こんにちは、株式会社TIMEWELLの濱本です。
「セキュリティ・クリアランス」という言葉を、ニュースで耳にする機会が増えました。日本でも2025年5月16日に、重要経済安保情報保護活用法という長い名前の法律が施行され[^2]、経済安全保障に関わる情報を扱う人を国が「信頼できる」と確認する仕組みが動き出しています。防衛や外交の世界の話に聞こえるかもしれませんが、重要インフラや半導体のサプライチェーンに携わる民間企業にとっても、決して遠い話ではありません。
私は普段、輸出管理のAIエージェントTRAFEEDの開発を通じて経済安全保障の実務に触れています。その立場から見ると、この制度は「人」を起点にした経済安保の管理であり、モノや技術を対象にする輸出管理と一本の線でつながっています。今回は、制度の骨子と適性評価の中身、特定秘密保護法との違い、そして企業が押さえておくべき実務の備えを、政府の一次情報をもとに整理します。
セキュリティ・クリアランスとは何か、なぜ日本に必要だったのか
セキュリティ・クリアランス(security clearance)を一言でいうと、機微な情報に触れてよい人物かどうかを、政府が調査のうえで認める「資格」のことです。たとえば、立入禁止のサーバールームに入るには、事前に身元を確認して発行された入館証が要りますよね。それと似た発想で、国家の安全保障に関わる情報へのアクセスに「信頼の証」を求める仕組みだと考えると、イメージしやすいと思います[^10]。
これまで日本にも、防衛や外交の機密を守る特定秘密保護法という制度はありました。足りなかったのは、経済安全保障の領域をカバーするクリアランスです。アメリカやイギリスをはじめとするG7各国は、経済安保に関わる情報にもクリアランス制度を持っています。制度を欠く日本の企業は、同盟国との国際共同研究や共同開発の場で、信頼の前提となる資格を示せず、参加から外されるおそれがある。この穴を埋める必要性が、政府の有識者会議でも繰り返し指摘されてきました[^11][^12]。
こうして整備されたのが、正式名称を「重要経済安保情報の保護及び活用に関する法律」という法律です(法令番号は令和6年法律第27号)。2024年5月10日に成立し、5月17日に公布[^3]、そして2025年5月16日に施行されました[^2]。制度を実際に動かすための細目を定めた運用基準は、2025年1月22日の重要経済安保情報保護活用諮問会議を経て、2025年1月31日に閣議決定されています[^8][^4]。さらに、行政機関向けと適合事業者向けの運用ガイドライン第1版が2025年5月2日付で内閣府から公表され[^6][^7]、制度を支える文書が一通りそろいました。略して重要経済安保情報保護活用法、報道などでは「セキュリティ・クリアランス法」とも呼ばれます。法律の名前に「保護」だけでなく「活用」という言葉が入っているのが、私には象徴的に見えます。情報を守るだけでなく、信頼の土台を作って国際的な共同開発の場に出ていく、その両輪を狙った制度だからです。
該非判定の属人化を、AIで解消する。
経産省2024年度データによれば、外為法違反の52%は該非判定起因。TRAFEEDなら、判定時間を約7割削減し、判定根拠を構造化データで保存できます。
何を守るのか、「重要経済安保情報」の中身
では、この制度が守ろうとする「重要経済安保情報」とは、具体的にどんな情報なのでしょうか。行政機関の長が指定するもので、運用基準と内閣府の解説によれば、三つの条件をすべて満たす情報が対象とされています[^4][^5][^13]。一つ目は、後で述べる「重要経済基盤」を保護するための情報であること。二つ目は、まだ世に知られていない非公知の情報であること。三つ目は、漏れると日本の安全保障に支障を与えるおそれがあり、秘匿する必要があることです。すでに特定秘密や特別防衛秘密として扱われるものは、この制度の対象から外れます。
鍵になるのが「重要経済基盤」という考え方です。これは大きく二本の柱で整理できます。一つは、電気・ガス・金融・情報通信・航空・鉄道・水道・医療といった、暮らしと経済を支える重要インフラ。もう一つは、半導体や蓄電池、先端電子部品、抗菌性物質製剤、肥料、工作機械、航空機部品などの重要物資のサプライチェーンです[^13]。たとえば、ある重要インフラの設備にどんなサイバー攻撃の弱点があるか、といった情報は、攻撃者の手に渡れば社会全体を止めかねません。そうした、漏れたときの被害が国家規模に及ぶ情報を守るのがこの制度の役割です。
ここで一点、釘を刺しておきたいことがあります。半導体や工作機械という言葉が並ぶと、自社の取扱品目そのものが秘密に指定されると身構えがちですが、対象になるのはあくまで政府が保有し指定した情報です。製品やサービスそのものが規制されるわけではありません。指定や解除の状況は毎年一回、国会に報告される仕組みになっています[^1]。とはいえ、2026年6月時点で、指定の件数や適合事業者の認定数、適性評価の実施件数といった運用実績の具体的な数字は、私が確認できた範囲では公表されていません。初回の国会報告などを通じて、今後明らかになっていくと見ています。確認できない数字を断定的に語るのは避けたいので、ここは現状として「未公表」とだけお伝えしておきます。
「適性評価」という身辺調査の中身
この制度のもう一つの核が、適性評価と呼ばれる調査です。重要経済安保情報を扱う人が、その情報を漏らすおそれがないかを、国が事前に確かめる手続きで、いわゆる身辺調査にあたります。前提として本人の同意が必要で、調査を行うのは行政機関の長です[^4][^6]。同意なしに勝手に身辺を探られるわけではない、という点はおさえておきたいところです。
何を調べるのか。運用基準やガイドライン、それを読み解いた解説によると、特定秘密保護法の枠組みを踏まえた項目が並びます[^6][^13]。本人の基本的な事項に加えて、家族や同居人のこと、外国との関係、犯罪や懲戒の経歴、過去に情報の取扱いでルール違反がなかったか、薬物の濫用、精神疾患、飲酒の節度、そして借金などの信用状態まで。かなり踏み込んだ内容です。なぜここまで見るのかというと、情報を漏らすリスクは、本人の悪意だけでなく、経済的な困窮や外国からの働きかけ、心身の状態といった「つけ込まれる隙」からも生まれるからです。家に高価な金庫を置くとき、鍵を預ける相手の人となりまで確かめておきたい、その感覚に近いと考えると腑に落ちます。
調べる項目の数については、解説によって「およそ10項目」とするものと「7区分」とするものがあり、数え方によって差があります。気になる場合は、法律の条文や運用基準そのものを確認するのが確実です。評価の結果には有効期間があり、通知を受けてから10年とされています[^13]。ただし、その間に疑わしい事情が生じれば改めて評価される仕組みです。一度資格を得れば終わり、ではなく、信頼は継続的に確認される。働く人の側から見れば、自分のプライバシーをどこまで差し出すのかという重い論点を含んだ制度でもあります。同意が前提とはいえ、評価を受けるかどうかが昇進や担当業務に影響しうる場面も想定され、企業としては従業者への丁寧な説明が欠かせないだろうと私は考えています。
民間企業はどう関わるのか、適合事業者と従業者の二層構造
ここまで読んで、「結局のところ役所のなかの話では」と感じた方もいるかもしれません。ところが、この制度は民間企業を明確に巻き込む設計になっています。仕組みを単純化すると、二つの層に分かれます。
一つ目の層が、企業に対する「適合事業者」の認定です。行政機関の長が、重要経済安保情報を適切に保護できると認めた企業を適合事業者として認定し、その企業に情報を提供できるようにします[^7][^9][^13]。認定を受けるには、情報を守るための施設や設備、社内の管理体制が一定の基準を満たしている必要があります。二つ目の層が、その企業のなかで実際に情報を扱う「従業者」個人の適性評価です。つまり、会社が器として認められること(認定)と、人が信頼できると確認されること(適性評価)、この両方がそろってはじめて、機微な情報を扱えるようになります。器と中身、その両方に鍵をかけるイメージです。
では、どんな場面で企業がこの制度に触れるのか。政府の資料や解説では、重要インフラへのサイバー対策の支援、重要物資のサプライチェーンの脆弱性をなくす取り組み、先端技術の国際共同開発、政府からの委託や調達といった場面が想定されています[^9][^13]。半導体や蓄電池、防衛関連の部材を手がける企業、重要インフラのシステムを支えるITベンダーなどは、自社が直接「秘密を扱う会社」だと思っていなくても、取引や共同開発の入り口でこの資格を求められる可能性があります。
私たちTIMEWELLが輸出管理のAIエージェントTRAFEEDを開発するなかで強く感じるのは、こうした「経済安保の人的・組織的な管理」と、モノや技術を対象にする管理が、同じ現場で同時に問われ始めているということです。適合事業者の体制づくりも、後で触れる輸出管理の該非判定や取引先審査も、根は同じで、自社が何を、誰と、どこまで扱ってよいかを説明できる状態にしておくことに行き着きます。制度ごとにバラバラの担当者が片手間で回すのではなく、横串で管理する発想が要る局面に来ていると考えています。
特定秘密保護法・米国制度との関係と罰則
新しい制度ができると、「特定秘密保護法と何が違うのか」という疑問が必ず出てきます。整理すると、まず対象とする分野が違います。特定秘密保護法が守るのは、防衛・外交・特定有害活動の防止・テロ防止という四つの分野でした。これに対して重要経済安保情報保護活用法は、先ほどの重要経済基盤、つまり経済安全保障の領域に対象を広げています[^13]。
もう一つの違いが、機微度の閾値です。特定秘密は、漏れると安全保障に「著しい支障」を与えるおそれがある情報が対象でした。本法はそこを「支障」を与えるおそれ、と一段広く設計しています[^13]。「著しい」という限定が外れたぶん、より広い範囲の情報を拾える建て付けです。とはいえ、これは特定秘密保護法を置き換えるものではありません。より機微度が高い情報は引き続き特定秘密の側で扱い、本法はその下に新しい層を一枚足す、補完の関係にあると説明されています。この整理は最近の動きでより具体的になりました。報道や政府資料によれば、2025年12月に特定秘密保護法の運用基準が改定され、経済安保に関わる先端技術や重要インフラの情報のうち、機微度が高いものは特定秘密として指定できるよう道筋がつけられています[^14]。より秘匿性が高い情報は罰則の重い特定秘密へ、それに次ぐ情報は重要経済安保情報へ。二段構えで国家の機微情報を守る仕組みが、いっそうはっきりしてきたと捉えるとわかりやすいと思います。
制度を支えるのが罰則です。重要経済安保情報を漏らした場合などには、5年以下の拘禁刑または500万円以下の罰金が科され、両方が併せて科されることもあります[^13]。これは情報を漏らした個人だけでなく、事業者にも及び得ます。海外との関係でいえば、この制度を整えることで、同盟国などで機密情報の開示を受ける際の信頼の証として機能し、国際共同プロジェクトや同盟国の政府調達への参加機会が広がると期待されています[^11]。将来的には、日本のクリアランスと外国のクリアランスを互いに認め合う相互承認の枠組みづくりも論点になっています。ただし、これはあくまで今後の方向性として語られている段階であり、すでに結ばれた協定があるわけではない点には注意が必要です。報道や解説でも、この相互承認は「これから詰める課題」という位置づけで扱われています。
経済安保の「人的管理」として、企業は何を備えるか
最後に、この制度を自社の実務にどうつなげるかを考えてみます。私の見立てでは、セキュリティ・クリアランスは経済安全保障を「人」と「組織」の側から管理する仕組みであり、モノと技術の側から管理する輸出管理と、表裏一体の関係にあります。
たとえば、先端技術の国際共同開発に参加する場面を思い浮かべてください。クリアランスで「この人、この会社は信頼できる」と確認される一方で、その共同開発でやり取りする技術情報が外為法の規制に当たらないか(該非判定)、海外の研究者や出向者に技術を提供することが「みなし輸出」に該当しないか、相手先が懸念のある取引先でないか(取引先審査)を、同時に問われます。人的な信頼の確認と、技術流出の管理は、同じテーブルの上で起きるのです。クリアランスの体制を整える企業ほど、輸出管理の体制も問われると考えておいたほうがよいでしょう。ここで言う該非判定やみなし輸出、取引先スクリーニングの基本は、別の記事企業の輸出管理実務で詳しく解説しているので、あわせて自社の運用を棚卸ししておくことをおすすめします。
ただ、こうした管理を人手だけで回し続けるのは、年々きつくなっています。各国の規制は頻繁に改正され、確認すべきリストも増える一方です。私たちが開発する輸出管理AIエージェントTRAFEEDは、経済産業省の基準に準拠して、該非判定やデュアルユース(軍民両用)の判定、懸念顧客リストとの横断照合といった負荷の重い作業を自動化し、多言語にも対応しています。クリアランス制度への対応で社内の管理体制を見直すタイミングは、輸出管理の足元を固め直す好機でもあります。自社が何を、誰と、どこまで扱ってよいのかを、いつでも説明できる状態にしておく。その備えのご相談は、個別相談から受け付けています。制度が動いてから慌てて対応するより、論点を先に押さえておくほうが、結局は早く形になります。半導体や重要インフラに関わる事業をお持ちなら、クリアランスと輸出管理を一つの地続きの課題として見ておくことを、私はおすすめします。
参考
[^1]: 重要経済安保情報保護活用法(ポータル)— 内閣府 経済安全保障推進室 — 随時更新 [^2]: 重要経済安保情報の保護及び活用に関する法律(令和6年法律第27号)— e-Gov法令検索(デジタル庁)— 2025年5月16日施行版 [^3]: 重要経済安保情報の保護及び活用に関する法律(公布情報)— 衆議院 — 2024年5月17日公布 [^4]: 重要経済安保情報保護活用法の運用基準(本文)— 内閣府政策統括官(経済安全保障担当)— 2025年1月31日閣議決定 [^5]: 運用基準 概要 — 内閣府 — 2025年掲載 [^6]: 運用に関するガイドライン(行政機関編)第1版 — 内閣府政策統括官(経済安全保障担当)— 2025年5月2日 [^7]: 運用に関するガイドライン(適合事業者編)第1版 — 内閣府政策統括官(経済安全保障担当)— 2025年5月2日 [^8]: 重要経済安保情報保護活用諮問会議(総理の一日)— 首相官邸 — 2025年1月22日 [^9]: 適合事業者への重要経済安保情報の提供等(諮問会議 資料2)— 内閣府 — 2024年8月29日 [^10]: いわゆる「セキュリティ・クリアランス」制度の概要 — 内閣官房 経済安全保障SC有識者会議(第10回 参考資料)— 2024年 [^11]: 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 最終とりまとめ案 — 内閣官房 — 2024年 [^12]: セキュリティ・クリアランス制度導入の方向性と主な論点 — 参議院常任委員会調査室・特別調査室(経済のプリズム)— 2023年度 [^13]: セキュリティ・クリアランス制度の概要を重要経済安保情報保護活用法に基づき解説 — BUSINESS LAWYERS — 2025年 [^14]: 特定秘密保護法 関係法令・運用基準 — 内閣官房 — 随時更新(2025年12月運用基準改定を含む)