セキュリティ・クリアランス取得の方法は?適合事業者の認定申請の流れ
国際取引・海外進出当社ではセキュリティ・クリアランスの取得を検討していますが、適合事業者の認定を受けるにはどうすればいいのでしょうか。
企業が、セキュリティ・クリアランス制度における適合事業者の認定を受けるにあたって行うべき事項は、①認定申請にあたっての事前準備、②適合事業者の認定申請という2つのステップに分けられます。
このうち最も負担が大きいのが事前準備であり、具体的には、規程の策定、ガバナンス体制の確立、教育資料の作成と教育実施、施設設備の整備の4項目が求められます。
事前準備ができたら、申請書を提出して重要経済安保情報の提供元となる行政機関から認定を受けます。適合事業者の認定を取得した後に、認定申請書の記載事項などを変更しようとする場合は、原則として、当該行政機関に事前報告を行い、再審査を受ける必要があります。
なお、適合事業者の認定を取得した後は、重要経済安保情報の提供元となる行政機関との間で契約を締結することが求められます。
セキュリティ・クリアランス制度の全体像については、「セキュリティ・クリアランス制度の概要を重要経済安保情報保護活⽤法に基づき解説」をご覧ください。
解説
目次
事前準備
適合事業者向けガイドライン 1 は、事前準備の具体的な内容として、①規程の策定、②内部のガバナンス体制の確立、③教育資料の作成と教育の実施、④施設設備の整備の4項目を挙げています。
規程の策定
適合事業者の認定基準は、規程が整備されていること、および、当該規程に従って重要経済安保情報を適切に保護することができると認められることの2つとされており(施行令16条1項)、規程の整備は適合事業者の認定において中核的な要素といえます。
適合事業者向けガイドラインには規程のひな型(以下「規程ひな型」といいます)が添付されており、規程は当該ひな型を参考にしつつ、策定するものとされています。もっとも、規程ひな型は重要経済安保情報の保護のみに特化した内容に落ち着いたため、実務上は、特段の支障がない限り、企業としては規程ひな型をそのままの形で採用して、規程とすることが簡便と考えられます(規程ひな型の内容を変更する場合には、重要経済安保情報の提供元となる行政機関との間での協議が必要とされています)。翻って、個々の企業の内部事情を踏まえて、規程ひな型とは異なる形で規程を定める必要がある場合には、行政機関との協議の下で修正を実施し、さらに、修正の内容によっては契約の内容も修正する必要があります。
適合事業者向けガイドラインは、適合事業者の申請に先駆けて、規程を社内で実際に発効させることまでは不要とする一方、規程案がほぼ原案のとおりに内部決裁を終えられるような状態にあることを求めています。したがって、実際上は、企業としては、申請に先駆けて、規程の社内決裁までは終わらせておく必要があると考えられます。
なお、適合事業者向けガイドラインは、規程にかかる決裁レイヤーについて、取締役会のレベルで決定することが望ましいとしていますが、企業によっては、規程にかかる決裁が取締役会の決定に馴染まない場合も生じ得ます(とりわけ大企業においては相当数に上るものと考えられます)。そうした場合には、適合事業者向けガイドラインの趣旨を踏まえつつ、個々の企業の実情を考慮して、決裁レイヤーの選定を工夫する必要があると考えられます。
内部のガバナンス体制の確立
運用基準 2 は、適合事業者の認定における考慮要素の一部として、「事業者における株主や役員の状況に照らして、当該事業者の意思決定に関して外国の所有、支配又は影響がないと認められるかどうか」、「保護責任者又は業務管理者として指名される者が、業務を適切に行うための必要な知識を有しており、その職責を全うできる地位にあると認められるかどうか」を挙げています(運用基準36~37頁)。当該考慮要素に対応する事前準備事項として、適合事業者向けガイドラインは「内部のガバナンス体制の確立」、すなわち「意思決定に関する外国からの所有、支配又は影響の把握」と「保護責任者や業務管理者の選定」の2つを挙げています。
(1)意思決定に関する外国からの所有、支配又は影響の把握
これらのうち、前者の「意思決定に関する外国からの所有、支配又は影響の把握」は、適合事業者認定申請書の記載事項となっている、「申請事業者の議決権の5%超を直接に保有する者」に関する情報(適合事業者向けガイドライン8~9頁の申請事項1(2))、申請事業者の役員の氏名・国籍・帰化歴の有無(適合事業者向けガイドライン8~9頁の申請事項1(3))、外国との取引に係る売上高の割合に関する情報(適合事業者向けガイドライン8~9頁の申請事項1(4))について、企業内部で把握できるようにすることを求めるものです。
上記のうち、申請事項1(2)に関して、「議決権の5%超を直接に保有する者」が信託口である場合には、行政機関より、信託先に対して資産管理を委託している実質的な株主に関する情報の提出も求められると明記されている点については、とりわけ留意が必要です(ただし、行政機関向けガイドラインは、企業が調査を試みたうえでもなお「真の株主」を把握できないことについて、やむを得ない事情があると認められる場合には、「把握できないこと」のみを理由として適合事業者に認定しないとすることは適当ではないとしています)。
(2)保護責任者や業務管理者の選定
他方、後者の「保護責任者や業務管理者の選定」は、適合事業者認定申請書の記載事項となっている、保護責任者および業務管理者について、企業内部で選定することを求めるものです。
適合事業者向けガイドラインは、以下のとおり一定の例を挙げています。保護責任者や業務管理者の指定にあたっては、こうした例を参照しながら、適任者を選ぶ必要があると考えられます。
| 職務内容 | 所属部門 | 職位 | 選任手続 | |
|---|---|---|---|---|
| 保護責任者 | 申請事業者における重要経済安保情報の保護にかかる全般的な指導および監督を行い、申請事業者における重要経済安保情報の取扱いの責任を負う | 通常は社内を束ねる総務や経営企画等に所属する者またはそれらの部門を統括する者 | (株式会社の場合)通常取締役や執行役クラスが想定され、最低限執行役員以上 | たとえば、指名にあたっては取締役会による決定を要するなど、然るべき内部手続が必要 |
| 業務管理者 | 重要経済安保情報を取り扱うことになる場所において、当該重要経済安保情報の保護に関する業務を管理し、その取扱いの責任を負う | - | 部長職や課長職相当の者が適当 | たとえば、保護責任者が担当部門の長と協議して決定するなど、然るべきレベルでの意思決定が必要 |
もっとも、規程にかかる意思決定における決裁レイヤーの決定の場合と同様、企業の組織構造によっては、適合事業者向けガイドラインに示された例をそのまま採用することができなかったり、採用することはできたとしても当該例に従った場合、重要経済安保情報を実際に取り扱う部門を拘束することができなかったりするなどの不適切な結果を生じる場合もあり得ます。
この点、行政機関向けガイドラインは、「審査行政機関は、認定申請書に記載された実施体制において、重要経済安保情報の取扱いを行う全ての従業者が保護責任者(中略)の指揮命令に服する体制が取られていることを確認するとともに、事業者から当該実施体制や保護責任者の配置についての考え方を聞き取り、その妥当性を判断する」としていることから(行政機関向けガイドライン43頁)、企業は、適合事業者向けガイドラインに示された例と異なる選定を行う場合には、かかる審査の趣旨を踏まえつつ、企業の組織構造等の個々の企業の実情を考慮して、保護責任者や業務管理者の選定を工夫する必要があると考えられます。
なお、保護責任者や業務管理者は、自身が重要経済安保情報を取り扱わない限りは、必ずしも適性評価を取得する必要はないとされています。
教育資料の作成と教育の実施
運用基準 3 は、適合事業者の認定における考慮要素の1つとして、「(従業者に対する重要経済安保情報の保護に関する教育の実施内容及び方法が)従業者にとって重要経済安保情報を保護するために必要な知識を的確に習得できる内容となっており、適切な頻度で継続的に実施されることとなっているかどうか」を挙げています(運用基準36~37頁)。当該考慮要素に対応する事前準備事項として、適合事業者向けガイドラインは、「教育資料の作成」と「教育の実施」を求めています。
(1)教育資料の作成
これらのうち、前者の「教育資料の作成」に関して、適合事業者向けガイドラインには教育資料のひな型(以下「教育資料ひな型」といいます)が添付されています。
もっとも、同ガイドラインは、教育資料ひな型はあくまでも「最低限盛り込むべきと考える内容」を定めたものにとどまるとしており、実際の教育資料は、企業の内部の実務を適切に解説した内容になるよう、企業側で作成する必要があるとしています。教育資料は適合事業者認定申請書に添付して提出する必要があるため、企業においては、適合事業者の審査に耐えうるレベルの教育資料を適切に整備する必要があります。
(2)教育の実施
他方、後者の「教育の実施」に関して、適合事業者向けガイドラインは、①新たに重要経済安保情報を取り扱う予定の者については、実際の取扱い前に、また、②保護責任者、業務管理者および重要経済安保情報の取扱いの業務を現に行っている従業者に対しては、少なくとも年1回、上記で整備した教育資料を用いた教育を実施することを求めています。
教育の実施主体は、保護責任者とされていますが、適合事業者認定申請書のフォーマットが教育実施者を列挙する体裁となっていることに鑑みれば、保護責任者自らが教育を実施する必要はなく、第三者に教育の実施を委ねることも可能と考えられます。加えて、同申請書のフォーマット上、教育実施者の特定秘密の保全業務の経験や保全教育の受講実績について特記することが求められていることからすると、当該第三者が特定秘密保護法や本法に基づくセキュリティ・クリアランスを過去に保有していた経験があったり、情報保全教育の受講実績や情報保全業務の経験等があったりする場合には、教育実施者として適切との判断を得やすいものと考えられます。
施設設備の整備
運用基準は、適合事業者の認定における考慮要素の1つとして、「現地で実際に確認した上で、重要経済安保情報の保護のために設置されることになる施設設備が、重要経済安保情報を保護するための必要な機能及び構造を有し、立入りの制限や持込みの制限に関して有効な機能及び構造を有しているかどうか」を挙げています(運用基準36~37頁)。当該考慮要素に対応する事前準備事項として、適合事業者向けガイドラインは、「重要経済安保情報を取り扱う場所(中略)において必要な施設設備が整備されていること」(以下、重要経済安保情報を取り扱う場所を「重要経済安保情報取扱区画」といいます)、ならびに、「重要経済安保情報取扱区画に、立入制限や機器持込制限等のルールが策定され適切に運用されていること」を求めています。
(1)重要経済安保情報取扱区画において必要な施設設備が整備されていること
これらのうち、前者の「重要経済安保情報取扱区画において必要な施設設備が整備されていること」に関して、適合事業者向けガイドラインは、整備すべき施設設備の例を詳細に示しています。こうした施設設備の例は、運用基準案と共にパブリック・コメントに付された「運用基準の補足として今後定めていくもの」(以下「補足資料」といいます)の中でも挙げられていましたが、補足資料と適合事業者向けガイドラインとでは記載ぶりに相違があり、適合事業者向けガイドラインの下では、例示されたものと異なる施設設備を採用する余地が狭められているようにも読めるので注意が必要です。
| 類型 | 整備すべき施設設備の例 |
|---|---|
| ① 重要経済安保情報取扱区画 | (社屋への入場制限)
|
| ② 保管容器 | 施錠可能で十分な強度を有する審査行政機関が適切と認める保管庫を設置する(三段式文字盤鍵のかかる金庫または鋼鉄製の箱など) |
| ③ 保護のための施設設備 |
|
| ④ 電子計算機の使用の制限等 |
|
(2)重要経済安保情報取扱区画に、立入制限や機器持込制限等のルールが策定され適切に運用されていること
他方、後者の「重要経済安保情報取扱区画に、立入制限や機器持込制限等のルールが策定され適切に運用されていること」に関して、適合事業者向けガイドラインは、1-1で解説した規程に定めたうえで、適切に運用することを求めています。
規程ひな型上では、以下の28条(立入制限)、29条(機器持ち込み禁止)がこれに該当すると考えられます。
- 重要経済安保情報取扱区画の出入口に立入禁止の掲示を施すと共に(規程ひな型28条1項、契約ひな型19条1項)、取扱者以外の者を立ち入らせないこと(規程ひな型28条2項、契約ひな型19条1項)
- 重要経済安保情報取扱区画の出入口にスマートフォンなどの携帯型情報通信・記録機器や録音機・ビデオカメラ等の記録機器の持ち込み禁止の掲示を施すと共に(規程ひな型29条1項、契約ひな型20条2項)、かかる機器を持ち込ませないこと(規程ひな型29条2項、契約ひな型20条1項)
適合事業者認定申請書の提出、適合事業者の認定
適合事業者の認定申請を行うにあたっては、重要経済安保情報の提供元となる行政機関に対し、認定申請書を提出する必要があります(運用基準35頁)。
認定申請書のフォーマットは、運用基準に添付されており、申請書に併せて提出する添付資料の具体的な内容は、適合事業者向けガイドラインにおいて明らかにされています。その中には、規程(本記事1-1)や教育資料(本記事1-3)のほか、申請の日の前6か月以内の株主名簿、役員や保護責任者、業務管理者(本記事1-2(2))の戸籍抄本(日本国籍の場合)または旅券の写し(外国籍の場合)、施設設備のカタログ情報等が含まれています。
行政機関が企業を適合事業者に認定した場合、その結果は、行政機関から企業に書面で通知されます(行政機関向けガイドライン47頁)。
契約の締結
適合事業者の認定を受けると、企業は、重要経済安保情報の提供元となる行政機関との間で契約を締結します。
適合事業者向けガイドラインには当該契約のひな型(以下「契約ひな型」といいます)が添付されており、その内容として、保護責任者および業務管理者の責務、教育の実施等のほか、適性評価 4 の手続や文書等の接受・取扱いに関する事項等が含まれています。こうした内容は多くの部分において規程ひな型と共通しているところ、規程と契約のそれぞれで共通の事項を定めるのは、規程の整備を通じて企業の内部において体制整備を促す一方で、契約の締結を通じて企業の外部から体制整備を義務付け、重要経済安保情報の保護を二重に担保させる趣旨と考えられます。
このように、規程ひな型と契約ひな型は対になる関係にあるため、規程との関係でも言及したように(本記事1-1)、適合事業者の認定申請の過程において規程ひな型を修正した場合(1-1で述べたとおり、行政機関との協議が必要となります)、修正の内容によっては、契約ひな型の修正も必要となりうることに注意が必要です。
適合事業者の認定取得後の事情変更
適合事業者の認定を取得した後に、認定申請書の記載事項または認定申請書に添付した規程や教育資料を変更しようとする場合、原則として当該変更を行う前に、重要経済安保情報の提供元となる行政機関に報告を行い、再審査を受ける必要があります(規程ひな型7条~11条、契約ひな型4条1項・2項)。ただし、当該変更が軽微な変更であると行政機関が認めた場合等は再審査は不要となります(契約ひな型4条1項・2項)。なお、再審査が行われている間は、引き続き重要経済安保情報の取扱いを行うことが可能です(契約ひな型4条3項)。
(資料)セキュリティ・クリアランス関連法令の全体像
重要経済安保情報保護活用法とその下位法令、ガイドライン等の構成は、以下のとおりです。
| 法令等 | 概要 | 成立/施行/公表時期 |
|---|---|---|
| ① 重要経済安保情報保護活用法 | 本法それ自体 | 2024年5月10日成立 2025年5月16日施行 |
|
2025年1月31日閣議決定 2025年5月16日施行 |
|
|
2025年1月31日閣議決定 2025年5月16日施行 |
|
④ 重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)、 |
|
2025年5月2日公表 |
|
2025年5月2日公表 |
-
重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)(2025年5月2日)。このガイドライン自体は法令ではありませんが、ガイドラインの内容のうち、規程(本記事1-1)や契約(本記事3)に裏付けられた事項は、企業に対して法的な拘束力を有するため、注意が必要です。 ↩︎
-
重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準(2025年5月16日施行) ↩︎
-
重要経済安保情報の指定及びその解除、適性評価の実施並びに適合事業者の認定に関し、統一的な運用を図るための基準(2025年5月16日施行) ↩︎
-
重要経済安保情報の取扱いの業務は、適性評価において重要経済安保情報の取扱いの業務を行った場合にこれを漏らすおそれがないと認められた者でなければ行ってはならないこととされています(重要経済安保情報保護活用法11条1項)。詳細は「セキュリティ・クリアランス制度の概要を重要経済安保情報保護活用法に基づき解説」の「4-4 重要経済安保情報の取扱者の制限」をご覧ください。 ↩︎
アンダーソン・毛利・友常法律事務所外国法共同事業
- コーポレート・M&A
- 知的財産権・エンタメ
- 危機管理・内部統制
- 国際取引・海外進出
アンダーソン・毛利・友常法律事務所外国法共同事業
- コーポレート・M&A
- 事業再生・倒産
- 国際取引・海外進出
- 訴訟・争訟
- 資源・エネルギー
- ベンチャー
アンダーソン・毛利・友常法律事務所外国法共同事業
- コーポレート・M&A
- IT・情報セキュリティ
- 知的財産権・エンタメ
- 危機管理・内部統制
- 競争法・独占禁止法
- 国際取引・海外進出
- 資源・エネルギー
- ベンチャー
アンダーソン・毛利・友常法律事務所
アンダーソン・毛利・友常法律事務所外国法共同事業