経済安全保障時代に注目「オープンソース・インテリジェンス」を活用したリスク管理とは？PR 不安定化する国際情勢と拡大する輸出管理規制リスクに備えつつ、的確な経営判断と事業成長につなげる情報活用への道

近年、緊張が高まる米中関係や中東情勢など、刻々と変化する地政学リスクが日本企業に与える影響は計り知れません。さらに、各国当局による輸出管理や投資規制も強化される傾向にあり、企業は自らサプライチェーンの末端に潜むリスクまで能動的に把握し、説明責任を果たすことが求められています。

そこで今、実効性のあるリスク管理の手法として世界的に注目を集めているのが、「オープンソース・インテリジェンス」（以下、OSINT）の活用です。OSINTとは、政府の公開データや企業の登記情報、ニュースなど、合法的にアクセス可能な公開情報を収集・分析し、経営の意思決定に役立つ知見を導き出す手法を指します。

複雑な環境下で、法務やリスク・コンプライアンス担当者はOSINTをどう実務に落とし込み、未知の脅威から企業を守るべきか。EYストラテジー・アンド・コンサルティング株式会社（以下、EYSC）で経済安全保障領域のコンサルティングを牽引する泙野将太朗氏に話を聞きました。

国家だけの問題ではない、企業も取り組むべき「経済安全保障」

企業を取り巻く経済安全保障の状況について、まず全体像を聞かせてください。

従来の安全保障は国対国のものであり、外務省や防衛省、一部の防衛産業などが主たるプレイヤーでした。しかし現在は、サイバー攻撃やサプライチェーンの分断といった形で、経済領域を通じた安全保障への脅威が高まっています。企業のサプライチェーンが断たれれば、巡り巡って日本経済が不安定化し、国の安全保障までをも阻害しかねません。

また、AIや半導体など、民間商業用にも軍事用にも利用可能なデュアルユース技術が増加していることも背景にあります。営利目的の民間企業であっても、自社の技術やサプライチェーンを国と同様のレベルで管理しなければならなくなっています。この民間をも巻き込んだリスク管理が現代における経済安全保障の大きなテーマです。

日本では2022年に経済安全保障推進法が成立しました。今後、企業を取り巻く環境はどう変わっていくのでしょうか。

実は、「経済安全保障」という名称の法律を設けているのは、主要国のなかでも日本くらいです。そのため、枠組みとしては日本が先進的だといわれることもあります。しかし実態を見ると、米国などはわざわざ「経済安全保障」と名付けなくても、中国やロシア等の自国が懸念視する国家への技術や情報の流出を防ぐために輸出管理や投資規制を推し進めてきました。日本はまだ、米国の水準には追いつけていない部分が残っています。

2025年には、政府が安全保障上重要と指定した情報に対し、信頼を得た者のみがアクセス可能となる「セキュリティ・クリアランス制度」が日本でも導入されましたが、これも欧米ではごく一般的な仕組みです。今後は政策的な動きとして、日本でも外為法における対内投資の審査水準を米国のCFIUS（対米外国投資委員会）並みに引き上げることや、日本から海外への投資を管理するアウトバウンド投資規制の議論なども進んでいくと考えられます。企業を取り巻く規制は、さらに強まる方向へとシフトしていくでしょう。

そうしたなかで、日本企業における対応の現状と課題をどう捉えられていますか。

輸出規制や金融制裁といった明確なルールへの対応は、日本の企業も注力しており、かなり進んでいます。一方で、経済安全保障推進法がきっかけでコンプライアンス意識は芽生えましたが、「とりあえずこの法律に対応しておけば大丈夫だろう」という最低限の対応に安心する考えが広がってしまった面もあるように感じています。本来、経済安全保障のリスクは、法律の枠だけで捉えきれるものではないのです。

たとえば、サプライチェーンにおける人権侵害リスクや、産業スパイ対策としての研究者に対するバックグラウンドチェックなど、日本法では明確にカバーされていないグレーな領域には、いまだ多くのリスクが潜んでいます。こういったグレー領域への対応は、企業によってまちまちというのが現状です。

ルール変化の象徴「50%ルール」と、問われる企業の説明責任

規制当局のルール自体も変化していると伺いました。リスク・コンプライアンス担当者に今求められる対応とは何でしょうか。

大きく2つあると考えています。1つは、規制のルール自体が、もはや自力だけで対処することが難しくなってきている点です。その典型が、米国商務省産業安全保障局（BIS）が導入した、いわゆる「50%ルール」です。

これまでは、輸出管理規制の適用対象をまとめたエンティティ・リストに自社の取引先が載っていないかどうかを照合すれば済みました。しかしこのルールでは、リストに掲載されている制裁対象企業が50%以上を出資している関連会社もすべて規制対象となります。さらに厄介なのが、「足し算」も適用される点です。リストに掲載されている複数の制裁対象企業からの出資割合を合算して50%に達する場合も規制対象に含まれるため、制裁対象となる企業は約3,000社から約20,000社へと一気に広がりました。

それを企業側ですべてチェックするのは至難の業ですね…

その通りです。しかも米当局は、「資本関係は日々変わるため、どの子会社が対象になるかは政府側でも網羅しきれない。民間企業が自らツールを使って調べてください」というスタンスをとっています。つまり、国がすべてお膳立てしてくれていた時代から、企業が自主的にデューデリジェンスを行わなければならない時代へとシフトしたのです。これがリスク管理部門にとって非常に負担が大きく、かつ対応も困難な変化です。

なお、「50%ルール」は、2025年11月に適用を1年間停止することが発表されたため、現在は対応への準備期間といえます。今後、停止期間の延期、もしくは撤回がなければ、2026年11月以降は自動的に適用されることになります。今のうちから早めに用意することで自社のリスクを低減できるため、現在は重要な時期といえるでしょう。

直近ではイラン情勢など中東の緊迫化も懸念されていますが、こうした地政学リスクの変動も調査を難しくしているのでしょうか。

イラン自体はもともと国連安全保障理事会の制裁対象国であったため、直接的な取引が停止するといった影響は想定の範囲内ともいえます。注視すべきは、ロシアやイランに対する制裁の裏側で、懸念国を介した迂回取引やグレーなネットワークが複雑化している点です。

米当局は、こうした抜け穴を厳しく監視しています。直接の取引先だけでなく、その背後にあるつながりまで把握し、二次的な制裁リスクを回避する戦略が求められています。

そしてこれが、先ほど申し上げたリスク・コンプライアンス担当者に求められる対応の2つ目につながります。それは、法律には違反していなくてもレピュテーションの観点で問題になり得るグレーゾーンへの対応です。

直接的な違反がなくとも、懸念国の活動に間接的に加担しているような実態がメディアに取り上げられれば、投資家からの評価や企業価値の低下に直結します。そういった際にもステークホルダーに対して、「万全なツールを用いてここまで深掘りして調査したうえで、自社としてはこう判断した」と、説明責任を果たせる準備をしておくことが、経営判断として極めて重要になっていきます。

グレーゾーンリスク等の意思決定まで伴走、EYSCが提供するOSINTサービスの強み

そうした説明責任を果たすための具体的なアプローチとして、世界的に注目されているのがOSINTの活用ですね。

はい。なぜ今、公開情報を収集・分析するOSINTが不可欠になっているかというと、懸念国側の企業も現在のルールを熟知しており、一見すると制裁対象とは無関係に見えるダミー会社や別名義の組織を巧妙に使って、民間経済の舞台で活動しているからです。

もはや、国家機密のような特別な情報源だけではなく、世の中に散らばる膨大な公開情報を収集・分析し、隠れたつながりを見つけ出すことが、リスク回避の必須条件になりつつあります。

万が一、自社の製品が懸念国の軍事開発などに流れてしまった場合、米当局からは厳格に責任を問われます。しかし、「世界標準のOSINTツールを用いて、ここまで深く調査したが発見できなかった」という事実と履歴があれば、制裁が大幅に軽減されるケースもあります。OSINTの活用は、当局やステークホルダーに対する説明責任を果たし、自社を守るための強力な“防具”になるのです。

EYSCが提供するOSINT活用支援サービスの概要と特長を教えてください。

本サービスでは、米政府なども導入している、非常に強力なOSINTプラットフォームを日本企業向けに提供しています。このツールを使えば、取引先の最終的な株主は誰か、懸念国の政府機関とつながりはないか、役員が制裁対象企業で兼務していないか、といった複雑な関係性を瞬時に可視化できます。

そして当社の最大の強みは、ツールの提供にとどまらず、そこから得られた情報をもとに意思決定の支援まで伴走できる点にあります。

意思決定の支援とは、具体的にどのようなことでしょうか？

ツールを使ってグレーなつながりが判明した際、現場が一番悩むのは、「明確な違反ではないが、このまま取引を続けてもいいのか？」という点です。我々は日米欧の政府当局と頻繁にディスカッションを行っており、「当局が何をリスクと捉え、次にどういう規制を敷こうとしているか」という、政策的背景を熟知しています。その知見や他社の対応事例を踏まえ、「このケースは取引を停止すべきか、あるいは懸念しなくてもよいか」といった具体的な経営判断までサポートします。

ツールの機能面での強みはありますか？

一般的な調査ツールは、外部から買ったデータをそのまま搭載していることが多いのですが、我々のツールでは、専門の調査チームが登記情報や政府発表などの一次情報を取得し、情報の紐付けを行っています。投資や調達、輸出等で関連する規制を参照し、注意すべき取引先については、「リスクフラグ」が表示される仕組みになっています。

そのため、「なぜこの企業にリスクフラグが立っているのか」という根拠を明確に示すことが可能です。事業部に取引停止を提言する際にも、「データベースに載っていたから」だけでは説得力に欠けます。資本関係がある、住所や電話番号が同じで確実に制裁対象企業と関係性があるなど、確固たる理由をもって説明できる点が高く評価されています。

また、本ツールの開発企業が直近で最も力を入れているのが、技術流出等の防止を目的とした研究セキュリティ対応のためのアップデートです。世界中の特許データベースから4,000万件以上の情報を取り込み、特許のスポンサー企業、特許取得に携わった研究者や共著者を明確にし、エンティティ・リストにおけるリスク有無をデータベース化しています。輸出管理に加え、競合分析や産業スパイ対策にも活用可能な機能も備えています。

人力で数か月かかった調査が数十秒に。50%ルールの壁を越えるツール活用法

実際の活用シーンについても聞かせてください。先ほど、出資比率を合算する「50%ルール」への対応が大きな負担になるというお話がありました。OSINTツールはここでどう活きてくるのでしょうか。

手作業では事実上不可能といえるほど複雑な資本の足し算を、瞬時に可視化できるのが最大の強みです。従来、制裁対象企業の子会社や孫会社を調べようとすると、担当者が数日がかりで現地の登記情報をたどり、出資比率を計算する必要がありました。しかしこのツールを活用すれば、調べたい企業名を入力するだけで瞬時に背後の資本関係が計算され、「この企業は50%ルールの対象か否か」というフラグが自動で提示されます。また、子会社等を介したつながりも瞬時に可視化できるなど、検索機能も充実しています。

直近の事例でいえば、ある企業が海外でビジネスパートナーを選定する際、候補の10社をこのツールで調べたところ、まったく問題のない企業もあれば、50%ルールの対象ではないものの49%の出資関係がある企業、子会社が50%ルールに抵触している企業、数%ではあるものの懸念国の機関が投資している企業など、10社のなかにさまざまなリスクが混在していたことがわかりました。最終的にはこうした情報を比較しつつEYが意思決定の支援も行ったうえで、パートナーを選定しています。

さらに重要なのが、ツール上で制裁対象企業からの出資比率が50%未満だったと判明した場合です。一見、ルール上はセーフに見えますが、米当局は「出資比率は低くても、複数社の役員を兼務し、実質的な支配力を持っていないか」という点も厳しくチェックしています。

たとえば、昨今で特に技術流出が懸念されているAIや半導体関連の企業において、企業自体はクリーンに見えても、背後を紐解くと、当該企業の役員が制裁対象である別のAI企業でも役員を務めている…というケースが頻発しています。中国などは同姓同名も多く調査が難航しやすいのですが、本ツールは専門の調査チームが情報の紐付けを行っているため、こうした細かい点まで分別されています。情報の信頼度が高いため、人物レベルのネットワークもすぐに把握でき、より確実なデューデリジェンスが可能になります。

実務担当者の業務負担という面でも、劇的な変化がありそうですね。

企業によっては、安全保障貿易管理の担当者がたった1人で、数千社分の取引先チェックを数か月かけて行っていたという過酷なケースもありました。もしこの状態で50%ルールの適用有無や役員の兼務状況まで網羅して確認しようとすれば、作業量はあっという間に膨れ上がり、現場は完全に破綻してしまいます。

OSINTツールの導入企業からは、「これまで数日かけて外部の調査会社に依頼し、数百万円払っても出てこなかったような情報が、自社でたった数十秒で取得できた」といった声を多くいただいています。情報の充実度に加えて、調査にかかる時間とコストを圧倒的に短縮できるのは大きなメリットです。

リスク情報を経営判断までつなげ、事業成長の推進力にする

経済安全保障リスクに対応するための理想的な社内体制について聞かせてください。

必ずしも、経済安全保障の専任チームを作る必要はありません。重要なのは、事業部門とリスク管理部門のガバナンスを分離することです。

リスクを減らすための詳細な調査や調達先の分散は、短期的にはコスト増や利益減につながります。利益を追求する事業部とリスクを管理する部門で評価指標を分け、リスク低減のためのコストが事業部のマイナス評価にならないような仕組みを作ることが重要だと思います。

最後に、法務・コンプライアンス担当者へ向けてメッセージをお願いします。

日本企業は地政学リスクのなかで、リスクを排除しつつも特定の市場を過度に避けることなくグローバルにビジネスを継続していく必要があります。しかし、経済安全保障対策を単なるコストや事業のブレーキと捉えられてしまうと、社内での理解も得にくくなります。

現在、多くの企業が情報の収集自体は始めているものの、それを経営層へのレポーティングだけで終わらせてしまっているケースが散見されます。収集した情報を自社のビジネスと紐付け、「このシナリオが起きたら、どの事業部の誰がどう動くべきか」という具体的なアクションにまで落とし込む。これこそが、真のインテリジェンスの活用です。法務やリスク・コンプライアンス部門はリスクを判断することだけにとどまらず、真の役割として健全な事業成長をサポートすることも、今後求められていくでしょう。

EYSCでは無料の勉強会などで経営層への働きかけも支援しています。また、前述したツールの無料トライアルや、無料相談も行っています。ぜひこうしたサービスを活用し、事業を力強く推進するための体制を築いていただきたいと思います。

	サービスに関するお問い合わせ EYストラテジー・アンド・コンサルティング株式会社（EYSC） TEL：03-3503-3500（代表） OSINTを活用した経済安全保障意思決定支援コンサルティング | EY Japan 2026年6月24日(水) OSINT第4回セミナー開催決定！詳細はこちら