日本では、経済安全保障推進法が2022年5月に成立し、情報セキュリティに対しての意識が高まりつつあります。
セキュリティ対策を進める中で、セキュリティクリアランスという言葉を耳にして、どのようなものか分からないという人も多いでしょう。
セキュリティクリアランスとは何か、解説します。
セキュリティクリアランスとは?
セキュリティクリアランスは、適格性を審査して政府の認定を受ける制度です。
公的機関ならびに関連の民間企業では機密情報を扱うことになるため、職員を採用するにあたって審査を行う必要があるのです。
国で扱う情報には、最先端技術などの重要な情報もあるため、アクセスできる職員を厳選して機密情報が漏洩、流出することを防いでいます。
アクセス資格を得るには、認定が必要となるのです。
セキュリティクリアランスは、米国ではすでに法制化されていて、韓国やドイツ、フランスでも導入されています。
日本の経済安全保障推進法では取り上げられなかったものの、国際共同研究・開発では制度があるかを確認されることもあります。
セキュリティクリアランスには、3つの機能があります。
1つ目が情報指定で、政府が保有している情報の中で安全保障上重要と判断されるものを指定する機能があります。
2つ目は政府による認定で、政府が機密に該当する情報へとアクセスする必要性を認める人物の信頼性を確認した上で、認定するという機能です。
アクセスの必要性がない人物や、信頼性に疑いがある人物は認可されません。
3つ目は特別の情報管理ルールで、セキュリティクリアランス保持者がもしも情報を漏洩した場合はどうするか、というルールです。
情報漏洩時は、厳罰を受ける可能性もあります。
セキュリティクリアランスと混同されやすいものに、特定秘密保護法があります。
2013年2月に成立していて、「特定秘密」として指定されている情報を扱う職員の調査を行い、情報漏洩を防ぐことを目的とした制度です。
「特定秘密」は、衛星写真や潜水艦の潜航可能深度、暗号などです。
機密情報漏洩を防止するセキュリティクリアランスと似ていますが、対象となる職員は特定秘密保護法の方が少ないという違いがあります。
また、対象となる情報も、特定秘密保護法の方が限られています。
なぜセキュリティクリアランスが必要かというと、政府や企業が持つ安全保障に関わる情報が流出してしまうと、安全保障に深刻な影響が生じるからです。
実際に、日本の企業でも機密情報が内部の人間によって流出してしまった事例もあります。
基幹インフラなどは、設計図や運用マニュアルが漏洩してしまうと、テロによるリスクが高くなってしまいます。
そして現在特に重視されているのは、最先端テクノロジーであるAIや量子技術の漏洩です。
民間でも開発が進められている技術ですが、軍事利用も可能なので国外に流出した場合は安全保障において大きなリスクとなってしまいます。
安全性を高めるために、セキュリティクリアランスによって情報にアクセスできる人物を限定しているのです。
ビジネスにどう影響する?
セキュリティクリアランスは、ビジネスにも大きく影響します。
数年前に、国内企業が中国企業へと液晶技術を漏洩した事件が発生したのですが、セキュリティクリアランスを取り入れると同様の機密情報の漏洩を防止できます。
セキュリティクリアランスで行われる適格性審査によって、機密情報を取り扱う資格がある人物かどうかを判断することが可能となります。
適正に問題がある場合は、最初から機密情報には触れさせないように配置できます。
情報は、信頼できる従業員だけが管理できる環境を整えることで、情報漏洩のリスクを抑えることができます。
社員全てを信頼できる企業は理想的ですが、現実には難しいのです。
米国をはじめとした海外では、セキュリティクリアランスを法制化しているところもあります。
セキュリティクリアランスに厳格な国の企業と共同開発をする場合は、同程度のセキュリティ対策や制度を求められることもあります。
日本のセキュリティクリアランスはまだ法制化されていないからと言って対策をしていないと、情報共有をすることでリスクを負うことになると判断されて、共同開発を断られてしまう可能性も十分にあります。
既に、セキュリティクリアランスの資格がないため海外企業とのビジネスチャンスを逃している例もあります。
また、資格がないことで開示される情報が制限されている例もあります。
セキュリティクリアランスがないことで、ビジネス上では不利益が生じているのです。
ビジネスへの影響を少なくするためには、セキュリティクリアランスの法制化が求められます。
法制度がすぐに整うわけではないので、整うまでの間は企業が独自にセキュリティ対策を講じなくてはいけません。
企業ができるセキュリティ対策には、何があるでしょうか?
まず、人為的ミスによる情報漏洩を防ぐために、セキュリティ研修を実施しましょう。
重要な情報を保護できるよう、情報漏洩に至った経緯や情報を保護するという意識、万が一の場合の対処法などを学んで、人為的な情報漏洩を防ぎましょう。
また、ファイアウォールを導入する必要もあります。
ファイアウォールは、不正アクセスからガードするソフトウェアやハードウェアです。
企業の方針に合わせて設定できるので、社外からの許可がない通信を遮断することもできます。
不正アクセスによる情報漏洩や紛失は、2018年以降増加しつつあります。
ファイアウォールを導入すれば、社内ネットワークを保護して不正ログインや情報窃盗、改ざんを防ぐことができます。
MDMという、モバイルデバイス管理ソフトウェアを導入することも効果的です。
スマートフォンやタブレットのようなモバイル端末を一元的に管理して運用でき、遠隔ロックやリモートワイプも可能となります。
まとめ
機密情報を扱う立場には、情報を扱う適性があるかどうかの審査を受けるセキュリティクリアランスによって認定を受けてから立つべきでしょう。
まだ法制化はされていないのですが、米国をはじめとした諸外国の動きを見ると日本でも近い将来法制化される可能性が高いと推察されます。
法制化されるまでの間は、企業が独自にセキュリティ対策を行って、自社の情報漏洩を防ぐようにしてください。