つまり、どれだけシステムなどによる情報セキュリティ対策を講じていても、「人」の対策ができていなければ情報漏えいが起こり得るということです。

実際、今回の件を受けたNTT西日本のニュースリリースにおいて、「今後の対応と再発防止策」として、“当社の従業員に対して、これまで以上に情報の取り扱い・保護に関する教育の充実を図り”と明記しています。まさにここがキーポイントなのです。

今後、何らかの業務を外部委託する際、「万全のシステムセキュリティ体制が整備されている大手企業だから安心なはず」という判断基準では万全ではないことを理解しなくてはなりません。

委託する業務によっては、人的セキュリティにどれくらい取り組んでいるか、の確認が必須になる時代がすぐそこまで来ているように思います。

さて、「セキュリティクリアランス制度」をご存知でしょうか？

「政府が保有する安全保障上重要な情報にアクセスする必要がある者（政府職員及び必要に応じ民間の者）に対して政府による調査を実施し、当該者の信頼性を確認した上でアクセス権を付与する制度」です。

今、日本国政府は、“安全保障の概念が、防衛や外交という伝統的な領域から経済・技術の分野に大きく拡大し、軍事技術・非軍事技術の境目も曖昧となっている中、国家安全保障のための情報に関する能力の強化は、一層重要になっており、経済安全保障分野においても、厳しい安全保障環境を踏まえた情報漏洩のリスクに万全を期すべく、セキュリティ・クリアランス制度を含む我が国の情報保全の更なる強化を図る必要がある”¹⁾ということで、令和5年2月以降「経済安全保障分野におけるセキュリティ・クリアランス制度等に関する 有識者会議（以下、「有識者会議」と言います）」を開催し、この制度の導入検討を進めています。

現在、日本にはこのセキュリティ・クリアランス制度と似たものとして、2014年12月10日に施行された『特定秘密の保護に関する法律（以下、「特定秘密保護法」と言います）』があります。

上記の表のとおり、対象となる特定秘密が「①防衛、②外交、③特定有害活動（スパイ行為等）の防止、④テロリズムの防止」に限定されてはいますが、適正評価をクリアした者のみが特定秘密の取扱いの業務を行うことができるとして特定秘密の取扱者を制限していて、罰則も規定されている点からも、特定秘密保護法は、まさにセキュリティ・クリアランス制度のひとつと言えるのではないかと思います。

では、そのクリアすべき「適正評価」の内容についてですが、下記の表の「4 調査事項」に記載された7項目がそれです。

上記の7項目を見て、個人情報保護に関わられた方はピンと来るかもしれませんが、『個人情報の保護に関する法律（以下、「個人情報保護法」と言います）』が定義する「要配慮個人情報」に該当するものなのです。

『個人情報保護法』の第2条第3項に、“この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう”と記載されています。

つまり、個人情報の中でも特にデリケートなものであり、『個人情報保護マネジメントシステム要求事項（JIS Q 15001:2023）』においても、法令で掲げられている場合を除いて、あらかじめ書面による本人の同意を得ないで取得してはならないとされているのが「要配慮個人情報」なのです。

その非常にセンシティブな「要配慮個人情報」の開示を求められ、それをもとに適正を評価されるというセキュリティ・クリアランス制度に、多少なりとも抵抗を覚えられる方が多いのではないでしょうか。

個人情報保護の重要性が叫ばれる現代にあって、このセキュリティ・クリアランス制度の導入に、皆さんは果たして諸手を挙げて賛成できますでしょうか。

実際、有識者会議においても、“我が国の社会は一般的に性善説に立っていることから、ある人の人格等を悪あるいは弱さから把握しようとするセキュリティ・クリアランスは、その人の人格を全否定するような恐ろしい制度のように誤解される場合が多いのではないか”²⁾であったり、“セキュリティ・クリアランスが取得できない場合に、何となく、当人が過去に何か悪いことや犯罪を行った人であるかのように捉えられがちであることを懸念”³⁾という声も挙がっているようです。

令和5年2月22日に開催された第1回有識者会議の冒頭挨拶で、高市早苗経済安全保障担当大臣は、“先進諸国では、「一定の経済に関する事項を含む重要情報を取り扱う者」に、「セキュリティ・クリアランス」を付与する制度があるが、日本では同様の制度となっていない”⁴⁾と話されたそうです。

前述のとおり、我が国にも『特定秘密保護法』のように「セキュリティ・クリアランス制度」に類するものはありますが、“令和3年末時点で特定秘密の取扱いの業務を行うことができる者の数は13万人程度”⁵⁾であり、これは人口比率でいくとわずか0.1%です。また“官民のセキュリティ・クリアランス保有者の比率について”⁵⁾は、“官が約97%、民が約3%”⁵⁾とのことで、民間企業にはほとんど行きわたっていない行政機関に特有の制度というのが現状と言えそうです。

一方、“アメリカでは約400万人のセキュリティ・クリアランス保有者がおり”⁵⁾、これは人口比率でいくと1.2%で日本の10倍であり、“官対民で約７割対３割”⁵⁾と、日本に比べてはるかに民間企業にも行きわたっていると言えます。また“１年あたり100万人程度の者がセキュリティ・クリアランスを新規取得・更新等している”⁵⁾ようで、米国の“2021年7月比の人口増加は125万6,003人”⁶⁾とのことなので、ほぼ人口増加と同数の新規取得・更新等が行われているということになります。もちろん人口増加数は変化していくでしょうが、今後爆発的な人口増加にならない限り、より多くの国民がセキュリティ・クリアランス保有者となっていくことが予想されます。

また、“アメリカ以外の主要国、例えば、イギリス、ドイツ、フランス、カナダ、オーストラリアでも、数十万人以上のセキュリティ・クリアランス保有者がおり、毎年その四分の一から六分の一程度の者がセキュリティ・クリアランスを新規取得・更新等していると考えられる”⁵⁾そうで、 いずれの国も日本より人口が少ないので、人口比率でいけば日本をはるかに上回るということになります。

よく「日本は情報後進国」と揶揄されることがありますが、そう言われても仕方ないかもしれないことが、こうして先進諸国におけるセキュリティ・クリアランス保有者の数値でも明確になっています。

また前述のとおり、これまで個人情報の際たるものとしてまさに配慮されてきた「要配慮個人情報」の開示を求められるセキュリティ・クリアランス制度は、おそらく日本人にとって抵抗の強いものだろうと推察します。ところが、その抵抗感こそが、もしかしたら日本が情報後進国たる所以なのかもしれません。

ここまでグローバルな社会となった今、いつまでもガラパゴス日本でいるわけにはいかないことも事実であり、グローバルスタンダードへの準拠は避けて通れないことでしょう。

ところで、冒頭の個人情報不正流出事件のように、機密情報に直接触れるような業務を第三者に委託するとなった場合、セキュリティ・クリアランス制度を導入してその業務を担当するのに適正な人物かどうかを評価している企業とそうでない企業、どちらに任せたほうが安心・安全だと思われますか？間違いなくセキュリティ・クリアランス制度を導入している企業に委託するべき、というふうに思われるのではないでしょうか。

しかしながら、前述のとおり、日本の民間企業においてはセキュリティ・クリアランス制度はほとんど行きわたっていないため、本来であれば委託先選定の際に間違いのない確実な判断基準である「セキュリティ・クリアランス導入企業であるか」が、残念ながらほぼ利用できないのが現状です。

さて、「NAID AAA（ネイド トリプルエー）」という認証をご存知でしょうか。

「NAID AAA」は米国に本部を置く「i-SIGMA（International Secure Information Governance & Management Assoc.）」という団体が、優良な機密抹消処理サービス事業者に対して発行する、世界で最も認知されている機密抹消処理サービス事業者認証です。

世界5大陸で950もの「NAID AAA」の認証を受けた施設が稼働しており、米国ニュージャージ州ではHDDのオンサイト機密抹消処理サービス委託先には「NAID AAA」認証の取得を要求しているなど、数十の政府機関が機密抹消処理サービス委託先に「NAID AAA」認証を必要としているほどです。

つまり、「NAID AAA」認証を取得しているということは、この『認証仕様参照マニュアル』に基づいて、セキュリティ・クリアランス制度に類する人的セキュリティに取り組んでいる、という証と判断できます。

今日現在、日本国内で「NAID AAA」を取得されているのは、以下の7社です。

これらの企業は、国に先駆けてセキュリティ・クリアランスに取り組んでいるということです。

もしお近くに「NAID AAA」企業が所在しているようであれば、機密抹消処理の際にお問い合わせされてみてはいかがでしょうか。

会社名	本社所在地
株式会社RDVシステムズ	〒984-0816　宮城県仙台市若林区河原町1丁目3-24
株式会社島田商店	〒930-0816　富山県富山市上赤江町2丁目2-50
金沢紙業株紙会社	〒921-8031　石川県金沢市野町4丁目6番42号
株式会社増田喜	〒910-0021　福井県福井市乾徳2-6-6
株式会社高浄	〒569-0022　大阪府高槻市須賀町47番19号
株式会社モリオト	〒799-0422　愛媛県四国中央市中之庄町53
PACIFIC LOGISTICS株式会社	〒904-2173　沖縄県沖縄市比屋根４丁目１２−３８

1) 中間論点整理．経済安全保障分野におけるセキュリティ・クリアランス制度等に関する
有識者会議．令和5年6月6日．https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyo_sc/pdf/chuukan_ronten.pdf, P.2（参照2023-10-31)．

2) 第3回議事要旨. 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する
有識者会議.　令和5年3月27日.　https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyo_sc/dai3/gijiyousi.pdf, P.7（参照2023-11-06)．

3) 第3回議事要旨. 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する
有識者会議.　令和5年3月27日.　https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyo_sc/dai3/gijiyousi.pdf, P.9（参照2023-11-06)．

4) 第1回議事要旨. 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する
有識者会議.　令和5年2月22日.　https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyo_sc/dai1/gijiyousi.pdf, P.2（参照2023-11-06)．

5) 第4回議事要旨. 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する
有識者会議.　令和5年4月7日.　https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyo_sc/dai4/gijiyousi.pdf, P.2（参照2023-11-06)．

6) 米国の2022年7月までの年間人口増加率0.4％、過去最低記録した2021年から回復（宮野慶太）. JETRO.　2022年12月26日.　https://www.jetro.go.jp/biznews/2022/12/8674eac1b4457222.html, （参照2023-11-13)．

7) i-SIGMA | CERTIFICATION SPECIFICATIONS Reference Manual.　0293K. 　https://isigmaonline.app.box.com/s/xv82llmhun8ad1hjkcc17p0iemohe0ia, P.4 1.1 CITIZENSHIP/WORK ELIGIBILITY REQUIREMENT （参照2023-11-28)．

8) i-SIGMA | CERTIFICATION SPECIFICATIONS Reference Manual.　0293K. 　https://isigmaonline.app.box.com/s/xv82llmhun8ad1hjkcc17p0iemohe0ia, P.4 1.2 INITIAL INDIVIDUAL SCREENING REQUIREMENT （参照2023-11-28)．

9) i-SIGMA | CERTIFICATION SPECIFICATIONS Reference Manual.　0293K. 　https://isigmaonline.app.box.com/s/xv82llmhun8ad1hjkcc17p0iemohe0ia, P.6 1.3 ONGOING SUBSTANCE ABUSE SCREENING. 1.4 ONGOING ACCESS INDIVIDUAL SCREENING （参照2023-11-28)．