リスク&ガバナンス法務ニュースレター(2025年3月)

重要経済安保情報に関するセキュリティ・クリアランス制度の施行が目前に迫っています。民間事業者が適合事業者の認定を受ける場合、適正評価結果の目的外利用禁止など人事評価、採用手続等の対応、運用基準の要件を満たす社内規程に基づく態勢整備等が必要となりますが、本ニュースレターでは、運用基準の概要と適合事業者認定を受ける民間事業者に求められる対応の概要をご紹介します。

1. セキュリティ・クリアランスの概要

セキュリティ・クリアランス制度は、国家における情報保全措置の一環として、政府が保有する安全保障上重要であるとして指定された情報にアクセスする必要がある政府職員や民間事業者などに対して、政府が調査を実施し、信頼性を確認したうえでアクセスを認める制度です。いわゆるトップ・シークレット級及びシークレット級を扱うものとして特定秘密の保護に関する法律(「特定秘密保護法」)が従前より存在しますが、コンフィデンシャル級を扱うものとして重要経済安保情報の保護及び活用に関する法律(「重要経済安保情報保護活用法」)が2024年5月10日に成立し、2025年5月17日までの政令で定める日に施行される予定です。そして、本年1月31日には、政府における運用を統一化することを目的とする「重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準」(「運用基準」)が閣議決定されています。

2. 運用基準の概要

運用基準においては、重要経済安保情報の指定要件をはじめとして重要経済安保情報保護活用法の運用における重要な基準が全般的に示されています。

(1) 重要経済安保情報の指定3要件

運用基準においては、重要経済安保情報の指定の3要件(①重要経済基盤保護情報該当性、②非公知性、③秘匿の必要性)の明確化及び重要経済基盤の具体例の提示がなされています。また、指定に当たっての遵守事項として、要件の該当性は厳格に判断すること、隠蔽を目的として指定しないこと、事業者が提供した情報も3要件に該当すれば指定可能であるものの指定しただけでは事業者に法律の効果は及ばないことなどが定められました。

(i) 重要経済基盤の具体例

重要経済基盤の具体例として、運用基準では次の説明がなされています。

基盤公共役務 「経済安全保障推進法」における基幹インフラ、「重要インフラのサイバーセキュリティに係る行動計画」における重要インフラ、国の行政機関の役務の一部
重要物資 「経済安全保障推進法」における特定重要物資及びその原材料、安定供給確保を図ることが特に必要と認められる物資

(ii) 非公知性

「非公知性」の判断は、「現に不特定多数の者に知られていないか否かにより行うものとする」とされ、報道機関や外国政府等によって公表済みの場合には、本要件を満たさないものとされます。

(iii) 秘匿の必要性

「秘匿の必要性」の判断は、情報漏洩によって本邦の安全保障に次のような態様で支障を与える事態が生じるおそれがあるか否かによって行われるものとされています。

  • 安全保障のための施策や取組等に関し、これらの計画、方針、措置その他の手の内やこれらのための本邦の能力が露見し、対抗措置が講じられ、本邦に対する攻撃が容易となり、外国政府等との交渉が困難になること
  • 外国政府等との信頼関係や本邦の秘密保護に関する信用が損なわれ、今後の情報収集活動、当該外国政府等との安全保障協力が滞ること

(2) 適正評価

民間事業者は、適正評価の事前手続として、重要経済安保情報の取扱い業務を行わせようとする従業員について、当該従業員の同意を得たうえで、氏名、生年月日、所属部署、役職名等を行政機関に提出します。行政機関から適性評価実施の承認が得られた評価対象者に対してその旨を告知し、同意を得た場合は同意書を提出し、適正評価の実施を受けることとなります。

実施に際しては、評価対象者が質問票に必要事項を記載し内閣府に提出しますが、評価対象者が記入した内容は、上司その他知る必要のない者の知るところとはなりません。評価対象者の上司、人事部門の従業員等は、評価対象者について重要経済安保情報の漏洩のおそれの有無を評価するための行政機関による調査に協力するものとされ、適正評価の実施後、行政機関は評価対象者に対し、結果等通知書の交付により調査結果を通知します。

事業者においては、適性評価の実施後に、適性評価で認定を受けた従業員において、外国との関係の変化、犯罪、懲戒処分等の所定の事情が生じた場合は、速やかに行政機関に報告することが求められます。一方、事業者は、適性評価の結果を、解雇、減給、降格、懲戒処分、自宅待機命令など不利益な評価に用いることを禁じられることに留意が必要です。

(3) 適合事業者の認定

事業者に関する適合事業者の認定審査は、①外国の所有・支配・影響の状況(株主や役員の状況)、②保護責任者(情報保護の全体責任者)及び業務管理者(情報管理区域の業務管理者)の業務遂行状況、③重要経済安保情報の保護に関する社内教育の状況、④重要経済安保情報の保護施設の設備状況等の考慮要素を踏まえ、総合的に判断するものとされています。「外国の所有・支配・影響の状況」(FOCI(Foreign Ownership, Control, or Influence))については、以前から具体的にはどのような要件とされるか関心が持たれていたところですが、運用基準においても具体的な内容は明示されていません。

3. 民間事業者における適合事業者認定の必要性

セキュリティ・クリアランスについては、クリアランス保有が前提となる入札や国際会議への参加を通じたビジネス機会の拡大や国際共同研究開発における相手先企業からの情報開示などの利点のほか、政府等からサイバーセキュリティ対策に関する情報の共有を受ける点も適合事業者認定を受ける目的と考えられます。この点、運用基準は、その保護対象として、経済安全保障推進法が定める基幹インフラと「重要インフラのサイバーセキュリティに係る行動計画」が定める重要インフラとを例示しています。重要経済安保情報保護活用法や運用基準において、特定社会基盤事業者が適合事業者認定を受けることは義務とはされていないものの、政府が特定社会基盤事業者に重要経済基盤保護情報を提供する際には、適合事業者認定を受けていることが前提となるため、特定社会基盤事業者に該当する民間事業者は、認定を受けることが事実上求められる可能性を念頭に置く必要があるものと思われます。

4. 適合事業者としての認定に向けた対応

適合事業者の認定を受けることを検討する民間事業者においては、制度の施行を見据えて、対応が必要となる部署・役員等の特定、対応のために必要となる予算・体制・施設などの確認、影響を踏まえた対応方針(社内体制、社内システム、人材雇用・研修、ガバナンス制度、社内規則の刷新など)の作成等を進めることとなります。

適合事業者としての認定に向けて、従業員の適正評価への対応、運用基準の要求を満たす内部規程の策定と当該内部規程に基づく態勢の整備を行う必要があり、また、人事評価、採用の手続その他の人事措置及び個人情報管理の対応も検討することが考えられます(【表1】参照)。

【表1】
適合事業者としての認定に向けた対応

従業員についての適正評価の実施に向けた意向確認、名簿掲載、行政機関への名簿提出等の一連の手続への対応、関連する社内規程等の整備

「保護責任者」(事業者内において重要経済安保情報の管理業務を総括し、事業者内における重要経済安保情報の管理に責任を負う者)の指名基準・手続の策定と選任
「業務管理者」(重要経済安保情報を取り扱う予定のそれぞれの場所を管理する責任を負う者)指名基準・手続、職務内容の策定と選任
重要経済安保情報の保護に関する教育の実施内容及び方法の策定
重要経済安保情報の取扱いの業務を行う従業員に対する報告義務、重要経済安保情報を漏らすおそれの有無に関する上司等による確認に関する社内規程の整備・実施

重要経済安保情報を取り扱う施設に関する物理的措置の確保

重要経済安保情報を取り扱う施設への立入り及び機器の持込み制限に係る手続及び方法
重要経済安保情報を取り扱う電子計算機の使用の制限に係る手続及び方法
重要経済安保情報文書等の作成、運搬、交付、保管、廃棄その他の取扱いの方法の制限に係る手続及び方法
重要経済安保情報の伝達の方法の制限に係る手続及び方法
重要経済安保情報の取扱いの業務の状況の検査に係る手続及び方法
重要経済安保情報文書等の奪取その他重要経済安保情報の漏えいのおそれがある緊急の事態に際し、その漏えいを防止するために他に適当な手段がないと認められる場合における重要経済安保情報文書等の廃棄に係る手続及び方法
重要経済安保情報文書等の紛失その他の事故が生じた場合における被害の発生の防止その他の措置に係る手続及び方法
人事評価、採用の手続その他の人事措置及び個人情報の管理における対応・要確認事項

目的外利用に該当する、人事評価や人事考課、解雇、懲戒処分、不利益な配置の変更等のために適正評価の結果を利用等することの禁止

「重要経済安保情報を取扱うことが見込まれる者」の中途採用における適正評価の手続(適性評価の結果が通知されるまでに要する期間があらかじめ分からないという問題への対応)
過去に「重要経済安保情報を取扱った場合に漏らすおそれがないと認められた者」であった者を採用する場合のかかる認定の確認方法(直接的な照会に対する行政機関の回答は、目的外利用に該当する懸念があるとされ、適正評価の実施を求める方法が示唆されている)
適正評価を得ている者を対象とする手当の支給の検討
適正評価を得ていることに関するSNS等での情報発信の制限
派遣労働者の場合の取扱い(派遣受入れ時及びその後の報告義務への対応等)

関連する個人情報の管理、利用及び提供の制限に対する対応(社内規程の改定等)

本ニュースレターでは、セキュリティ・クリアランス制度について、運用基準で示されたポイントと適合事業者認定を受ける民間事業者にとって取り組みが必要となる事項を概説しました。運用基準については、策定時のパブリックコメント手続においても政府の具体的な見解が示されておらず、未だ不明確な点も多い状況です。運用基準を補足するガイドライン等の作成も予定されており、施行までに公表される情報を引き続き注視する必要があります。

PDF版ダウンロードはこちら

執筆者

茂木 諭

パートナー, PwC弁護士法人

岩崎 康幸

パートナー, PwC弁護士法人

小林 裕輔

パートナー, PwC弁護士法人

日比 慎

ディレクター, PwC弁護士法人

水田 直希

PwC弁護士法人

阪本 凌

PwC弁護士法人

蓮輪 真紀子

蓮輪 真紀子

PwC弁護士法人

望月 賢

PwC弁護士法人

本ページに関するお問い合わせ