ID INFORMATION DEVELOPMENT
お問い合わせ
ソリューション トップ
システム開発
マネージドサービス(運用・保守)
サイバーセキュリティ
OT/産業制御系セキュリティ
ID-Ashura/セキュリティサービス
ID-Cross/クラウドサービス
業務改革
導入事例 トップ
業務改革
サイバーセキュリティ
システム環境構築
IT運用/マネージドサービス
コラム
お役立ち資料ダウンロード
イベント・セミナー トップ
近日開催予定
オンデマンド配信
会社情報 トップ
会社概要
社長からのごあいさつ
沿革
経営理念
役員一覧
コーポレートガバナンス
フェロー紹介
電子公告
IDグループ トップ
株式会社IDホールディングス
株式会社IDデータセンターマネジメント
株式会社DXコンサルティング
株式会社 プライド
株式会社 ID AI Factory
愛ファクトリー株式会社
ID武漢
IDシンガポール
IDアメリカ
IDミャンマー
IDヨーロッパ

KNOWLEDGE - COLUMN ナレッジ - コラム

セキュリティ・クリアランスとは?なぜ今必要なのか

2024-02-01

セキュリティマネジメント ナレッジコラム

コラムイメージ

関連するソリューション

サイバーセキュリティ

ID-Ashura/セキュリティサービス

IDアメリカ
ハムザ・アフメッド顔写真

こんにちは、IDアメリカのハムザ・アフメッドです。

アメリカ映画に興味のある方なら、『ミッション・インポッシブル』や『アイアンマン』など、軍や政府をテーマにした様々な映画で、以下のスタンプに見覚えがあるかもしれません。ただし、これらのスタンプは純粋に映画的効果を狙ったものであり、実際には使われていません。

TOP SECRETスタンプ
しかし、機密文書は現実に存在しており、それらにアクセスするには「セキュリティ・クリアランス」として知られる概念によって決定される承認が必要です。米国をはじめとする欧米諸国では、セキュリティ・クリアランスが情報のセキュリティ・レベルを定義し、それにアクセスできる個人を認可する基準となっています。
 
日本は現在、セキュリティ・クリアランスの基準を遵守していないですが、政府内では、自国の政府と軍隊にこの基準を採用することについて議論が続いています。
 
この記事では、セキュリティ・クリアランスの複雑さを掘り下げ、日本政府がその採用を検討している理由を探り、現状を紹介したいと思います。

セキュリティ・クリアランスとは

セキュリティ・クリアランスの起源

セキュリティ・クリアランスの概念は、1911年に制定された国防機密法にルーツがあります。この法律は、米国政府内でスパイ行為が数件発生したことを受けて制定されたもので、それまでは犯罪者を起訴するための正式なメカニズムが欠如していました。国防上の懸念に対処するために制定されたこの法律は、国防に関わる情報の不正な入手や伝達を犯罪としました。
 
1972年、国防防諜安全保障局(DCSA)が設立され、プロセス全体が合理化されました。この機関は、クリアランス申請者の審査基準を定めること、および審査のための申請者の徹底的な身元調査を目的としており、このDCSAが定めた枠組みが、今日のセキュリティ・クリアランス・プロセスの骨格となっています。

セキュリティ・クリアランスとは

セキュリティ・クリアランスとは、機密情報にアクセスできる資格です。この資格を得るには、関連部署または外部の第三者調査機関による綿密な審査プロセスを経る必要があります。
 
重要なことは、クリアランスを取得したからといって、すべての機密情報に無制限にアクセスできるようになるわけではないということです。「知る必要性」の原則がこの分類の根幹をなしており、情報が正当な必要性を有する個人とのみ選択的に共有されることを保証しています。

セキュリティ・クリアランスの取得プロセス

米国では、外交安全保障局(DSS)が国務省およびその他の連邦機関の人事安全保障のための身元調査を担当しています。
 
審査の典型的な手順を以下に概説します:
クリアランスを得るには、条件付き採用通知を受け取り、他の必要書類とともに関連書類を採用担当部署に提出します。
 
  • 採用オフィスは、質問書とその他の必要書類で構成されるセキュリティパッケージを審査し、DSSに転送します。
  • DSSはセキュリティパッケージを確認した後、正式に身元調査を開始します。
  • DSSは民間および政府のデータベースに対して記録と指紋の照合を行います。
  • DSSは、候補者の過去および最近の履歴から重要な情報や出来事を確認し、裏付けを取ります。候補者と直接面談することも可能です。
  • 調査終了後、DSSは国家安全保障審査ガイドラインに基づいて候補者の国家安全保障上の適格性を決定します。
  • 国家安全保障上の適格性が決定されると、DSSは適切な雇用当局に連絡します。

審査プロセスは非常に重要ですが、時間がかかります。現在米国では、トップ・シークレットの審査プロセスの平均期間は約121日(3カ月)ですが、特筆すべき点は、2017年時点では、平均543日(ほぼ1年半)を超えていたということです。処理時間の大幅な短縮は、政策の変更、技術の進歩、関連部署に割り当てられたリソースの増加に起因するようです。
 
しかし、たとえ3ヵ月であっても、この手続きにかかる期間は、雇用を求める個人にとって依然として難題であり、多くの求職者にとって入職の障壁となりえます。

各国のセキュリティ・クリアランスの分類

セキュリティ・クリアランス・プロセスは、機密情報へのアクセスを管理する手段として、世界各国で採用されています。政府は、こうした情報にアクセスできる個人が信頼に足る人物であり、そのアクセスに正当な必要性があることを確認するために、こうしたプロセスを導入しています。
 
以下は、ファイブ・アイズ同盟内の他国のセキュリティ・クリアランスの分類です:
 
  • 米国: 米国には広範なセキュリティ・クリアランス制度があります。政府、防衛、諜報、および関連部門で働く個人は、クラシファイド、シークレット、トップ・シークレットなど、さまざまなレベルのクリアランスを取得するために身元調査を受けます。

  • イギリス: イギリスでは、特に防衛・情報機関において、セキュリティ・クリアランス・プロセスを利用しています。クリアランス・レベルには、テロ対策チェック(CTC)、セキュリティ・チェック(SC)、発展型審査(DV)などがあります。

  • カナダ:カナダ政府は、機密情報へのアクセスを管理するためにセキュリティ・クリアランス手続きを採用しています。カナダのクリアランス・レベルには、信頼性向上クリアランス(ERC)、シークレット、トップ・シークレットがあります。

  • オーストラリア:オーストラリア政府は、国家安全保障業務に従事する個人を対象に、セキュリティ・クリアランス手続きを実施しています。クリアランス・レベルには、ベースライン、ネガティブ審査レベル1(NV1)、ネガティブ審査レベル2(NV2)、ポジティブ審査(PV)があります。

  • ニュージーランド:プロセスはニュージーランド・セキュリティ・インテリジェンス・サービス(NZSIS)によって管理されています。クリアランス・レベルには、インコンフィデンス、リストリクテッド、シークレット、トップ・シークレットがあります。

これらの国々は、様々なレベルの認可を説明するために異なる用語を使用していますが、全体的な枠組みは非常に類似しています。枠組みの多くの部分は、共通の原則に由来しており、ファイブ・アイズ同盟内の緊密な情報共有パートナーシップによる意図的な連携を反映しています。
 
これらの国の間でセキュリティ・クリアランスの枠組みが類似していることは、ファイブ・アイズ同盟の文脈の中で効果的な協力と情報共有を促進します。

日本におけるセキュリティ・クリアランス

日本における情報セキュリティ体制

日本には、情報を分類するための独自のシステムがあり、「ファイブ・アイズ」諸国が使用する枠組みとは異なります。2013年に制定された特定秘密保護法(SDS法)において、日本における国家安全保障情報の主な取り扱い方法が定められています。
 
この制度には「秘密」や「極秘」といった分類があり、分類の具体的な内容は日本の法令で定められています。2013年、公務員のクリアランス制度として特定秘密保護法が導入されました。
 
この法律では、公務員や下請け企業の従業員は、犯罪歴や懲戒歴、薬物やアルコールの使用歴、精神的健康状態など過去の活動内容や、交友関係(親族や同居人に限る)などを照会されます。米国の機密情報開示制度と同様、故意に違反した場合は5年以下の懲役、過失の場合は1年以下の懲役または30万円の罰金が科せられます。
 
この法的枠組みは、機密情報を保護し、日本の国家安全保障を維持することを目的としています。

SDSの限界

日本におけるSDSは、セキュリティ・クリアランス制度と似ているように見えるかもしれませんが、その有効性に関しては限界があり、政府関係者に懸念を抱かせています。
 
2023年には、59歳の男性がフッ素化合物に関する機密情報を中国企業に電子メールで送信したとして起訴された事件があり、SDSの限界が見える事件でした。現行の安全保障法は主に国家機密の保護に重点を置いており、民間企業の技術の保護には及びません。
 
2020年に起きた別の事件では、ソフトバンクの元従業員が在日ロシア通商代表部の高官に企業秘密を開示しました。
参考:ウィキペディア ソフトバンク社員による機密情報のロシアへの提供事件
 
また、積水化学の元社員が、ビジネス向けSNSを通じて中国企業にスマートフォンの技術を公開した事件もありました。
参考:朝日新聞デジタル 中国企業に情報漏らした疑い 積水化学元社員を書類送検
 
このような特殊な状況に対処するために調整されたスパイ活動法が存在しないため、上記のようなケースで個人を起訴することは困難です。このため、諸外国政府は日本が「スパイ天国」であると非難しており、2020年には、公表された事例はより大きな問題のほんの一部に過ぎないとの懸念が広がっていました。

民間企業の技術が国家安全保障の領域から排除されるだけでなく、現在のSCSの実施にはさらなる制限があります。この制度は、公務員(政府職員や請負業者)など限られた個人にのみセキュリティ・クリアランスの取得を義務付けています。
 
審査プロセスは甘いと認識されており、出生地や出身国といった要素は考慮されていません。この寛容さによって、移住して市民権を取得し、さまざまな役職を経てきた外国人が、もはや外国での出自に基づいて認識されなくなることがリスクにつながってしまいます。
 
こうした制限は、進化する脅威や課題に対処するための、より包括的で適応可能な安全保障の枠組みの必要性を強調しています。

セキュリティログイン画面

日本でのセキュリティ・クリアランス導入の利点

日本は、国家安全保障にとどまらない様々な利益を実現することを目的として、政府関係者、請負業者、そして潜在的な研究者に機密情報へのアクセスを許可する安全保障分類システム(SCS)を積極的に推進しています。

【国家安全保障の保護】
  • 技術盗難防止:セキュリティ・クリアランスは、特にデュアルユースの新興技術をめぐる世界的な競争が激化する中、技術窃盗に対する追加の保護層として機能します。この措置は、明文化はされていないものの、戦略的分野で競合他社を欺き、凌ぎを削ることで知られる中国のような国による技術窃盗に対抗することを主な目的としています。

  • 高技能人材の管理:日本が世界的に高スキルの人材を引き寄せるにつれ、スパイ活動、知的財産の窃盗、情報漏洩のリスクが高まります。セキュリティ・クリアランスは、最先端技術へのアクセスを信頼できる個人に限定することで、こうしたリスクを効果的に軽減することができるかもしれません。

【グローバル・コラボレーション】
  • 協力の強化: セキュリティ・クリアランスは、世界各国との協力を促進します。今回の制度改正は、日本企業を通じた技術流出への懸念から生じる協力の障壁を克服することを目的としています。外国政府やパートナーはしばしばセキュリティ・クリアランスを必要とし、それがないために日本企業が自国にとって有益なプロジェクトに参加する妨げになるケースもいくつかあったようです。

  • イノベーションの促進: セキュリティ・クリアランスがないと、機密情報へのアクセスが制限され、イノベーションが阻害されます。防衛のような分野では、指定された企業しか防衛技術にアクセスできないが、
    SCSが導入されれば、貢献者の幅が広がり、日本の経済力、軍事力、政治力に貢献する新技術の開発が促進されます。
 
日本におけるセキュリティ・クリアランスの導入は、国益を守るためだけでなく、グローバルな舞台での協力、イノベーション、経済成長を促進するための戦略的な動きとして構想されています。

セキュリティ・クリアランス導入の課題

セキュリティ・クリアランス導入の話は今回が初めてではありません。2008年にはすでに政府内で欧米のセキュリティ・クリアランス制度の採用を検討する議論がありましたが、採用には多くの問題があり、2013年にSCSとして改訂されました。今回政府がセキュリティ・クリアランスの導入を検討する中で、同じ問題が再び持ち上げられています。

【プライバシー】
  • 侵襲的な質問に対する懸念:プライバシーは、基本的人権を侵害しかねない侵襲的な質問に反対する批評家によって提起された主要な懸念です。確かに特定秘密保護法(SDS)には基本的人権の不当な侵害を防止する規定がありますが、この規定の解釈は曖昧なままであり、侵入的な質問に対する保護は最小限です。しかし、反対派の反発を招く可能性もあります。

【審査プロセス】
  • 処理時間と量: 改善されたとはいえ、米国での申請処理期間は最速で約3ヶ月かかります。日本がセキュリティ・クリアランス措置を導入する場合、多数の個人を迅速に審査する必要があります。この審査プロセスを誰が行うかを決めることは、日本では官民協力会議が行うべきか内閣情報調査室が行うべきかという議論もあり、もう一段複雑さを増しています。

  • プロセスの合理化: 効率的なプロセスを確立することは、特に、個人に関するデータを収集する際に、そのような審査に必要な考慮事項が統合されていなかったことを考えると困難です。プロセスの合理化には、個人データの収集・保存方法のあらゆるレベルでの変更が必要となる可能性があり、個人情報保護法などのプライバシー規制に抵触する可能性もあります。

【予算編成】
  • コストの考慮:米国での審査プロセスには、一人当たり約10万ドル(1500万円ほど)のコストがかかる可能性があり、国防総省(DOD)では年間約3万8000人を処理しているため、年間コストは3800万ドル(50億円以上)を超えます。米国では、予算の制約から、前職ですでにクリアランスを取得していることを条件とする部局が多いです。日本における緊縮された予算シナリオは、大規模な導入を困難にする可能性があります。

日本におけるセキュリティ・クリアランスの実施に伴う課題には、プライバシーへの配慮、審査プロセスの複雑さ、予算の制約などがあります。これらの課題に対処するためには、慎重な計画、法的な考慮、国家安全保障上の要請と個人の権利のバランスをとることが必要になります。

現在の状況

15年前の課題は現在も存在し続けていますが、2008年とは明らかに状況が異なります。日本は米中間の経済的緊張の渦中にあり、北朝鮮の根強い脅威に直面し、ロシアに対する懸念を表明しています。このような地政学的な課題を考えると、日本の安全保障体制を見直すことは、この時期、極めて重要なことかもしれません。
 
現在、こうした懸念に対処するための取り組みが進行中です。政府の有識者会議は2023年3月に2回目の会合を開き、安全保障上のクリアランスに関する課題について審議しました。
 
同時に、自民党はSCSの早期実現を提言する案を作成中であると報じられています。
 
2024年末までにSCSを設置するとの野心は2023年9月に発表されており、日本の迅速な実施へのコミットメントを示しています。

最後に

インターネットによって相互接続が促進された現在の世界は、かつてないほどのつながりが存在しています。
 
しかし、この接続性の時代は、世界的な格差の拡大を伴っています。二極化がより顕著になるにつれ、安全と安心を確保しつつ、この接続性を活用する方策を確立することが急務となっています。
 
特に技術革新の最先端にいる企業にとっては、セキュリティ態勢を見直す好機です。現在のグローバルな状況においてセキュリティ体制を再評価することは、単に保護するだけでなく、コラボレーションと成長を可能にすることへつながります。技術の進歩とセキュリティが両立する環境において、企業が成功するための位置づけとなるでしょう。



当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エンジニアによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。

メルマガ登録ボタン

ハムザ・アフメッド

IDアメリカ

この執筆者の記事一覧

関連するソリューション

サイバーセキュリティ

ID-Ashura/セキュリティサービス

関連するナレッジ・コラム

関係組織の協力が不可欠!サプライチェーン攻撃対策

2024-04-25

セキュリティマネジメント 脅威・脆弱性情報 ナレッジコラム

レストラン業界 ITトレンドレビュー2024年

2024-04-11

ナレッジコラム ITニュース

重要経済安保情報の保護及び活用に関する法律案 -日本を守るセキュリティクリアランス

2024-04-04

セキュリティマネジメント ナレッジコラム ITニュース

CATEGORY

カテゴリー

RANKING

人気記事ランキング

  1. 生成AIのトレンド「LLM+RAG」を解説

    2024/2/29 9:00

  2. 使える!データ収集術「ウェブスクレイピング」を伝授します

    2022/11/10 9:00

  3. どのインスタンスを選べばいいの?EC2性能比較!

    2021/12/9 9:00

  4. NuitkaでPythonプログラムを配布してみよう

    2022/12/15 9:00

  5. DockerでJupyterLabの環境を作ろう

    2021/10/7 9:00