『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 【第3回】運用基準を踏まえた企業対応の在り方
2025年5月17日までに施行される経済安全保障分野におけるセキュリティ・クリアランス制度に関して、特に影響があると見込まれる事業者や事業者の担当者において必要となる対応を、2025年1月31日に閣議決定された運用基準を踏まえて解説します。
2025年5月17日までに施行される経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度に関して、特に影響があると見込まれる事業者(重要物資事業者、重要インフラ事業者)や事業者の担当者(法務担当者、人事担当者)において必要となる対応を、2025年1月31日に閣議決定された運用基準を踏まえて解説します。
運用基準の策定経緯
セキュリティ・クリアランス制度は、国家における情報保全措置の一環として、政府が保有する安全保障上重要であるとして指定された情報にアクセスする必要がある政府職員や民間事業者などに対して、政府が調査を実施し、信頼性を確認した上でアクセスを認める制度です(参考:経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度の企業影響について)。
経済安全保障分野におけるセキュリティ・クリアランス制度を定める重要経済安保情報保護活用法の成立を受け、政府として講ずべき措置や遵守すべき事項を規定することにより、政府における運用を統一化することを目的として、運用基準が定められました(参考:『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応【第2回】運用基準の概要と企業影響見通し)。
図表1:経済安全保障推進法、重要経済安保情報保護活用法およびセキュリティ・クリアランス制度の概要
重要物資事業者
運用基準は、経済安全保障推進法が定める特定重要物資*1やその原材料を保護対象の一つとして例示しています。
特定重要物資とは、国民の生存に必要不可欠な物資、または国民生活や経済活動が広く依拠している重要な物資とされており、現時点で半導体や蓄電池など12分野が指定されています(図表2)。
図表2:特定重要物資
| 抗菌性物質製剤 | 肥料 | 永久磁石 | 工作機械および 産業用ロボット |
航空機の部品 | 半導体 |
| 蓄電池 | クラウドプログラム | 可燃性天然ガス | 重要鉱物 | 船舶の部品 | 先端電子部品 |
出典:内閣府資料をもとにPwC作成
運用基準は、特定重要物資やその原料の企画・開発、原材料や部品などの調達、生産、在庫管理、配送、販売、消費までのプロセス全体を保護対象としています。
特定重要物資の安定供給に取り組む企業は、所管大臣から「供給確保計画」の認定を受けたうえで、融資などの金融支援や助成が受けられますが、今後は運用基準に沿って適格性調査を受けたうえで、重要経済安保情報を国から受け取る体制を確保するよう求められることが考えられます。
また運用基準は、特定重要物資に限らず、国が安定供給確保を図ることが特に必要と認められる物資についても保護対象として例示しており、幅広い事業者が運用基準に沿った対応を求められる可能性があります。
運用基準は、重要物資に関係する重要経済安保情報として以下のとおり定めており、重要物資を扱う事業者においては、運用基準に沿って適格性調査を受けたうえで、政府からこれらの情報を入手することを検討する必要があります。
情報はいずれも自社のサプライチェーンの保護やサイバーセキュリティの強化に繋がるものと考えられるものの、政府から情報提供を受けるにあたっては運用基準に沿った対応が求められるため、事前の検討や準備が必要です。
1 外部から行われる行為から重要物資の供給網を保護するための措置又はこれに関する計画若しくは研究のうち、以下に掲げる事項に関するもの
1.1 外部から行われる輸出入規制、不公正な貿易政策、国際物流網の封鎖等の行為による重要物資の供給途絶や供給不足、国内生産基盤の弱体化等に対応するための措置
1.2 重要物資の供給網に関わる事業者及び行政機関の施設・設備等の安全確保に関する措置
1.2.1 施設・設備等に対する外部からの物理攻撃、サイバー攻撃その他の重要物資の安定供給に支障を与える行為に対応するための措置
1.2.2 施設・設備等に係るその他の安全確保に係る措置(1.2.1に掲げるものを除く)
1.3 重要物資の供給網に関わる事業者の経営や、事業者及び行政機関が保有する技術、知識、データ、人員等の物資の安定提供を行う体制を維持するために必要とするその他の経営資源に対し外部から行われる行為からの保護措置
2 重要経済基盤の脆弱性に関する情報であって安全保障に関するもの
2.1 重要物資の供給網の脆弱性に関する情報であって安全保障に関するもののうち、以下に掲げる事項に関するもの
2.1.1 重要物資の外部依存度、非代替性、供給途絶時の影響の詳細等につき調査・分析等により得られた情報
2.1.2 重要物資の供給網に関わる事業者及び行政機関の施設・設備等の脆弱性に関する情報
2.1.3 重要物資の供給網に関わる事業者の経営や、事業者及び行政機関が保有する技術、知識、データ、人員等、物資の安定供給を行う体制を維持するために必要とするその他の経営資源に関する脆弱性に関する情報
重要インフラ事業者
運用基準は、経済安全保障推進法が定める基幹インフラ*2と、「重要インフラのサイバーセキュリティに係る行動計画」が定める重要インフラ*3を保護対象として例示しており、該当する事業者においては、運用基準に沿った対応が求められます。
経済安全保障推進法が定める基幹インフラとは、安定的な提供に支障が生じた場合に国家及び国民の安全を損なう事態を生ずるおそれがある役務の提供を行う事業として、現時点で電気やガスなど15分野が指定されています(図表3)。当該15分野において基幹インフラ事業者に該当する事業者名が公表されています*4。
図表3:経済安全保障推進法が定める基幹インフラ
| 電気 | ガス | 石油 | 水道 | 鉄道 | 貨物自動車 運送 |
外航貨物 | 港湾運送 |
| 航空 | 空港 | 電気通信 | 放送 | 郵便 | 金融 | クレジット カード |
出典:内閣府資料をもとにPwC作成
「重要インフラのサイバーセキュリティに係る行動計画」が定める重要インフラとは、官民連携でサイバーセキュリティに係る取組を進め、防護の一層の強化を図る必要がある事業として、現時点で情報通信や金融など15業種が指定されています(図表4)。
図表4:「重要インフラのサイバーセキュリティに係る行動計画」が定める重要インフラ
| 情報通信 | 金融 | 航空 | 空港 | 鉄道 | 電力 | ガス | 政府・行政サービス |
| 医療 | 水道 | 物流 | 化学 | クレジット | 石油 | 港湾 |
出典:内閣府資料をもとにPwC作成
運用基準は、重要インフラ事業者の施設・設備等のほか、技術、知識、データ、人員など、それが侵害された場合に役務の安定的な提供に支障を及ぼす経営資源全体を保護対象としています。
運用基準は、重要インフラに関係する重要経済安保情報として以下を定めており、重要インフラ事業者においては、運用基準に沿って適格性調査を受けたうえで、政府からこれらの情報を入手することを検討する必要があります。
情報はいずれも自社施設やデータ、技術情報等に関するサイバーセキュリティの確保に繋がり、サイバー攻撃による重要インフラの機能停止や破壊、機微情報の窃取といった事態を未然に防ぐ効果をもたらすと考えられるものの、政府から情報提供を受けるにあたっては運用基準に沿った対応が求められるため、事前の検討や準備が必要です。
1 外部から行われる行為から重要インフラの提供体制を保護するための措置又はこれに関する計画若しくは研究のうち、以下に掲げる事項に関するもの
1.1 重要インフラを提供する事業者及び行政機関の施設・設備等の安全確保に関する措置
1.1.1 施設・設備等の導入及び維持管理等に係る規制・制度に関して行政機関が行う審査・監督等の措置
1.1.2 施設・設備等に対する外部からの物理攻撃、サイバー攻撃その他の役務の提供に支障を与える行為に対応するための措置
1.1.3 施設・設備等に係るその他の安全確保に係る措置(1.1.1及び1.2.1に掲げるものを除く)
1.2 重要インフラを提供する事業者の経営や、事業者及び行政機関が保有する技術、知識、データ、人員等の役務の安定的な提供を行う体制を維持するために必要とするその他の経営資源に対し外部から行われる行為からの保護措置
2 重要経済基盤の脆弱性に関する情報であって安全保障に関するもの
2.1 重要インフラの提供体制の脆弱性に関する情報であって安全保障に関するもののうち、以下に掲げる事項に関するもの
2.1.1 重要インフラを提供する事業者及び行政機関の施設・設備等の脆弱性に関する情報
2.1.2 重要インフラを提供する事業者の経営や、事業者及び行政機関が保有する技術、知識、データ、人員等の役務の安定的な提供を行う体制を維持するために必要とするその他の経営資源に関する脆弱性に関する情報
事業者における人事担当者・法務担当者
重要物資事業者、重要インフラ事業者に限らず、事業者が適合事業者としての認定を受けるためには、従業員の適正評価の実施に向けた対応および適合事業者としての認定審査への対応を行う必要があります。また、採用の場面を含めた社内における人事制度や個人情報の管理態勢の見直し等も必要となることが考えられます。各事業者における業務分掌に応じて、人事・法務の担当者に加え、社用施設の管理を担当する部署の担当者等も含めて、次のような事項に対応していく必要があります。
1 適合事業者としての認定に向けた対応
従業員の適正評価への対応、運用基準(第5章第1節2(2))において求められる内容を満たす内部規程(今後ひな型が定められる見込み)の策定と当該内部規程に基づく態勢の整備を行う必要があり、例えば次のような対応が必要となります。
1.1 従業員についての適正評価の実施に向けた意向確認、名簿掲載、行政機関への名簿提出等の一連の手続への対応、関連する社内規程等の整備
1.2 「保護責任者」(事業者内において重要経済安保情報の管理業務を総括し、事業者内における重要経済安保情報の管理に責任を負う者)の指名基準・手続の策定と選任
1.3 「業務管理者」(重要経済安保情報を取り扱う予定のそれぞれの場所を管理する責任を負う者)指名基準・手続、職務内容の策定と選任
1.4 重要経済安保情報の保護に関する教育の実施内容及び方法の策定
1.5 適正評価実施後も所定の事情があると認められた場合には行政機関への報告が契約上求められることから、重要経済安保情報の取扱いの業務を行う従業員に対する報告義務、重要経済安保情報を漏らすおそれの有無に関する上司等による確認に関する社内規程の整備・実施
1.6 重要経済安保情報を取り扱う施設に関する物理的措置の確保
1.7 重要経済安保情報を取り扱う施設への立入り及び機器の持込み制限に係る手続及び方法
1.8 重要経済安保情報を取り扱う電子計算機の使用の制限に係る手続及び方法
1.9 重要経済安保情報文書等の作成、運搬、交付、保管、廃棄その他の取扱いの方法の制限に係る手続及び方法
1.10 重要経済安保情報の伝達の方法の制限に係る手続及び方法
1.11 重要経済安保情報の取扱いの業務の状況の検査に係る手続及び方法
1.12 重要経済安保情報文書等の奪取その他重要経済安保情報の漏えいのおそれがある緊急の事態に際し、その漏えいを防止するために他に適当な手段がないと認められる場合における重要経済安保情報文書等の廃棄に係る手続及び方法
1.13 重要経済安保情報文書等の紛失その他の事故が生じた場合における被害の発生の防止その他の措置に係る手続及び方法
1.14 その他運用基準及び今後の内部規程ひな型で求められる事項への対応
2 人事面での対応
人事評価、採用の手続その他の人事措置及び個人情報の管理における対応事項、今後の確認事項として次のような点が挙げられます。
2.1 目的外利用に該当する、人事評価や人事考課、解雇、懲戒処分、不利益な配置の変更等のために適正評価の結果を利用等することの禁止
2.2 「重要経済安保情報を取扱うことが見込まれる者」の中途採用における適正評価の手続(適性評価の結果が通知されるまでに要する期間があらかじめ分からないという問題への対応)
2.3 過去に「重要経済安保情報を取扱った場合に漏らすおそれがないと認められた者」であった者を採用する場合のかかる認定の確認方法(直接的な照会に対する行政機関の回答は、目的外利用に該当する懸念があるとされ、適正評価の実施を求める方法が示唆されている)
2.4 適正評価を得ている者を対象とする手当の支給の検討
2.5 適正評価を得ていることに関するSNS等での情報発信の制限
2.6 派遣労働者の場合の取扱い(派遣受入れ時及びその後の報告義務への対応等)
2.7 関連する個人情報の管理、利用及び提供の制限に対する対応(社内規程の改定等)
おわりに
ここまで、運用基準を踏まえ、特に影響があると考えられる事業者や担当者において必要となる対応について解説しました。
企業においては、2025年5月17日までの制度の施行を見据えて、対応が必要となる部署・役員・事業ポートフォリオの特定、対応のために必要となる予算・体制・施設などの確認、影響を踏まえた対応方針の作成(社内体制、社内システム、人材雇用・研修、ガバナンス制度、社内規則の刷新など)などを進めることが求められます。
加えて、制度施行開始後の事業機会獲得に向けた準備として、国内外セキュリティ・クリアランス人材の獲得または育成に向けたプランニング、国内外政府案件参画に向けた準備、海外政府・企業との共同研究に向けた調整、国内競合他社の動きの確認などを行うことが求められます。
*1 坂田和仁 “重要物資の安定供給(サプライチェーンの強靭化)について” 2023年11月29日
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/economic-security04.html
*2 坂田和仁 “基幹インフラの安全性・信頼性確保について” 2023年11月2日https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/economic-security02.html
*3 内閣サイバーセキュリティセンター(NISC)サイバーセキュリティ戦略本部 "重要インフラのサイバーセキュリティに係る行動計画(改定)"2024年3月8日
https://www.nisc.go.jp/pdf/policy/infra/cip_policy_2024.pdf
*4 内閣府 "特定社会基盤事業者として指定した者(令和6年10月17日時点)" 2024年10月17日
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/infra/doc/infra_jigyousya.pdf
「経済安全保障推進法」企業に求められる対応
10 results
Loading...
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 【第2回】運用基準の概要と企業影響見通し
経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度が2025年5月17日までに施行される予定です。閣議決定された運用基準の概要について、企業において対応が必要となる内容を中心に解説します。
『セキュリティ・クリアランス制度』法制化の最新動向と日本企業が取るべき対応 -【第1回】諮問委員会での検討状況と企業影響見通し
セキュリティ・クリアランスの制度を定める重要経済安保情報の保護および活用に関する法律(重要経済安保情報保護活用法)の具体的な運用に関して、民間企業における影響が特に大きいと考えられる、適性評価および適合事業者の認定に関する内容を解説します。
経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度の企業影響について
2024年の通常国会での法制化が見込まれている経済安全保障分野におけるセキュリティ・クリアランス(適格性評価)制度について、その施策内容と企業に及ぼす影響を解説します。
Loading...
インサイト/ニュース
40 results
Loading...
金融セクターに求められるセキュリティ規制対応―DORAとNIS2指令の関係
欧州におけるデジタル関連規制が急速に発展する中で、法令間の関係の適切な理解と効率的なコンプライアンス対応が課題となっています。金融セクターにおける「NIS2指令」と「DORA」への対応を事例として、課題へのアプローチを解説します。
2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―
デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。
各国サイバーセキュリティ法令・政策動向シリーズ (2)インド
各国サイバーセキュリティ法令・政策動向シリーズの第2回目として、インド政府のデジタル戦略と組織体制、セキュリティにかかわる法律および規則とその動向などについて最新情報を解説します。
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
Loading...
