セキュリティ・クリアランスとは？なぜ日本で必要性が高まっているのか？

セキュリティ・クリアランスとは？

セキュリティ・クリアランスとは、安全保障などに関わる機密情報にアクセスできる資格者を政府が認定する制度です。この制度は人を対象とする場合と施設を対象とする場合があります。この記事では人を対象にするセキュリティ・クリアランスについて、解説します。人を対象にするセキュリティ・クリアランスは、機密情報にアクセスできる人を限定することで、その情報の漏洩を防ぐことが主な目的とされています。

セキュリティ・クリアランスは
1．情報指定：政府が保有する安全保障上重要な情報の指定
2．政府の調査によるセキュリティ・クリアランスの付与：該当の情報にアクセスする必要性がある人の信頼性確認
3．情報漏えい時の厳罰を含む特別の情報管理ルール：万が一セキュリティ・クリアランス保持者から情報が漏洩した際の厳罰を含むルール
の3つの機能がセットになっています。

このセキュリティ・クリアランスが生まれた背景としては、機密情報の流出や不正利用の防止が挙げられます。政府機関や企業が保有している安全保障に関わる情報が外部に流出した場合、その国の安全保障に深刻な影響がもたらされてしまいます。実際に、日本でも企業が保有している機密情報が内部の人間によって流出するといった事例が報道されていますが、例えば基幹インフラの設計図や運用マニュアルなどが流出した場合、その基幹インフラに対するテロリスクが高まることになってしまいます。さらに、昨今特に重要視されている情報がAIや量子技術といった最先端のテクノロジーです。これらは民間での開発が進んでいますが、軍事的転用も可能であることから、国外にこれらの情報が漏れると安全保障上大きなリスクを抱えることになってしまいます。このような事案を防ぐために、セキュリティ・クリアランスによって政府が信頼性を確認している限られた人のみが情報にアクセスできるようにする必要性が高まっています。

また、昨今は国際社会での情報共有において、セキュリティ・クリアランスの重要性が高まってきています。国際社会では様々な情報がやり取りされていますが、特に安全保障に関わる情報共有は国家間を超えた信頼関係が不可欠であり、情報の秘匿性や安全性を確保することが重要となります。例えば、機密情報を共有する英語圏の枠組みとして「ファイブ・アイズ」がありますが、これを構成する米国、英国、カナダ、オーストラリア及びニュージーランドはセキュリティ・クリアランスがすでに導入されています。日本はこの5カ国と安全保障面で協力を進めていますが、日本もこのような枠組みに参画する際には、セキュリティ・クリアランスが必要になってくることが想定されます。現在は政府の枠組みだけではなく、国を超えた民間同士での情報のやり取りや国家間の共同研究開発でも、セキュリティ・クリアランスが求められるようになってきています。セキュリティ・クリアランスを持っていない場合、そのような機密情報をやり取りするコミュニティに属することができません。例えば、サイバーセキュリティの分野では、米国においてセキュリティ・クリアランスの所持者のみがアクセスできる情報があります。これは一般的に公開されていない脆弱性情報や攻撃用のソースコードを含むセキュリティ上極めて重要な情報です。米国の企業では、これらの情報を用いた新規産業領域（IoT活用など）のセキュリティ強化などが活発に行われていることから、同様のスキームを持たないと国際競争力にも影響してくる可能性もあります。日本ではセキュリティ・クリアランス制度はまだ運用がスタートしていませんが、このような背景から検討が進められています。

米国におけるセキュリティ・クリアランス

では、すでにセキュリティ・クリアランスを導入している国は、どのように運用しているのでしょうか。本記事では米国のDSS（外交保安局）がサイトで公開しているセキュリティ・クリアランスに関する情報を元に、米国におけるセキュリティ・クリアランスについて説明します。米国において機密情報を取り扱うことができるのは、身上調査を経て行政機関の長から適性を認定された者、すなわちセキュリティ・クリアランスを保有している人のみです（原則的には米国市民に限られています）。付与されたセキュリティ・クリアランスに応じてアクセスできる機密情報レベルが異なり重要度が高い順に「Top Secret」、「Secret」、「Confidential」とレベル付けされています。また、重要なポイントとして、セキュリティ・クリアランスを有する個人は、業務上、知る必要がある（need-to-know）機密情報に限ってアクセスが認められ、あらゆる機密情報にアクセスできるわけではないという点が挙げられます。ですので、セキュリティ・クリアランスを持っていたとしても、業務上関係のない情報にはアクセスできないようになっています。

機密情報のレベルと、その情報が漏洩した場合のリスク
（大統領令13526を元にトレンドマイクロが作成）

次にセキュリティ・クリアランスの実施手順について解説します。

セキュリティ・クリアランスを取得するプロセスにおけるポイントは定期的な再調査です。すでにセキュリティ・クリアランスの保有者であっても、定期的に再調査を受けなければなりません。過去に信頼できた人であっても、後に不正行為を行うこともあれば、担当する職務やプロジェクトが変更された際には、知る必要がある機密情報が変化することも考えられるためです。そのため、セキュリティ・クリアランスの運用には定期的な再調査が重要になっています。現状、米国の制度では再調査の頻度は約5年ごととされています。

日本の現行制度と専門家会議での議論の内容

日本でも、2022年に経済安全保障推進法案が施行されており、セキュリティ・クリアランス導入に向けた議論が進んでいますが、現行制度においても政府・民間が所有している機密情報の保護についての枠組みが存在します。例えば、サイバーセキュリティ基本法改正に基づいて、組織されているサイバーセキュリティ協議会の第一類・第二類構成員は、一般には公開されていない脅威情報などにアクセスできますが、法的罰則を伴う守秘義務が課されています。また、2014年に制定された特定秘密保護法も同様に、秘匿性の高い安全保障に関する情報に関して、適正評価と漏洩時の罰則が設けられています。これらは、準セキュリティ・クリアランスとも呼べる制度であり、メディアなどでも比較されています。

サイバーセキュリティ協議会第一類・第二類構成員、特定秘密保護法、セキュリティ・クリアランスに関する表

日本の既存の制度とセキュリティ・クリアランスの大きな違いを挙げるとすれば、適正評価の対象の広さです。サイバーセキュリティ協議会や特定秘密保護法の対象は主に公務員や一部の業種の職員のみとなっています。一方でセキュリティ・クリアランスは業種を問わず、民間企業の職員が対象となっているため、対象の広さが大きく異なります。

現時点では、日本におけるセキュリティ・クリアランスの制度内容は具体的に決まっていませんが、内閣官房有識者会議で議論予定のトピックとして以下が記載されています。
・経済安全保障の観点から、セキュリティ・クリアランス制度をもって保護すべき重要な情報・モノとしては、どのようなものが考えられるか。
・日本企業が外国でセキュリティ・クリアランスの保有を求められるケースとして、どのような場面が想定されるか。また、どのような情報にアクセスしようとする際に求められると想定されるか。
・日本企業による国際的なビジネスを推進していくためには、どのような制度が望ましいと考えられるか。
・上記のほか、現行制度や企業等における実務との関係で制度設計に当たって留意すべき事項・論点はどのようなものがあるか。

また、国際社会におけるセキュリティ・クリアランスの役割を意識するのであれば、各国との情報共有をする際の相互認証のために用いられることが想定されるので、セキュリティ・クリアランスをすでに導入している国と同様の制度設計になることが想像できます。これらの状況を踏まえて、日本のセキュリティ・クリアランスのレベルや取得基準など、今後制度化に向けた議論が進んでいくものと考えられます。

まとめ

セキュリティ・クリアランスは民間にとっても国際的なビジネスの機会の確保・拡充にもつながる重要な制度です。対応が遅れた場合には、自社の競争力にも影響してくることを踏まえて、企業の経営者は、自社がアクセスすべき情報がセキュリティ・クリアランスの対象となるかどうか注視しておくべきでしょう。軍事や基幹インフラなど直接的に安全保障に関わる情報はもちろん、AIや量子技術など、最先端のテクノロジーに関する情報にもセキュリティ・クリアランスが適用される流れになる可能性も十分にあります。そのような技術を保有している企業も、これからの制度化に向けた動向を注視しながら、対応策を考えていく必要があります。実際に運用が始まり、自社の社員が対象となる際には、罰則規定を伴うことや、更新審査や各種報告義務、バックグラウンドチェックなどで負担を強いる事から、職務規定や労務管理など従業員の権利を過度に侵害しない配慮が重要になると考えられます。