『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 【第3回】運用基準を踏まえた企業対応の在り方
2025年5月17日までに施行される経済安全保障分野におけるセキュリティ・クリアランス制度に関して、特に影響があると見込まれる事業者や事業者の担当者において必要となる対応を、2025年1月31日に閣議決定された運用基準を踏まえて解説します。
1.はじめに
いわゆるセキュリティ・クリアランスの制度を定める重要経済安保情報の保護および活用に関する法律(重要経済安保情報保護活用法)の成立を受け、その具体的な運用に関する政令などの制定に向けて、重要経済安保情報保護活用諮問会議(「諮問会議」)が設置され、2024年6月以来、複数回の会議が開催されています。
この冬ごろには、諮問会議にて、政令案、運用基準案が策定され、その後、パブリックコメントを経た閣議決定により2025年5月17日までに施行される見込みです。
2.諮問会議における論点
諮問会議における議論が必要な主な内容として、第1回諮問会議において「図表1」の各論点が挙げられており、第2回以降これらに関する議論がなされています。本稿では、民間企業における影響が特に大きいと考えられる、適性評価および適合事業者の認定に関する内容を見ることとします。
図表1:重要経済安保情報保護諮問会議にて提示された論点
| 重要経済安保情報の指定・管理・解除 |
|
| 適性評価・調査、目的外利用の禁止 |
|
| 適合事業者の認定 |
|
| その他 |
|
(内閣府「重要経済安保情報保護活用法の施行に向けた検討」(2024年6月26日)を元にPwC作成)
3.適性評価の実施
適性評価にあたっての基本的な考え方として、①基本的人権の尊重、②プライバシーの保護、③調査事項以外の調査の禁止および④適性評価の結果の目的外利用の禁止の4点が掲げられており、これらの考え方に従って、具体的な問題点の検討がなされています。以下、セキュリティ・クリアランスの適合事業者として認定を得ることを検討する民間企業にとり影響が大きい点を中心に確認します。
責任者の設置
まず、政府との契約において、適合事業者においても、事業者内の適性評価をはじめとする重要経済安保情報の取扱いに関する実務を総括する「責任者」の設置を求める方向とされています。
適性評価対象者
適性評価の対象となるのは、「重要経済安保情報の取扱いの業務を新たに行うことが見込まれることとなった者」であり、直ちに取扱いの業務を行う個別具体的な必要性が生じている状況のほか、そのポストにおけるこれまでの業務実態その他の事情に照らして、取扱いの業務を行う蓋然性が認められる状況も含まれるものとされています。誰でも適性評価を受けることができることとはされておらず、取扱いの業務を行う蓋然性が求められることとなります。
適性評価対象者の名簿掲載・意向確認
適性評価対象者の名簿掲載にあたっては、本人の同意を得る必要がありますが、説明を要すると考えられる事項としては、説明内容の標準化の観点から「告知書」を政府が定めるものとされています。
適性評価対象者本人からの質問票の提出
適性評価のための調査は、適性評価対象者本人に質問票を記入してもらうことにより実施することが想定されています。適性評価に関与する行政庁の職員以外の者が内容に触れることのないよう確実な方法により調査を実施するものとされており、デジタル技術の活用を検討するものとされていますが、具体的な方法はいまだ示されていません。
調査
適性評価対象者から提出された質問票の内容に関し、上司などから調査票の提出を求めることとされています。回答に当たっては、自身が把握している事実に基づいて、ありのままの所見を述べることで構わないものとされています。
質問票や調査票の内容に関して、疑問点が生じ、これを確認するなどの必要があるときは、上司や同僚その他の知人に対して質問を実施するものとされています。また、対象者に関する人事管理情報の報告徴求や対象者に対する面接を実施することとされ、調査により収集した情報のみでは疑問点が解消されず、これを確認するなどの必要があるときは、公務所または公私の団体(医療機関、信用情報機関など)に照会して必要な報告を求めることが想定されています。
適性評価に要する期間
適性評価の最終的な判断にあたっては、適性評価対象者が置かれた状況に応じて変わってくることから、画一的な期間を設けることは適切ではないとされる一方で、結果がいつまで経っても伝えられない場合には適性評価対象者が不安定な立場に置かれ続けることとなり、ひいては事業者の事業計画、人事などにも問題が生じかねません。このため、各行政機関における評価担当者は、一定期間経過後に適性評価対象者から期間や結果に関する問い合わせを受けた場合には、その進捗状況を確認した上で、適性評価対象者に状況を伝達することが考えられています。
目的外利用の禁止(個人情報の管理)
適合事業者は、行政機関から通知を受けた内容(同意をしなかった事実、適性評価の結果)を「重要経済安保情報の保護以外の目的」のために利用・提供してはならないものとされ、例えば、次のようなものが目的外利用として例示されています。
- 行政機関から通知を受けた内容を考慮して、解雇、懲戒処分、自宅待機命令、不利益な配置の変更、労働契約内容の変更の強要、専ら雑務に従事させるなど就業環境を害すること
- 行政機関から通知を受けた内容を考慮して、減給や降格、昇給や昇進といった通常の人事考課において有利・不利な影響を与えること
また、適合事業者内で名簿掲載に同意しなかったことや、適性評価の結果通知が出ていないことを理由に、上記のようなことを実施することも、法の趣旨から禁止されると指摘されています。
4.適合事業者の認定
行政機関が適合事業者に重要経済安保情報を提供する流れは、次のようなものとされています。
- 行政機関が、行政運営上の必要性や事業者からの相談などを踏まえ、「事業者に重要経済安保情報を利用させる必要があるか否か」を判断
- 行政機関が、事業者に対して、重要経済安保情報を提供する用意がある旨を提案(事前提案)
- 事業者が、「行政機関から重要経済安保情報の提供を受けるか否か」を判断
- (提供を受ける場合)事業者が、行政機関に対して、適合事業者の認定を受けるために資料を提出
- 行政機関が、適合事業者であることを認定
- 秘密保持契約の締結
- 重要経済安保情報を取り扱うことが見込まれる者に対する適性評価
- 重要経済安保情報の提供
事業者への事前提案
事業者にとって、重要経済安保情報の提供を受けるか否かは重要な判断であるため、行政機関は、事業者の適切な判断に資するよう、提供予定の重要経済安保情報の大まかな概要やその性質などを情報保全に支障のない範囲で明示することとされています。
事業者からの資料の提出
行政機関からの提案を踏まえ、事業者として重要経済安保情報の提供を受けることを決めた場合には、事業者は、重要経済安保情報を提供する行政機関から適合事業者の認定を受ける必要があります。認定にあたっての審査を受けるにあたり、事業者が提出すべき情報として例とされているものについては、「図表2」のとおりです。
図表2:適合事業者の認定審査に際して提出すべき情報の例
項目 |
概要 |
| 1.事業者の組織に関すること | |
|
名称、住所、設立準拠国、議決権の5%超を直接保有する者、代表者や役員の氏名・生年月日・国籍など |
|
役職、職責、氏名、生年月日、国籍など |
|
組織内における規程の有無、規程の周知に向けた教育実施の計画など |
| 2.管理する場所や施設設備に関すること | |
|
名称・所属部署、所属部署の業務内容、場所、備えている施設設備、管理方法など※複数の場所を含めることも可(保管、閲覧で異なる場合にはそれぞれ) |
|
役職、職責、氏名、生年月日、国籍など※複数人可 |
(内閣府「適合事業者への重要経済安保情報の提供等」(2024年8月29日)を元にPwC作成)
適合事業者の認定
適合事業者の認定にあたっては、事業者から提出された情報を基に、行政機関の長は、以下のような視点から総合的に判断するものとされています。
①重要経済安保情報を取り扱う組織として、情報を適正に管理するための組織内の規程を整備し、それを周知・教育し、履行するために必要な人員体制を備えるなど、事業者として重要経済安保情報が適正に管理できるか
②重要経済安保情報を取り扱うそれぞれの場所において、適正に管理できるか
なお、①については、「株式の外資系比率が高い」、「役員に外国籍の者がいる」といった要素だけで判断するのではなく、社内規程において、「情報を漏らすおそれがないと認められていない者に対しては、仮に上司であっても重要経済安保情報を提供してはならない」こと、情報管理責任者の指名手順、重要安保情報を取り扱う者の範囲の決定方法、重要経済安保情報を取り扱うための手続・ルール(Need to know原則徹底、立入・機器持ち込み制限など)、漏えいなどの緊急事態への対応手順などが最低限定められているか否か、社内規程の定めの社内における周知・教育の程度などを確認することとされています。また、②については実際に保管・閲覧が予定されている場所を実査により確認して判断するものとされています。
5.おわりに
以上、重要経済安保情報保護活用法の具体的な運用に関して、民間企業における影響が特に大きいと考えられる、適性評価および適合事業者の認定に関する内容を解説しました。この点、同法制定に至る議論においても、例えば、事業者の適合性基準に関して「外国による所有、管理又は影響」(FOCI)の問題など事業者の組織の問題、重要経済安保情報を管理する場所・施設の要件の不明確性などが指摘されていました。しかしながら、これまでの諮問会議における委員と事務局との質疑を見ると、いずれの問題点についても、いまだ明確にされていない点が多い状況です。性質上、必ずしも要件が明確にされるとは限りませんが、詳細については引き続き政令案などの公表を待つ必要があります。
「経済安全保障推進法」企業に求められる対応
10 results
Loading...
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 【第2回】運用基準の概要と企業影響見通し
経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度が2025年5月17日までに施行される予定です。閣議決定された運用基準の概要について、企業において対応が必要となる内容を中心に解説します。
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 -【第1回】諮問委員会での検討状況と企業影響見通し
セキュリティ・クリアランスの制度を定める重要経済安保情報の保護および活用に関する法律(重要経済安保情報保護活用法)の具体的な運用に関して、民間企業における影響が特に大きいと考えられる、適性評価および適合事業者の認定に関する内容を解説します。
経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度の企業影響について
2024年の通常国会での法制化が見込まれている経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度について、その施策内容と企業に及ぼす影響を解説します。
Loading...
インサイト/ニュース
40 results
Loading...
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
各国サイバーセキュリティ法令・政策動向シリーズ (2)インド
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
Loading...
