今回は、近年、その重要性が高まっている日本の安全保障に関する新たな枠組み、『重要経済安保情報保護活用法』について、詳細な資料に基づきその概要と運用基準を読み解いていきます。
今後、AIが一つの重要なインフラとして普及していく中、AIガバナンスやデータガバナンスの観点でも「重要経済安保情報」の適切な保護と活用を目指がますます重要になってくるものと思われます。
- 重要経済安保情報の定義と保護措置
- 法律の目的と詳細
- 行政機関の運用ガイドライン
- 適合事業者の運用ガイドライン
- 統一的運用基準
- セキュリティ・クリアランスの概念と必要性
- 適性評価と適合事業者の認定フロー
- おわりに
重要経済安保情報の定義と保護措置
「重要経済安保情報」は、重要なインフラや物資のサプライチェーンに関する公になっていない情報のうち、その漏洩が日本の安全保障に支障を与えるおそれがあるため、特に秘匿する必要があるものと定義されています。具体的には、サイバー脅威・対策に関する情報やサプライチェーン上の脆弱性関連情報が挙げられます。
情報の保護措置の中核となるのが「適性評価」です。行政機関の長は、情報を取り扱う本人の同意を得た上で、内閣総理大臣による調査結果に基づき、情報漏洩のおそれがないかどうかの評価(適性評価)を実施します。この適性評価の有効期間は10年であり、既に他の行政機関で適性評価を受けている場合は、直近の調査結果に基づいて評価を行うことが可能です。
この制度は、重要経済安保情報を取り扱う適合事業者の従業者にも同様の調査・評価を定めています。適性評価の調査内容は、重要経済基盤毀損活動との関係、犯罪および懲戒の経歴、情報の取扱いに係る非違の経歴、薬物の濫用および影響、精神疾患、飲酒についての節度、信用状態その他の経済的な状況の7つの事項にわたります。
本制度の目的は、経済活動に関して行われる国家および国民の安全を害する行為の未然防止の重要性が増大している現状に鑑み、重要経済基盤に関する情報を適切に保護する体制を確立した上で収集・整理・活用し、その漏洩防止を図り、日本および国民の安全の確保に資することです。情報の漏洩や不正取得に対しては、罰則が設けられています。
法律の目的と詳細
本法律の目的は、国際情勢の複雑化や社会経済構造の変化に伴い、経済活動に関して行われる国家および国民の安全を害する行為を未然に防止することの重要性が増大している中で、日本の安全保障を確保するために特に秘匿が必要な重要経済基盤に関する情報を適切に保護し、活用することにあります。これには、重要経済安保情報の指定、安全保障の確保に資する活動を行う事業者への情報提供、情報の取扱者の制限、その他の必要な事項を定めることで、漏洩の防止を図り、日本および国民の安全の確保に資することが含まれます。ポイントは「保護」するだけでなく「活用」することも目的となっていることです。
「重要経済安保情報」は、行政機関の長が、当該行政機関の所掌事務に係る重要経済基盤保護情報であって、公になっていないもののうち、その漏洩が日本の安全保障に支障を与えるおそれがあるため、特に秘匿する必要があるものとして指定します。ただし、特別防衛秘密および特定秘密に該当する情報は除かれます。
「重要経済基盤」とは、国民生活または経済活動の基盤となる公共的役務の提供体制、または国民の生存に必要不可欠な重要な物資(プログラムを含む)の供給網を指します。重要経済基盤保護情報には、外部からの行為から重要経済基盤を保護するための措置や計画・研究、重要経済基盤の脆弱性や革新的な技術に関する安全保障上の情報、外国政府または国際機関からの情報、そしてこれらの情報の収集整理能力またはその能力に関する事項が含まれます。
重要経済安保情報の取扱者は厳しく制限されており、原則として、適性評価により漏洩のおそれがないと認められた者(10年以内に評価を受けた者)に限定されます。また、特定秘密保護法に基づく適性評価で特定秘密の取扱いの適性が認められた者は、5年間に限り、本制度の適性評価を受けずに重要経済安保情報の取扱い業務を行うことができます。
適性評価は、重要経済安保情報の取扱い業務を行うことが見込まれる行政機関の職員または適合事業者の従業者について、行政機関の長が実施します。調査は、評価対象者の同意を得た上で、原則として内閣総理大臣が一元的に行い、その結果を行政機関の長に通知します。調査内容は、重要経済基盤毀損活動との関係、犯罪および懲戒の経歴、情報の取扱いに係る非違の経歴、薬物の濫用および影響、精神疾患、飲酒についての節度、信用状態その他の経済的な状況の7項目です。
適合事業者への重要経済安保情報の提供は、日本の安全保障の確保に資する活動の促進を図るために、必要な施設設備を設置している等の基準に適合する事業者との契約に基づき行われます。適性評価の結果は、評価対象者本人、内閣総理大臣、および適合事業者に通知されます。
評価対象者は、適性評価の結果について苦情を申し出ることができ、苦情を理由とする不利益な取扱いを受けることはありません。また、適性評価の結果や調査で取得した個人情報は、重要経済安保情報の保護以外の目的で利用または提供することが禁止されています。
行政機関の運用ガイドライン
「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」では、行政機関が重要経済安保情報の指定、保護、適性評価、適合事業者認定を適切に運用するための具体的な指針を提供しています。
重要経済安保情報の指定に関して、行政機関の長は、重要経済基盤保護情報該当性、非公知性、秘匿の必要性の3要件を厳格に判断し、指定を行います。指定の対象となる情報の範囲は、文書、図画、電磁的記録、物件など、記録媒体の異同にかかわらず、客観的に同一性があるもの全てに及びます。非公知性の判断は、現に不特定多数の者に知られていないか否かにより行われます。
適性評価は、重要経済安保情報の取扱い業務を行う行政機関の職員および適合事業者の従業者について実施されます。評価対象者は、新たに業務を行う者、10年経過後も業務を続ける見込みの者、または漏洩の疑いを生じさせる事情がある者です。特定秘密保護法の適性評価認定者は5年間、本制度の適性評価を要しません。
個人情報等の管理に関しては、適性評価に関する個人情報は個人情報保護法に基づき適切に管理され、目的外利用は禁止されています。適性評価の結果や個人情報を、解雇、減給、降格、懲戒処分、不利益な配置変更などの人事考課に用いることはできません。
適合事業者の認定は、「日本の安全保障の確保に資する活動の促進を図るため、特定の事業者に重要経済安保情報を利用させる必要がある」と判断された場合に選定されます。認定審査では、「株主や役員の状況における外国の所有・支配・影響の有無」、「保護責任者や業務管理者の適切な知識と職責」、「従業者への情報保護教育の内容と継続性」、「情報保護のための施設設備の機能と構造および立入・持込制限の有効性」の4つの考慮要素が総合的に判断されます。
適合事業者の運用ガイドライン
「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」では、適合事業者として認定されるために必要な準備事項、および認定後に重要経済安保情報を取り扱う上での具体的な補足事項を詳述しています。
適合事業者認定は、行政機関が特定の事業者に重要経済安保情報を利用させる必要性を判断した場合にのみ行われ、「Need to Know」の原則が満たされない事業者には認定がなされません。認定申請に際しては、事業者は、規程の策定とそれに従った情報保護の実現という基準を満たすため、内部体制を確立する必要があります。行政機関は、「株主や役員の状況に照らした外国の所有、支配または影響の有無」、「保護責任者および業務管理者が業務を適切に行うための必要な知識を有し、その職責を全うできる地位にあるか」、「従業者への情報保護教育の内容が、必要な知識を的確に習得できる内容で、適切な頻度で継続的に実施されることとなっているか」、「情報保護のために設置される施設設備が、必要な機能と構造を有し、立入りの制限や持込みの制限に関して有効か」の4つの考慮要素に基づいて認定審査を行います。
適性評価の実施は、適合事業者認定後、重要経済安保情報の取扱いが見込まれる従業者に対して行われます。適合事業者は、適性評価結果や個人情報を適切に管理し、重要経済安保情報の保護以外の目的で利用または提供することが禁止されています。適合事業者における重要経済安保情報の取扱いには、取扱者の制限、情報保護措置、運搬、閲覧、伝達、作成の方法が細かく定められています。事後の事情変更の報告義務も課せられています。
適合事業者が負う秘密保持義務の有効期間は、情報受領時から重要経済安保情報の指定の有効期間が満了または解除されるまでであり、契約終了後も有効です。情報漏洩があった場合、有効期間経過後3年間は違約金請求が可能であり、関連資料を保存する必要があります。契約違反や適合事業者としての要件不適合が認められた場合、行政機関は契約を直ちに解除し、提供された重要経済安保情報文書等の返却を求めることができます。
統一的運用基準
「重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準」も詳細に規定されています。法の適切な施行と統一的運用を確保するための政府の措置や遵守事項を定めています。
法の運用における基本的な考え方として、法の各規定を拡張解釈せず厳格に適用すること、特に情報の指定は必要最小限かつ必要最低限の期間に限定することが強調されています。また、憲法に規定する基本的人権を不当に侵害しないこと、特に適性評価に当たってはプライバシーの保護に十分配慮すること、そして国民の知る権利および報道・取材の自由を十分に尊重することが求められています。
重要経済安保情報の指定においては、行政機関の長が、「重要経済基盤保護情報該当性」、「非公知性」、「秘匿の必要性」の3要件に基づいて厳格に判断します。指定の際には、行政機関の長は適切な有効期間を設定し、指定の理由、有効期間、解除条件を記載した重要経済安保情報指定書を作成し、重要経済安保情報管理者が指定管理簿を作成・管理します。
適性評価は、評価対象者本人の同意を前提とし、内閣総理大臣による一元的な調査の結果に基づいて各行政機関の長が実施します。調査事項は、「重要経済基盤毀損活動との関係」、「犯罪および懲戒の経歴」、「情報の取扱いに係る非違の経歴」、「薬物の濫用および影響」、「精神疾患」、「飲酒についての節度」、「信用状態その他の経済的な状況」の7項目です。評価は、内閣府の調査結果を基に、「情報を適正に管理できるか」、「規範を遵守できるか」、「職務に誠実か」、「情報を自ら漏らす活動に関わらないか」、「自己を律せるか」、「働きかけに応じるおそれが低いか」、「職務に必要な注意力を有しているか」といった7つの視点から、個別具体的な事情を総合的に判断します。個人情報の目的外利用は禁止されており、解雇、減給、降格、懲戒処分、不利益な配置変更などのために適性評価の結果を用いることは明確に禁じられています。
適合事業者の認定に関しては、行政機関の長が、安全保障確保に資する活動促進のために特定の事業者に情報提供が必要と判断した場合、その事業者を適合事業者として認定します。認定審査では、株主・役員の外国による所有・支配・影響の有無、保護責任者・業務管理者の知識・職責、情報保護教育、施設設備の機能と立入・持込制限の有効性が考慮要素となります。
セキュリティ・クリアランスの概念と必要性
セキュリティ・クリアランスという概念、その日本における制度、そして諸外国における運用状況についても概説されています。
セキュリティ・クリアランスとは、国家における情報保全措置の一環であり、政府が保有する安全保障上重要な情報を指定し、その情報にアクセスする必要がある者のうち、情報を漏洩するおそれがないという信頼性を政府の調査を通じて確認した者の中で取り扱う制度です。日本では、このセキュリティ・クリアランス制度を規定する法律として、特定秘密保護法と重要経済安保情報保護活用法が存在します。
セキュリティ・クリアランス制度の必要性は、安全保障の概念が防衛・外交といった従来の領域から、経済・技術分野へと拡大していることに起因します。この変化に対応するため、情報漏洩のリスクに万全を期し、日本の情報保全を強化することが不可欠とされています。この制度は、経済・技術分野における同盟国・同志国との国際協力の円滑化を可能にし、また、経済活動の主要な担い手である民間事業者との官民情報共有の仕組みを確立する上でも重要とされています。
諸外国におけるセキュリティ・クリアランス制度では、機密性の度合いに応じて「Top Secret」「Secret」「Confidential」といった情報区分が設けられ、情報が漏洩した場合に生じうる損害の深刻度に基づいて分類されます。事業者に対するクリアランス(施設クリアランス)の付与に際しては、施設や設備に関する物理的管理要件だけでなく、組織的要件として当該事業者の株主構成や役員構成(Foreign Ownership, Control or Influence: FOCI)も確認されます。
適性評価と適合事業者の認定フロー
個人に対するクリアランス(適性評価)と事業者に対するクリアランス(適合事業者の認定)という二種類のセキュリティ・クリアランスについて、その実施フローと評価の考慮要素も示されています。
適性評価(個人に対するクリアランス)は、評価対象者本人の同意を前提として、内閣総理大臣による一元的な調査結果に基づき、各行政機関の長が実施します。適性評価の実施にあたっては、基本的人権の尊重、プライバシーの保護が重視され、法に定める7つの調査事項以外の調査は禁止されます。また、評価結果の目的外利用も禁止されています。
適性評価の具体的な流れは、情報管理者が評価対象者の名簿を作成し、適性評価実施担当者が評価対象者に告知書を交付して同意を確認することから始まります。内閣府の調査担当者は、質問票、面接、関係者への質問、人事管理情報での確認、公務所・公私の団体への照会を通じて必要な調査を実施し、その結果を行政機関の長に回答します。評価は、行政機関の長が内閣府の調査結果を基に、情報を適正に管理できるか、規範を遵守して行動できるか、職務に対し、誠実に取り組めるか、情報を自ら漏らすような活動に関わらないか、自己を律して行動できるか、情報を漏らすよう働きかけを受けた場合に、これに応じるおそれが低い状態か、職務の遂行に必要な注意力を有しているかの7つの視点から、評価対象者の個別具体的な事情を十分に考慮して総合的に判断します。
適合事業者の認定(適合事業者に対するクリアランス)は、行政機関が特定の事業者に重要経済安保情報を利用させる必要性を判断することから始まります。「Need to Know」の原則が満たされない事業者には認定は行われません。適合事業者の認定審査では、「株主や役員の状況に照らして、当該事業者の意思決定に関して外国の所有、支配または影響がないと認められるかどうか」、「保護責任者または業務管理者として指名される者が、業務を適切に行うための必要な知識を有し、その職責を全うできる地位にあるかどうか」、「重要経済安保情報の保護に関する教育内容が、従業者が必要な知識を的確に習得できる内容となっており、適切な頻度で継続的に実施されることとなっているか」、「重要経済安保情報の保護のために設置される施設設備が、情報を保護するための必要な機能及び構造を有し、立入りの制限や持込みの制限に関して有効な機能及び構造を有しているか」の4つの考慮要素が総合的に判断されます。
おわりに
今回、『重要経済安保情報保護活用法』とその関連資料について読み解く中で、複雑な法制度の構造と、それが日本の経済安全保障にいかに貢献するかについて理解を深めることができました。
特に、AI関連技術の発展が加速する現代において、経済と安全保障の境界が曖昧になる中で、情報の適切な保護と活用がいかに重要であるかを再認識しました。この法律が、技術革新を阻害することなく、むしろ健全な発展を促し、国際社会における日本の信頼性向上に寄与するものであることを期待します。
また、適性評価における個人のプライバシー保護と、情報保全の必要性との間の均衡を図るための厳格な運用基準の重要性も、今回の分析を通じて改めて認識しました。適合事業者の認定基準や情報管理に関する詳細な指針は、実務における具体的な課題に対応するための実践的な知識として、今後の情報管理のあり方を考える上で不可欠なものとなります。
今後の情報社会において、このような法律がどのように運用され機能し、進化していくのかを継続して注視し、その動向を追いかけていきたいと思います。
