企業がいま真剣に検討すべき国際情勢リスクとは(イメージ:写真AC)

企業が直面する経済安全保障環境の変化

激変する周辺環境の影響を受け、企業活動のリスクとして真剣に向き合うべき事項をいくつか簡単にお示ししたい。

まずは広義の「セキュリティ・クリアランス」であろう。広義としているのは、狭義の意味と明確に対処を分ける必要があるからだ。

広い意味での「セキュリティ・クリアランス」が求められる(イメージ:写真AC)

本来のセキュリティ・クリアランス(狭義)とは、国家の機密情報の取り扱いを認める有資格者の認定制度であり、民間企業が当該事業に関わる際、有資格者にのみ閉ざされた情報の取り扱いが可能になる。例えば米国の機密情報に関わる事業に参画するためには、セキュリティ・クリアランスの有資格者による情報管理体制がなければならない。

この認定には当人のみならず、家族を含めたバックグランドのチェックとして、特定の有害活動やテロとの関係、犯罪歴、精神疾患や薬物・飲酒に対する節度、経済的な状況に至るまで確認される。当然ながら本人同意のもとで確認されるのが原則であり、判定自体は個々の企業が行える範疇ではなく、国家・政府として公平な基準で行う必要がある。当たり前だが、個々の企業の独自基準での判定は通用しないのである。

近年、この国家機密情報に関わる事業の範囲は拡大傾向にある。昨今の技術発展の現実を踏まえると、半導体やAI、暗号化、セキュリティなどのシステム技術等、相当広い範囲で対応が必要になる可能性が高い。

日本でこの対象となる法制度は、現時点では特定秘密保護法であるが、対象が国家公務員に限られており、今後、民間企業も含めた法制度と運用体制の拡大が急務である。それができないと、国際連携の開発事業などに民間企業が参画できなくなってくる。

企業としては、それらの事業に従事する従業員本人の同意確認、公共の認定を受けた有資格者に対する処遇、本人の意思と反し認定が受けられなかった場合の組織人事的対応、該当組織のセキュリティ管理を含めた維持運営など、課題は山積であろう。

そして広義の意味では、米国でいうところのCUI(Controlled Unclassified Information)管理された格付け情報に関わる情報保全制度への対応も、現実のビジネスシーンでは起き得る。本来これはセキュリティ・クリアランスとは呼ばないが、同様の機密保護管理が求められるので、ここでは広義の意味として考える。

広義の「セキュリティ・クリアランス」対応人員の確保、それにともなう情報管理体制の整備など、相当ハードルが高い(イメージ:写真AC)

これは個々の事業において、その情報機密レベルに応じた対応を相互に要求される可能性があり、その範囲は広がるだろう。企業では自社事業の市場環境、取引先企業の意向なども見極め、それぞれに必要なレベルを見極め、適応した維持運営・情報管理体制強化と、その事業に対応する人員の独自基準でのセキュリティ・クリアランスが必要になるだろう。

これらは事業視点で必要に迫られる企業も少なくないだろうが、その整備は簡単ではない。なかでも、従業員の機微情報にまで至る個人情報管理、それによる差別等を防止する観点で、相当にハードルが高いだろう。