情報共有のエントリでもふれたデジタル・ニッポン2017の73ページ以下でふれられているセキュリティ・クリアランスについて考えていくことにしましょう。
クリアランスとは、機密情報(classified information)等の情報に対してアクセスしうる地位やその地位を付与する制度そのもののことをいいます。
米国においては、「アメリカ合衆国政府におけるセキュリティクリアランスの目的は、職員に機密区分された情報を保全する意思及び能力があるか否かを、その忠誠心、性格、誠実さ、信頼性に基づき判断することにある 」とされています(合衆国政府公式ウェブサイト:セキュリティクリアランス)。
一般的に、機密区分には3つのレベルがあります。それらは秘密性の低い順に、Confidential(秘密)、 Secret(極秘)、Top Secret(機密)になります。省庁によってはこれらの区分をさらに細分化する場合もあるが、一般的な枠組みは相当程度標準化されています。
米国においては、管轄省庁ごとに適用されるプログラムが準備されていますが、そのなかでもっとも一般的なものは、アメリカ合衆国国家産業安全保障計画 (NISP) です。
これは、異なるセキュリティ・クリアランス・プログラムを統一化し、その誤用・濫用を防止する目的のために、1993年、大統領令(EO) 第12829号 によって確立されました。NISPの規則・規制は、アメリカ合衆国国家産業安全保障計画実施マニュアル (NISPOM) において詳述されています。
さらに、2009年12月には、国家安全保障にかかる機密情報(Classified National Security Information)に関する大統領令第13526号によって、合衆国政府のセキュリティ・クリアランス手続が拡充されています。
民間企業の従業員に対しても、セキュリティクリアランスが求められることが非常に多いのが実際です。たとえば、国防総省契約業者は、職員のセキュリティクリアランス(Personnel (Security) Clearance (PCL))を経なければならないです。一般論としては、政府職員および政府契約企業従業員が、機密情報にアクセスするには、セキュリティクリアランスを保持していること、「need to know」を満たしていること、機密区分情報秘密保持契約(Classified Information Non Disclosure Agreement )を締結すること(SF312) とされています。
その結果、米国で、510万人もの人がクリアランスを保有しておりノルウェーの人口よりも多いといわれています。
わが国においても、秘密情報を取り扱う政府職員の人的管理制度としてのクリアランス制度は存在し、平成21年4月から、政府統一基準に基づき、国の行政機関の職員を対象に秘密情報(「特別管理秘密」)の取扱者に対し適性の評価を実施するという形で行われています。
これは、「カウンターインテリジェンス機能の強化に関する基本方針」(平成19年8月9日カウンターインテリジェンス推進会議決定 による。)第2部I3(1)に定められたもので、「秘密取扱者適格性確認制度」と呼称される。しかしながら、政府情報にアクセスする民間企業の職員に関して定めた一般的なクリアランス制度は存在せず、それにより、外国政府機関が日本政府機関等と情報共有しようとする場合に、どの範囲の民間企業職員にどのような情報が提供され、秘密が暴露された場合にどのような対応措置がなされるのかについての予測可能性が保障されておらず、外国政府機関がわが国との情報共有を躊躇するという萎縮効果のおそれが生じていると言われていました。
これらについて統一的な仕組みを構築したのが、特定秘密保護法の枠組みということになります。デジタルニッポンの提案内容について、特定秘密保護法との関係で位置づけをなしてみていくことにしましょう。なお、特定秘密保護法の逐条解説は、こちらです。
同法は、「我が国の安全保障(国の存立に関わる外部からの侵略等に対して国家及び国民の安全を保障することをいう。以下同じ。)に関する情報のうち特に秘匿することが必要であるものについて、これを適確に保護する体制を確立した上で収集し、整理し、及び活用することが重要であることに鑑み、当該情報の保護に関し、特定秘密の指定及び取扱者の制限その他の必要な事項を定めることにより、その漏えいの防止を図り、もって我が国及び国民の安全の確保に資することを目的」とする法律です。
でもって、この1条の解説で、サイバー関係については、「例えば、サイバー攻撃に より金融システムや水道等の重要インフラが機能しなくなるような事態 が発生すれば「国家及び国民の安全」が害されたと言い得るが、個々の 国民や企業が経済的な利益を逸失したり、犯罪行為の被害に遭ったりし たからといって、直ちに「国家及び国民の安全」が害されたことにはな らない。 」と解説がなされているのが興味を引きます。
また、民間企業との関係でみるときには、第5条「特定秘密の保護措置」の適合事業者の定め(4項)、従業者の定め(5項、6項)と第8条「適合事業者への特定秘密の提供」が興味を引きます。そして、同法11条は、取扱者の制限を定めています。
特定秘密の取扱いの業務は、当該業務を行わせる行政機関の長若しくは当該業務を行わせる適合事業者に当該特定秘密を保有させ、若しくは提供する行政機関の長又は当該業務を行わせる警察本部長が直近に実施した次条第一項又は第十五条第一項の適性評価(略)において特定秘密の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者(略)でなければ、行ってはならない
適正評価は、行政機関の長による適性評価の実施(12条)によって定められている手続きに従い、評価対象者に告知の上で、その同意を得て(同条3項)、実施がなされます。評価の対称となる事項は、特定有害活動との関係、犯罪及び懲戒の経歴に関する事項、情報の取扱いに係る非違の経歴に関する事項、薬物の濫用及び影響に関する事項、精神疾患に関する事項、飲酒についての節度に関する事項、信用状態その他の経済的な状況に関する事項になります(同2項)。
このような枠組みになっているので、特定秘密保護法のもとで、民間事業者に関していえば、「公務員以外の民間企業の職員も広く適性評価の 対象となるのではありませんか?」という質問に対しては、「民間企業の職員が適性評価の対象となるのは、防衛装備品を製作等する業者が、行政機関と契約し、特定秘密の提供を受けたときのみです。
また、当該業者においても、特定秘密を取り扱う職員の範囲を明確に定めます。適性評価の対象となるのは、限られた範囲の人です。」
という回答になるわけです。(特定秘密の保護に関する法律Q&A Q14以下 )
特定秘密保護法については、立法に際して、いろいろな議論があったかと思いますが、民間への適用についての懸念というのは、あまりなかったように思えます。
デジタルニッポン73ページ以下では、セキュリティクリアランスについて、日本にはないという表現をしていますが、あまり正確な表現ではないように思えます。それはさておいて、サイバーセキュリティサービス企業やユーザ企業に対して、クリアランスの付与を考えて、情報の提供を考えるべきという提案かと思います。
この提案の狙いは、方向性としては、妥当なのだろうと判断はしていますが、そもそも、防衛装備品の情報を狙っているサイバーキャンペーンがあるというように、生の攻撃データから、情勢分析を踏まえてのインテリジェンスに、どの組織が昇華させるのかという根本的なところが認識されていないのではないかというように思えます。そのような情報を特に、防衛秘密と指定すべきものかという問題もありそうです。
その一方で、経営者がクリアランスを持っていない場合に従業員のみがクリアランスに基づいて経営者に対して、レスポンスの必要性をどのように説明するのかという問題も生じそうです。簡単な問題ではないということはいえるでしょう。