(写真:毎日新聞社/アフロ)
(前回から読む) 経済安全保障の一環として、セキュリティー・クリアランス制度の必要性が叫ばれる。国家の機密情報にアクセスできる人を信用できる人物に限定するための審査・承認制度だ。しかし、この制度の導入・運用には多大なマンパワーとコストがかかる。米国をはじめとする友好国との相互運用性を実現するのも容易ではない。
経済安全保障への注目度が増すにつれ、メディアでの登場回数が増えてきたキーワードの1つがセキュリティー・クリアランス(SC)制度だ。国家の機密情報を扱う人物の適格性を評価し承認する制度である。
その導入の必要性が以前から叫ばれていたが、2022年5月に成立した経済安全保障推進法には盛り込まれなかった。2013年に成立した特定秘密保護法を審議する過程で、大規模な反対運動が起こった。これを踏まえて、政府与党は盛り込むのを見送ったとされる。SC制度は、大ざっぱに言うと、特定秘密保護法が保護対象とする情報の範囲を広げるものだからだ。
特定秘密保護法が保護するのは、外交・防衛に関する事項で「その漏えいが我が国の安全保障に著しい支障を与えるおそれがあるため、特に秘匿することが必要であるもの」に限られている。それゆえ、軍事に転用可能であっても、技術情報そのものは保護の対象になっていない。このため、米国などとの技術共同開発に支障をきたすことが懸念されており、より広い範囲の情報を対象とするSC制度が必要だとされる。
日本製品の“穴”が知らぬ間に共有される
米国の仕組みを例にSC制度の概要を見てみよう。経済安全保障に詳しい國分俊史・多摩大学教授 は日経ビジネスの取材に答えて次のように説明した(関連記事「機密取扱許可制度の衝撃! 自社の知らない脆弱性が共有されている」)。
その根幹は「機密情報の漏洩を防ぐべく、機密情報へのアクセスを、これを悪用しない人物に限定するために政府が運用する信用資格制度」(國分教授)だ。保護すべき情報を政府が指定し、それぞれにランクをつける。英語ではこの作業を「classify」と表現する。次に、アクセスできる人物をclassifyする。申請した人物の信用を評価し、アクセスの可否とアクセスできる範囲を決める。
安全保障を中心とする機密情報(CI:Classified Information)だけが管理の対象だったが、バラク・オバマ大統領(当時)が2010年、「米国の産業競争力に資する情報」もアクセス管理の対象とするよう大統領令で定めた。この情報の中には、米政府が生成するCUI(Controlled Unclassified Information:機密ではないけれども管理が必要な情報)や民間が生成するCUIがある。
このCUI中に、日本の企業が製品開発を進めるのに欠かせない情報が存在する。その1つがNVD(National Vulnerability Database)と呼ばれるデータベースだ。米国立標準技術研究所(NIST)が運営している。セキュリティーホールなどIoT(モノのインターネット)製品の脆弱性に関する情報が保存されている。
からの記事と詳細 ( 機密情報の漏洩対策「ゼロ」は「日米同盟最大の弱点」 - 日経ビジネスオンライン )
https://ift.tt/SEvgDTx
No comments:
Post a Comment