スパイ防止法とは?米英独中の制度比較と日本での論点【2026年版】
こんにちは、株式会社TIMEWELLの濱本です。
2026年に入ってから、スパイ防止法という言葉を見聞きする頻度が一段と増えました。4月23日には高市政権が進める国家情報局(NSIC)の設置法案が衆議院を通過し、インテリジェンス・コミュニティの再編が現実の段取りに乗っています。連立合意書に沿えば、次に控えるのは独立した対外情報庁の創設と、外国工作員の活動そのものを処罰対象とする新法の整備です。この「第2段階」が動き始めたとき、輸出管理や人材採用の現場では何が変わるのか。自分ごととして読み解いておきたい経営テーマだと感じています。
米国・英国・ドイツ・中国のスパイ防止法制を横並びに置き、日本の現状と論点、そして企業がいま仕込んでおくべき備えを一本の線でつないでいきます。輸出管理の相談を受けていても、「なぜ今スパイ防止法の話が経営アジェンダに入ってくるのか」を押さえきれていない現場は少なくありません。国際比較の座標軸を手元に置くと、日本の立法の射程と限界がすっと見えてきます。
スパイ防止法とは何か、定義と歴史をたどる
スパイ防止法という一つの条文があるわけではありません。各国が自国の国家安全保障を守るために、外国勢力や情報機関による情報取得・工作行為を刑事罰の対象とする法体系の総称として使われている言葉です。守る対象は軍事機密にとどまらず、外交情報、重要インフラ、先端技術、政治プロセスまで広がります。
歴史をさかのぼると、近代的なスパイ防止法制の原型は20世紀初頭に整いました。英国は1911年に最初のOfficial Secrets Actを制定し、米国は第一次世界大戦に参戦した直後の1917年6月15日にEspionage Actを可決しています。国家機密を外国に渡す行為、軍事行動を妨害する行為、敵国を利する情報発信を広く網にかけるのが狙いでした。第二次世界大戦と冷戦を経て、各国は条文を継ぎ足しながら運用してきましたが、サイバー空間と経済安全保障の台頭を受けて、ここ数年で一斉に法改正が進んでいます。
興味深いのは、スパイ防止法が守る「情報」の定義が、時代とともに静かに拡張してきたことです。当初は軍事・外交の古典的な国家機密が中心でしたが、現在は量子技術、半導体、AI、バイオといった民生由来の先端技術が主戦場になりました。民間企業が開発した技術であっても、それが軍事転用される可能性を持つ限り、国家安全保障の守備範囲に入るという発想が世界標準になっています。つまりスパイ防止法は、もはや「国家対国家」だけの法律ではなく、企業活動の地肌に触れる法律へと性格を変えつつあるわけです。
この視点を持たずに各国法だけを読み比べると、「厳罰化の流れ」という平板な印象しか残りません。押さえるべきは、各国が何を守ろうとしているかという一点で、そこを見極めてはじめて、自社が開発している技術や保有しているデータへの跳ね返りが見えてきます。
主要国の制度比較、米英独中の輪郭
米国:Espionage Act 1917と経済スパイ法の二段構え
米国のスパイ防止法制の中心は、連邦法典第18編第37章「Espionage and Censorship」の第792条から第799条まで、いわゆるEspionage Act of 1917です。1917年に成立して以来、条文の骨格はほぼそのまま残っており、国防情報を不法に取得・保有・開示する行為を広範に処罰します。違反すれば10年以下の禁錮または罰金、国家への重大な損害を伴う場合は死刑が適用される余地も残されています。
この古典法の上に、1996年に制定されたEconomic Espionage Act(EEA)が重ねられているのが米国の特徴です。外国政府やその代理人を利する目的での営業秘密の窃取を、最高懲役15年、企業に対しては最高500万ドルの罰金で処罰します。2013年には中国人研究者による遺伝子改変作物の持ち出し、2020年前後にはハーバード大学教授の中国千人計画関与事件などで、EEAが連邦検察の実務ツールとして機能してきました。軍事機密と経済スパイを別法で切り分けつつ、どちらもFBIが捜査主体として動くという運用の一体感が、米国モデルのポイントになります。
英国:National Security Act 2023という100年ぶりの刷新
英国は2023年12月20日、National Security Act 2023を施行しました。1911年、1920年、1939年の3本のOfficial Secrets Actを全廃し、現代的な脅威に合わせて全面刷新した法律で、英政府自身が「過去100年で最も重要なスパイ法改革」と位置づけています。新法は保護対象情報の取得・開示、営業秘密の取得・開示、外国情報機関への支援という三つの類型でスパイ行為を定義し、最高刑を従来の懲役14年から終身刑へと引き上げました。
ここで注目すべきは「trade secrets」という用語を刑事スパイ法に正面から組み込んだことです。民間企業の営業秘密を外国勢力に流す行為が、民事上の損害賠償ではなく、国家反逆に近い重罪として処理される世界に踏み込んだわけです。Foreign Influence Registration Scheme(FIRS)と組み合わせて、外国代理人の活動自体を可視化する方向へ舵が切られています。
ドイツ:刑法典のなかで静かに完成している枠組み
ドイツはスパイ防止法という単独法を持ちません。刑法(Strafgesetzbuch)第94条から第100a条が、その役割を担っています。第94条の国家反逆罪は、国家機密を外国に伝達する行為を対象とし、最長で終身刑が科されます。第99条はさらに特徴的で、外国の情報機関のために情報収集活動を行った者を「秘密情報活動者」として独立に処罰する規定です。つまり、情報の中身が機密に該当するか否かにかかわらず、外国機関のための諜報行為そのものを犯罪化しています。
経済スパイについては、営業秘密保護法(GeschGehG)と不正競争防止法(UWG)でカバーされており、刑事・民事の双方で救済が可能です。刑法と経済法を分業させながら、全体としては切れ目のない防諜ネットを張るのがドイツ流のやり方だと理解しておくといいでしょう。
中国:2023年改正で一段と先鋭化した反スパイ法
中国は2014年11月1日に反スパイ法を施行し、2023年7月1日から改正法を運用しています。条文数は旧法の40条から71条に膨張し、スパイ行為の定義が大幅に拡張されました。国家機関や軍事施設の情報にとどまらず、「国家安全と利益に関するその他の文書、データ、資料、物品」が対象に加わり、当局の判断次第で広範な情報がスパイ行為の文脈で扱えるようになっています。
実務的に重いのは、企業や個人に課された協力義務と捜査権限の拡張です。当局は対象者の持ち物・電子機器・データに対する検査権、封印・留置・凍結権を持ち、証拠収集への協力を拒否すればデータ安全法の関連規定で処罰されます。2015年以降、日本人が少なくとも17人拘束されており、駐在員や出張者への影響は仮定の話ではありません。中国で事業を行う日本企業にとって、反スパイ法は輸出管理やコンプライアンス研修の必須論点になっています。
米英独が「守るための法律」として運用しているのに対し、中国の反スパイ法は「外国企業と人を管理するための法律」としても機能している点で、性格が根本的に異なります。この非対称性を理解しないまま各国比較を行うと、議論が空回りしがちです。
日本の現状、特定秘密保護法と不正競争防止法の限界
日本には、スパイ行為そのものを直接罰する単独の法律がありません。代わりに、特定秘密保護法、不正競争防止法、国家公務員法、自衛隊法、外為法、刑法の窃盗罪など、複数の法律を組み合わせて対応しているのが現状です。
2013年に成立し2014年に施行された特定秘密保護法は、防衛・外交・特定有害活動の防止・テロ活動の防止という四分野の情報を特定秘密に指定し、取扱者が漏洩した場合に最高10年の懲役を科す法律です。有用ではあるのですが、射程には明確な限界があります。処罰対象の中心は取扱者側の漏洩行為であり、外国工作員による情報取得そのものを直接に取り締まる構造にはなっていないのです。いわば「内側の壁」であって、「外側の壁」は空白のままだと長く指摘されてきました。
不正競争防止法は2024年4月に改正法が施行され、営業秘密侵害罪の使用推定規定が拡充されました。それでも、刑事罰を発動させるには「非公知性」「有用性」「秘密管理性」という三要件を満たす必要があり、日常的にアクセスされている技術情報や、口頭で伝えられた知見の立件は依然として難しいのが実情です。2025年8月に表面化したTSMC機密盗用事件で東京エレクトロン現地子会社の元社員が捜査対象に挙がった際も、日本側で同等の事件をどこまで立件できるかが論点になりました。
高市政権が描く「第2段階」は、この空白を埋める立法です。自民党と日本維新の会の連立合意書では、2027年度末までにインテリジェンス・スパイ防止関連法制、対外情報庁の創設、情報要員の養成機関を整備する方針が明記されています。施政方針演説でも、ファイブアイズへの加盟水準を目標に掲げ、経済安保・サイバー・情報戦力・セキュリティクリアランス・AIを一体で強化する方針が示されました。1985年に廃案となった「国家秘密に係るスパイ行為等の防止に関する法律案」から40年、国家情報会議を起点とする新しいアーキテクチャのもとで、再び立法が動き始めているという見取り図です。
ただし、過去の議論で噴き出した論点は残ったままです。国家秘密の定義が曖昧だと、報道・学術・市民活動まで萎縮しかねない。日弁連や複数の野党は、今回の議論でも同様の懸念を表明しています。実装の細部で、自由と安全のバランスをどう取るかが問われる局面に入っています。
企業が直面する産業スパイと技術流出の現実
法律論から一歩引いて、企業の現場で何が起きているかに目を向けてみます。結論から言えば、産業スパイの主戦場は人と情報に移りきりました。サーバーへの不正侵入のような古典的な手口は依然として存在するものの、件数で目立つのは人を介した流出です。
2023年に公表された産業技術総合研究所の事件では、中国籍の主任研究員がフッ素化合物の研究データを中国企業にメールで送信していました。JAXAに対する2023年から2024年にかけての断続的なサイバー攻撃は、VPN装置の脆弱性が入口でしたが、背後に海外の情報機関の関与が疑われています。2025年8月には、TSMCの2nm半導体プロセスに関する情報が東京エレクトロン現地子会社の元社員を起点に流出した疑いで、台湾検察が6人を逮捕しました。こうした事件が半導体、素材、バイオ、宇宙と、先端産業の主要分野を一通りカバーしています。
現場でよく見られるパターンは大きく三つあります。第一に退職予定者による持ち出しです。次の職場へのアピール材料として設計データや顧客情報が持ち出されます。第二に共同研究・産学連携を経由した知見の流出です。契約書のバックグラウンドチェックが甘いと、外国の軍民融合政策に組み込まれている研究者が、そうと知らずに提携先に入り込むことがあります。第三にサプライチェーンの末端からの漏洩です。委託先の委託先で情報がコピーされ、国境を越えて広がっていく。いずれも、現行法の網目をすり抜けやすい経路です。
この現実を踏まえると、スパイ防止法の議論は「ニュースの話題」ではなく、自社の採用、契約、輸出、データ管理すべてに跳ね返ってくるテーマだと分かります。法案の成立を待ってから動くのではなく、すでに顕在化しているリスクを先回りで潰しておくことが、企業側の合理的な判断になります。
今後の立法動向と企業への実務インパクト
高市政権の第2段階が当初のスケジュールどおり進んだ場合、2026年の臨時国会から2027年度末にかけて、少なくとも三つの法制が動くと見ておく必要があります。一つ目は外国工作員の活動を直接処罰する新法、二つ目はセキュリティ・クリアランス制度の適用範囲拡大、三つ目は対外情報庁の設置と国家情報局(NSIC)との分業整理です。
この流れが企業の実務に与える影響は、少なくとも四つの層で出てきます。
第一に、取引先スクリーニングの粒度が一段上がります。外為法の該非判定に加え、外国代理人登録制度の整備が進めば、取引相手が外国勢力の影響下にあるかどうかを、能動的に確認するプロセスが標準業務になります。第二に、人事・採用領域での本人確認と経歴照会が重くなります。研究開発人材や機微技術に触れるポジションでは、国籍だけでなく学歴・職歴・資金源まで踏み込んだチェックが求められるようになるでしょう。第三に、営業秘密の管理体制を「刑事罰に耐える」水準に整える必要があります。三要件のうち秘密管理性は、アクセス権限とログの設計次第でいかようにもなるため、技術的な裏付けが先送りできません。第四に、データ越境管理です。中国で事業を展開する企業は、反スパイ法とデータ安全法の同時適用リスクを前提に、越境移転の経路とストレージの所在を可視化しておくべきです。
法案の中身は国会審議のなかで変わり得ますが、「外国勢力と営業秘密に関わる行為への処罰が厳しくなる方向」は、主要国の潮流と整合しているため、後退する見込みは低いと見ておくのが妥当です。むしろ論点は、厳罰化の方向を前提に、企業が備えを始めるタイミングをどこに置くかに移っています。
この文脈で、当社のTRAFEED(旧ZEROCK ExCHECK)は実務の下支えになると考えています。TRAFEEDは経済産業省基準に準拠した輸出管理AIエージェントで、取引相手のエンドユーザーリスト照合、該非判定、懸念国取引の赤旗抽出を多言語で走らせられる仕組みです。スパイ防止法の議論が動いても動かなくても、技術流出の事件簿が各国で積み上がっている以上、該非判定とスクリーニングの精度は早い段階で底上げしておきたいところです。輸出管理の自動化は、立法動向を待たずに着手できる数少ない領域でもあります。
まとめ、情報セキュリティを先取りする5つの視点
スパイ防止法の国際比較を通じて見えてきたのは、各国がそれぞれの法文化に沿いながら、「外国勢力による情報取得」を正面から処罰する方向に収斂しつつあるという事実です。米国はEspionage Actと経済スパイ法の二段構え、英国はNational Security Act 2023で100年ぶりに刷新、ドイツは刑法典で静かに完成、中国は2023年改正で捜査権限まで拡張。そして日本は、40年越しの宿題を高市政権の第2段階で片づけようとしている局面にあります。
最後に、この流れを踏まえて企業が先取りしたい視点を五つ整理しておきます。まず、国家機密と営業秘密の境界が曖昧になっていること。次に、処罰対象が外国工作員側にも確実に拡張されつつあること。三つ目に、取引先と人材の可視化が国境を越えて求められること。四つ目に、越境データ管理が反スパイ法系の法律と交錯すること。五つ目に、法律が動く前に現場のオペレーションを整えるほうが、コストも信頼も安上がりだということです。
輸出管理と情報セキュリティは、法令対応のチェックリストで終わる話ではなく、事業継続そのものの条件になりつつあります。関連する論点は、国家情報会議の創設と日本のインテリジェンス体制、スパイ防止法の全体像、日本版情報機関の姿、日中の輸出管理2026でも掘り下げているので、あわせて読むと立体的に理解できるはずです。
立法と実装は、いつも少しずつ遅れてやってきます。けれど、準備は早いほうが圧倒的に楽です。スパイ防止法の議論が本格化するこの1年、自社の技術と人と取引を、どの国の基準からも説明できる状態に整えていきたいところです。
参考文献
- 「Espionage Act of 1917」Wikipedia英語版、2026年参照
- 「National Security Act 2023」UK Parliament、Womble Bond Dickinson解説、2023年12月施行
- 東京海上ディーアール「中国『反スパイ法』改正と企業に求められる対策」
- CISTEC「中国で成立した改正『反スパイ法』と問題点、関連動向について」2023年4月
- 日本経済新聞「『国家情報局』法案が衆院通過、高市政権、2段階で情報力強化」2026年4月23日
- 首相官邸「第221回国会における高市内閣総理大臣施政方針演説」2026年2月20日
- JBpress「『スパイ防止法』、高市政権発足で追い風に」
- 経済産業省「技術流出防止・営業秘密保護強化について」
- DataClasys「産業スパイから自社を守る―最新事件に学ぶ技術情報流出の実態」2026年2月