキュリティクリアランス」の言葉を頻繁に耳にするようになりました。しかし、セキュリティクリアランスは、主に米国やNATO諸国などに存在する制度であり、日本にはこれと同様の制度は現在、存在しません。
では、なぜ、私たちは「セキュリティクリアランス」を頻繁に耳にするのでしょうか?また具体的に「セキュリティクリアランス」とは何を指すのでしょうか?
そこで今回の記事では、以下を詳しく解説していきます。
- セキュリティクリアランスの基本的な意味と背景
- ビジネスへの影響
- 職場への影響と対策
- セキュリティクリアランスの今後の見通し
1、セキュリティクリアランスとは?
「セキュリティクリアランス」という言葉は、一見すると少々難しそうな印象を受けるかもしれません。しかし、その基本的な意味を理解すると、その後の詳しい説明がスムーズに頭に入るはずです。
(1)セキュリティクリアランスの基本的な意味
セキュリティクリアランスとは、政府や企業が「ある人物にある特定の情報に触れることを許可する」ための認可制度のことです。この「特定の情報」とは、国家の安全保障に関わる重要な情報や、企業の秘密情報など、限られた人々だけが知ることができる情報を指します。
さらに、この「ある人物」とは、情報の安全性を保証できると判断された人々です。
それは、自分の責任を理解し、秘密情報を適切に扱えると認められた人々であり、この認可制度が「セキュリティクリアランス」です。
では、「セキュリティクリアランスの場合」とセキュリティクリアランスが適用されない「普通のアクセス権限の場合」ではどのように違うのでしょうか?
以下が、「セキュリティクリアランスの場合」と「普通のアクセス権限の場合」での情報の取扱い方をまとめたものです。
セキュリティクリアランス | 普通のアクセス権限 |
特定の人々だけが情報に触れることが許可されている | 誰でも情報に触れることが可能 |
秘密情報に触れる人は限定され、その人々は信頼性が評価されている | 秘密情報の保護に特別なルールはない |
(2)セキュリティクリアランスと特定秘密保護法との違い
セキュリティクリアランスとよく混同されやすい法律として、特定秘密保護法があります。
セキュリティクリアランスと特定秘密保護法との違いは、対象範囲と目的です。
セキュリティクリアランスの目的は、政府や企業が「特定の人に特定の機密情報を扱うことを許可」することです。対象として政府機関、軍事組織、特定の民間企業など機密性の高い情報を扱う組織において使用されています。
一方で、特定秘密保護法の目的は、政府が「テロ行為などの秘密情報の漏洩を防ぐ」ことです。
こちらの対象範囲は、防衛関係、外交関係、公安関係、特定有害活動帽子関係(テロリズムなど)の国の安全に関わる重要な情報に限定されています。
このように、セキュリティクリアランスの考え方と特定秘密保護法には、対象範囲と目的に大きな違いがあります。
2、米国と日本におけるセキュリティクリアランスの法整備の違い
(1)米国におけるセキュリティクリアランス
現在、米国ではセキュリティクリアランスは法制化されています。
セキュリティクリアランスとは、政府や企業が「ある人物にある特定の情報に触れることを許可する」ための制度のことです。セキュリティクリアランスは、米国発祥と言われています。
米国におけるセキュリティクリアランスの取得プロセスについて、以下に解説します。
取得プロセスにおいて、重要な点は「背景調査」と「再評価」です。
背景調査とは、個々人の過去の行動、信頼性、信念、そして忠誠心を評価する過程です。この調査により、個人が機密情報を適切に取り扱い、保護することができると判断されると、アクセス権限が付与されます。米国では、情報の重要度を3つのレベルに分類分けして管理しています。
ここでの重要度とは、その情報が国家に与える損害の深刻度合いのことです。
以下の表の通り、重要な順からTop Secret(最高機密)、Secret(秘密)、Confidential(機密)と定義されています。
再評価とは、個々人の行動、信頼性、信念、そして忠誠心を時間が経過した今でも、基準に達しているかを再評価する過程のことです。セキュリティクリアランスは、一度認められれば永遠に有効というものではありません。
“Top Secret” レベルの認可は5年、”Secret” レベル は10年、”Confidential” レベルは15年で期限が切れ、期限が切れる前に再評価が必要となります。
以上が、米国のセキュリティクリアランスの取得プロセスです。
参照:The Diplomatic Security Service
(2)日本におけるセキュリティクリアランス
2024年2月7日、自民党の会合において、経済安全保障を強化する目的で「セキュリティークリアランス」制度の創設を目的とした政府法案が提示されました。この制度では、経済安全保障上重要な情報を取り扱う人物の信頼性を国が事前に確認し、認定することを求めています。
認定に際しては、本人の同意を得た上で家族や同居人に関する情報、犯罪歴、薬物・飲酒に関する情報、経済的状況などを調査します。認定された個人が重要情報を漏洩した場合には、5年以下の拘禁刑または500万円以下の罰金が科されることに加え、関連する企業にも罰金が課されることが可能です。
この法案に対しては、7日の会合で異論は出なかったとされ、政府は2月中に閣議決定し、現在の通常国会に提出する方針です。
(参考:NHK)
令和5年2月22日の経済安全保障推進法の有識者会議では、以下の内容の議論が行われるなど政府における議論も始まっています。
- 情報保全強化の必要性について
- セキュリティクリアランス制度の導入について
(参考:内閣官房)
さらに一部の専門家の間でも、「特定の分野での海外との共同開発を推進するためには、セキュリティクリアランスの導入が不可欠だ」と主張しています。
一方で、プライバシーの保護や適切な情報管理の観点から、その導入には慎重さが求められてます。
日本におけるセキュリティクリアランスの議論は、秘密情報の保護と効果的な情報共有のバランスをどのように取るか、といった点に焦点を当てています。将来的にセキュリティクリアランスが日本で導入されるかどうかはこれらの様々な観点を考慮した上での決定となるでしょう。
3、セキュリティクリアランスがビジネスに与える影響
(1)機密情報保護の強化
セキュリティクリアランスの最大の特徴として、「機密情報の持ち出しを防止する」機能があります。具体的にはどのような効果があるのでしょうか。以下に詳しく説明します。
(参考:日本総研)
①秘密情報に触れる権限の厳格な制限
例えば、ある企業の新製品の開発情報や特許取得前の技術情報など、重要な情報には「触れる権限」が必要となります。誰もが自由に触れることができる場合、情報の流出リスクは高まります。
しかし、セキュリティクリアランスでは、特定の評価を受けた人々だけが情報に触れることを許可されます。そのため、誰もが自由に重要な情報に触れられないので、情報の流出リスクが低くなるのです。
②情報を扱う人々の信頼性確保
セキュリティクリアランスを得るためには、その人物の信頼性や適性が評価されます。信頼性のある人物だけが情報に触れることができる環境を作ることで、情報の不適切な取り扱いや持ち出しを未然に防ぐことが可能となります。
③情報保護意識の向上
セキュリティクリアランスの導入は、組織全体の情報保護意識を向上させる効果もあります。各個人が自身の行動が組織全体の情報セキュリティに影響を及ぼすことを理解し、それぞれが自己責任で情報を適切に取り扱うようになります。
以下が、「セキュリティクリアランス」と「一般的な情報管理」でのビジネスへの影響をまとめたものです。
セキュリティクリアランス | 一般的な情報管理 |
秘密情報に触れるのは評価を受けた特定人物のみ | 秘密情報に触れる人の制限が甘い |
情報を扱う人々の信頼性が確保される | 信頼性の評価が不十分 |
情報保護意識が組織全体に広がる | 情報保護意識が一部の人々に限定される |
以上のように、セキュリティクリアランスは、組織の機密情報を保護するための強力な道具となります。情報を取り扱う人々の厳格な選定とその信頼性の確保、そして組織全体の情報保護意識の向上によって可能となります。
このような観点から、セキュリティクリアランスは機密情報保護の強化に寄与する重要な要素であると言えるでしょう。
(2)海外との共同開発を促進
海外の企業や政府との共同開発を進める場合、セキュリティクリアランスがあると信頼関係の確保や情報共有がスムーズに行えます。これは、特に防衛や安全保障、技術開発の分野で重要となります。
4、セキュリティクリアランスという考え方が与える職場への影響と対策
セキュリティクリアランスの考え方は職場に影響を与えます。労働者はセキュリティクリアランスへの理解を深める努力が必要です。
例えば、ITエンジニアにとって、セキュリティクリアランスの存在は業務の一部として特に無視できないものになっています。
まず、ITエンジニアはしばしば機密情報を扱う立場にあります。例えば、企業の内部データ、顧客情報、新製品の設計図などです。こうした情報は、不適切に取り扱われると、企業の利益や顧客のプライバシーを大きく損なう可能性があります。
この問題を避けるために、ITエンジニアはセキュリティクリアランスの所有を求められることがあります。
では、具体的にITエンジニアはどのように対応すべきなのでしょうか。以下に、詳しく説明します。
(1)情報の取扱いに関する教育を受ける
ITエンジニアは、情報の保護に関する最新の知識と技術を身につけることが求められます。このためには、情報の取扱いに関する教育を定期的に受けることが重要です。
(2)セキュリティクリアランスのプロセスを理解する
セキュリティクリアランスを得るためには、一定のプロセスを経る必要があります。そのプロセスを理解し、必要な手続きを進めていくことが求められます。
(3)情報を適切に取り扱う
セキュリティクリアランスを得た上で、ITエンジニアは情報を適切に取り扱うことが求められます。これは、情報を不必要に外部に出さない、パスワードを適切に管理するなど、具体的な行動につながります。
このように、ITエンジニアがセキュリティクリアランスを持つことは、情報の保護における重要なステップとなります。その対応策と専門的なスキルの強化は、ITエンジニアの責任範囲に含まれます。また、これらの知識とスキルは、エンジニア自身のキャリアを向上させるための有益な資産ともなります。
5、セキュリティクリアランスの今後の見通しと個人が知っておくべきこと
(1)日本のセキュリティクリアランス制度の将来性
日本のセキュリティクリアランス制度の将来性は、経済安全保障推進法の追い風を受けています。
経済安全保障推進法は、国際情勢の複雑化、社会経済構造の変化等に伴い、安全保障を確保するためには、経済活動に関して行われる国家及び国民の安全を害する行為を未然に防止することを目的とする法律です。
そのため、経済安全保障推進法の一環として、セキュリティクリアランス制度の法制化の議論や実施の準備が進んでいくと予想されます。
また、それに伴って、今後ビジネス界やIT業界での対応も求められるでしょう。
日本のセキュリティクリアランスの導入はまだ始まったばかりですが、将来性を考えて対応を変化させていくことが必要です。
(2)セキュリティクリアランスが個人の生活や仕事にどのように影響するか
セキュリティクリアランスは、個々の生活や仕事にも影響を及ぼす可能性があります。特に、防衛や安全保障、国際協力、ITといった分野で働く人々にとっては、その存在を知り、理解しておくことが求められます。また、自分自身がセキュリティクリアランスを得るためにはどのような準備や対応が必要か、具体的に理解し、準備しておくことも重要となります。
PoliPoliで公開されているIT関連の取り組み
誰でも政策に意見を届けることができる、政治プラットフォームサービス「PoliPoli」では、「Web3.0」を日本の成長戦略の柱にする政策について、以下のように公開されています。
あなたの願いや意見が政策に反映されるかもしれないので、是非下記のリンクからコメントしてみてください。
(1)「Web3.0」を日本の成長戦略の柱に!政策の政策提案者
議員名 | 平 将明 |
政党 | 衆議院議員・自由民主党 |
プロフィール | https://polipoli-web.com/politicians/CU6xgdz9r8x0M4IpSq2y/policies |
(2)「Web3.0」を日本の成長戦略の柱に!政策の政策目標
政策目標は主に以下の通りです。
- Web3.0時代を見据えた国家戦略の策定・推進体制の構築
- ブロックチェーンエコシステムの健全な育成
- NFTビジネスの発展促進
(3)実現への取り組み
実現への取り組みは以下の通りです。
- 担当大臣の設置
- ブロックチェーンエコノミーに適した税制改正
- NFTビジネスをめぐる法令や指針の整備
この政策の詳細をより知りたい方や、政策の進捗を確認したい方は下記リンクからご確認ください。
6、まとめ
セキュリティクリアランスは、国際的なビジネスや技術開発の現場でますます重要となっています。そのため、これからは日本のビジネスパーソンやエンジニアも、この制度について理解し、適切な対応をすることが求められるでしょう。
セキュリティクリアランスがどのような制度で、どのような影響をもたらすのかを理解することで、それぞれの立場で適切な対応をするための一助となれば幸いです。