日本のセキュリティークリアランスについて調べてみた

2022年7月2日 16:10

　※本内容は公刊情報ならびに、＜日経ビジネス記事　機密取扱許可制度の衝撃！自社の知らない脆弱性が共有されている 2020.10.7　聞き手　森永輔　　解説　多摩大学ルール形成戦略研究所の國分俊史所長有料記事＞、その他各種新聞記事に基づいています。

　近年、日本でも重要性が謳われている経済安全保障。

　2022年5月11日に、岸田政権が看板政策のひとつに掲げる「経済安全保障推進法」が可決されました。

　これに至るまでの大雑把な流れとしては、第2次安倍政権下で、インテリジェンスに基づいて安全保障政策（国家戦略）を決定するための「国家安全保障会議（NSC)創設関連法」が2013年11月27日に国会で可決され、翌月12月5日に発足、その事務局として「国家安全保障局（NSS）」が翌年1月7日に内閣官房に設置、2020年には経済安全保障の重要性の高まりから、国家安全保障局に「経済班」が4月1日に発足、そして岸田内閣にて経済安全保障推進法が成立されるに至ります。＜日付等、公刊情報より＞

　さて、ここで本ブログの題目としている「セキュリティークリアランス」とはいったい何のことでしょうか？

　「セキュリティークリアランスとは、機密情報の漏洩を防ぐべく、機密情報へのアクセスを、これを悪用しない人物に限定するために政府が運用する信用資格制度のこと」＜國分所長＞

　とされています。

　このセキュリティークリアランスという日本人になじみの薄い米国の制度が、日本企業から競争力を奪いかねない、といわれています。

　米国では、もともと安全保障を中心とした機密情報（CI、Classified Information）だけがセキュリティークリアランスの対象でしたが、米政府はこの範囲を、政府が生成するCUI（Controlled Unclassified Information＝機密情報ではないけれども管理が必要な情報）や、民間が生成する情報をCUI指定し、それらにも適用範囲を広げつつあります。バラク・オバマ大統領（当時）が2010年、米国の産業競争力に資する情報をCUIとして各省が指定するよう大統領令を発令しています。

　日本には（明確な）セキュリティークリアランス制度がないため、日本企業の製品開発力に負の影響を与えかねない懸念があるのです。

　なぜ懸念があるのかというと、米国のCUIの中には、日本の民間企業が製品開発を進めるのに欠かせない情報が存在するからです。
　日本にはセキュリティークリアランス制度がないため、この開発に欠かせない情報にアクセスすることができないんですね。

　日本が注目しなければならないのは、米国のセキュリティークリアランス制度。製品開発に不可欠の情報とはどんなももがあるのか。

　「典型は、米国立標準技術研究所（NIST）が運営するNVD（National Vulnerability Database）。
　IoT（モノのインターネット）製品の脆弱性に関する情報を登録するデータベース。
　例えば、ある製品にどのようなセキュリティーホール（欠陥）が存在するのかと、それを発見した手段（攻撃プログラムコード）がセットで登録されています」

　「セキュリティーホールの存在については、セキュリティーパッチが開発された後、公開して誰でもアクセスが可能。パッチの適用を促す目的です。問題は、このNVDに格納されている情報のうち、パッチが開発されるまでの「ゼロデイ情報」に限り、セキュリティークリアランス保有者でないとアクセスすることができないこと。攻撃プログラムコードについては、パッチが開発された後も、セキュリティークリアランス保有者だけにアクセスが限定されます」
　「例えば日本の自動車会社が開発した自動運転車にどんなセキュリティーホールが存在するか、その攻撃方法とともにNVDに登録されます。しかも、このゼロデイ情報は、日本企業が知らない間に登録されるし、日本企業の開発者やメンテナンス担当者は見ることができません。日本にはセキュリティークリアランス制度が存在せず、セキュリティークリアランス保有者がいないからです。他方で、競合となる米テスラで働くセキュリティークリアランス保有者は、日本企業のセキュリティーホール情報を逐一入手している」

　「こんな情報劣位にあるメーカーが開発した自動運転車を消費者は購入しようと思うでしょうか。仮に日本企業が開発した自動運転車の方が電力消費量が少なく、乗り心地の技術で勝っていても、安全には変えられないでしょう。自動運転車では、サイバー攻撃に対する防衛能力が消費者の生死を分けます」＜國分所長＞

　こういったセキュリティークリアランス制度がないことに起因する懸念は、米国相手だけではありません。
　ファイブ・アイズを構成する国々はもちろん、ドイツやフランス、韓国などにセキュリティークリアランス制度が存在しており、国家間でセキュリティークリアランスの相互認証をしています。政府が指定するCIだけでなく、政府がCUI指定した民間が生成する情報もその対象です。

　セキュリティークリアランス制度において、有資格者を認証するにあたり、包括するコンセプトとして、「国家への忠誠心」が挙げられます。
　
　「自らの利益よりも、勤める企業やその株主よりも、国家の利益を最優先する人物かどうかを見ます。後は、ゆすられる可能性の有無ですね。セキュリティークリアランス制度の究極の目標は国家安全保障にあります。」
＜國分所長＞

　日本でもこのセキュリティークリアランス制度の導入は自民党でも検討されていて、そのためには法整備が必要になります。
　適切な人物だけに資格を与えるには、その人物の犯罪歴とかその他様々なバックグラウンドのチェックも必要になります。

　※現行の日本の法律では、バックグラウンドチェックは国家機密を扱う人物以外、対象にしてはならないことになっている
　※セキュリティークリアランスにはランクもあり、ランクが上がれば上がるほど、審査はより厳密になり、時間とお金も掛かる。

　日本においてセキュリティークリアランス制度導入に向けての動きは、2020年5月21日に、自民党の知的財産戦略調査会（林芳正会長）が、先端技術など機密情報を扱える担当者を限定する資格の付与を政府に促す提言をまとめています。
　国際的な共同研究の機会が増すのを想定し、軍事利用できる最先端の産業・科学技術などの漏洩を防ぐ体制を整えるなどの提言が盛り込まれています。

　　知的財産戦略調査会の提言について、日本経済新聞も報じていました。

　もともとは今年の5月に成立した経済安保推進法に盛り込む方針でしたが、個人情報保護の観点から慎重論もあり見送られていました。
　しかし、米欧各国の防衛や情報関連企業と日本企業が共同研究を行う際、資格が求められる事例が増え、早期の法制化が必要と判断し、経済安保推進法の改正案を来年の通常国会へ提出する方針を固めたようです。

　なお、上記にまとめた内容とは別に、平成7年11月15日に施行された「科学技術基本法」が、「科学技術・イノベーション基本法」として2020年6月17日に改正・成立となっています。
　取りまとめは第2次安倍政権時ですが、日経新聞によれば＜科学技術政策の司令塔機能も強化し、内閣府に「科学技術・イノベーション推進事務局」を設置し、知的財産や宇宙開発戦略などの政策調整を担う。＞とあり、知的財産や宇宙開発などは対中戦略が念頭にあるのではないでしょうか？
　

　科学技術・イノベーション基本法　概要