2025年5月16日、「重要経済安保情報の保護及び活用に関する法律」が施行されました。セキュリティ・クリアランス制度の民間適用を定めたこの法律は、防衛産業に限らず幅広い業種の企業に影響を与えます。しかし「名前は聞いたが、情シスとして何を準備すればよいかわからない」「そもそも自社が対象なのかも判断できていない」という声が多いのが現状です。

本記事では、法律の骨格から適合事業者認定の3要件、情シスが段階的に実装すべきIT管理対応まで体系的に解説します。制度の全体像を把握したうえで、自社にとって必要なアクションを判断したい担当者の方に向けた内容です。

重要経済安保情報保護活用法とは？法律の基本を理解する

2024年5月に成立し2025年5月16日に施行されたこの法律は、経済安全保障分野における機密情報を体系的に保護するための制度を民間企業にも展開するものです。ITガバナンス上の対応を検討する前に、まず法律の骨格を把握しておくことが判断の前提となります。

法律が制定された背景と目的

半導体・量子技術・人工知能・重要インフラをめぐる国際競争が激化する中、外国の情報機関による産業スパイ活動やサイバー攻撃を通じた技術情報の窃取が世界規模で深刻化しています。日本においても、経済安全保障上の重要情報を体系的に保護する仕組みの構築が長年の課題でした。

重要経済安保情報保護活用法は、「経済活動に関して行われる国家および国民の安全を害する行為を未然に防止する」ことを目的として制定されました。2013年成立の特定秘密保護法が防衛・外交・テロを対象としていたのに対し、この法律は先端技術・サプライチェーン・エネルギー・サイバーセキュリティ等の経済安全保障全般を対象としています。防衛産業に限らず、政府と取引のある製造業・ITベンダー・研究機関にも直接的な影響が及ぶ点が大きな違いです。

施行と同年の2025年5月2日には「重要経済安保情報保護活用法の運用に関するガイドライン（適合事業者編）」が公表され、民間企業が参照すべき具体的な基準が示されています。

参考：

• 重要経済安保情報保護活用法 - 内閣府
• 重要経済安保情報の保護及び活用に関する法律 - e-Gov

「重要経済安保情報」とは何か

重要経済安保情報とは、行政機関の長が経済安全保障上の観点から指定する情報です。民間企業が自ら指定するものではなく、政府が保有・管理する情報を業務上受け取る必要が生じたときに、企業側の対応義務が発生します。

対象となる情報の領域は以下の4分野に大別されます。

• 先端重要技術: 半導体・量子・AI・バイオ等の研究開発・製造に関する情報
• サプライチェーン: 重要物資の生産・調達・在庫に関する情報
• 重要インフラ: エネルギー・交通・通信等の設備・運用に関する情報
• サイバーセキュリティ: 重要システムの脆弱性・防衛策に関する情報

自社の事業がこれらの領域と接点を持つ場合、政府から情報の提供を受けるケースが生じる可能性があります。

セキュリティ・クリアランス制度の仕組み

この法律の中核となるのがセキュリティ・クリアランス制度です。重要経済安保情報にアクセスする必要がある者について、政府が事前に信頼性を評価・認定する仕組みで、以下の3段階で構成されます。

まず企業が「適合事業者」として行政機関から認定を受けます。次に、当該企業の中で実際に情報へアクセスする従業員が適性評価（身辺調査）を受け、クリアランス資格を付与されます。最後に、行政機関と秘密保持契約を締結したうえで、情報の提供・活用が開始されます。

資格保有者には厳格な情報管理義務が課され、違反した場合は懲役5年以下等の罰則が科されます。企業として管理体制を整備する理由は、コンプライアンス対応にとどまらず、従業員を制度上のリスクから守ることにもあります。

参考：

• セキュリティ・クリアランス制度の概要 - BUSINESS LAWYERS
• 【2025年5月施行】セキュリティ・クリアランス制度とは？

自社は対象か？企業への影響範囲を判断する

「うちの会社には関係ない」と判断している企業でも、取引先の状況や事業の性格によって間接的な影響を受けるケースは少なくありません。まず自社の状況を正確に把握することが、対応方針の出発点となります。

影響を受けやすい業種・企業

重要経済安保情報保護活用法の直接的な影響を受けやすいのは、政府機関との取引・連携がある業種です。具体的には以下のような企業が該当します。

• 防衛・宇宙・航空産業: 防衛省・JAXAとの契約がある企業
• エネルギー・重要インフラ: 電力・ガス・通信・金融分野の事業者
• 先端製造業: 半導体・量子技術・AI開発に携わるメーカー
• ITベンダー・システムインテグレーター: 政府・省庁のシステム開発・運用を担う企業
• 研究機関・大学発スタートアップ: 先端技術の研究開発を行う組織

従業員500名以上の中堅・大企業においては、取引先や親会社を通じた間接的な影響も見過ごせません。サプライチェーン上流の企業が適合事業者となった場合、協力会社に対しても一定の情報管理水準が要求されることがあります。

「適合事業者」認定が必要なケース

適合事業者の認定が直接必要になるのは、行政機関から重要経済安保情報の提供を受ける場合です。ただし、認定を保有していない企業でも、以下の状況では影響が生じます。

取引先企業が適合事業者となり、契約上の情報管理基準の引き上げを求めてくるケースがあります。また政府調達の入札条件に適合事業者認定が含まれる場合、未取得の企業は入札資格を失います。将来的に先端技術分野への参入や政府プロジェクトへの参画を計画しているならば、今から体制を整えておくことが得策です。

認定取得は義務ではなく、あくまでも経営判断の問題です。ただし、取得しないという判断にも相応の根拠と将来リスクの評価が必要です。

影響判断チェックリスト

自社への影響を簡易的に判断するために、以下の項目を確認してください。

• ☐ 防衛省・経済産業省・内閣府等との直接取引がある
• ☐ 半導体・AI・量子等の先端技術の研究開発・製造を行っている
• ☐ 電力・通信・金融・交通等の重要インフラの運用・保守を担っている
• ☐ 取引先から情報管理体制の強化を求められている
• ☐ 将来的に政府系プロジェクトへの参画を検討している

1項目でも該当するなら、法務部門・経営層と連携して対応方針を早期に検討することをお勧めします。

参考：

• セキュリティ・クリアランス制度が及ぼす民間企業への影響と対応 - 日立コンサルティング

適合事業者認定の3要件とIT管理への影響

適合事業者として認定を受けるには、人員・物理セキュリティ・サイバーセキュリティの3領域にわたる要件を満たす必要があります。情シス担当者が最も深く関与するのはサイバーセキュリティ要件ですが、他の2領域も情報システム管理の観点から切り離せません。

人員要件 — クリアランス資格者の管理

人員要件とは、重要経済安保情報を取り扱う従業員が適性評価を経てクリアランス資格を保有している状態を維持することです。情シス部門が実務として担う業務が2つあります。

1つは、資格保有者の台帳管理です。適性評価を受けた従業員リストを整備し、資格の有効期間や更新スケジュールを追跡管理します。もう1つは、退職・異動時のアクセス権の即時停止です。クリアランス資格者が組織を離れる際には、速やかに該当アカウントを無効化しなければなりません。これは既存の入退社管理フローと直結する作業であり、手動対応の抜け漏れが法律違反につながるリスクがある点に注意が必要です。

物理セキュリティ要件 — 施設・設備の整備

物理セキュリティ要件では、重要経済安保情報を取り扱う専用エリアの設置と、入退室管理システムの整備が求められます。情シス担当者にとっては、入退室ログの取得・保管・管理が新たな業務として加わることになります。

デバイスの持ち込みルールの策定も情シスの役割です。スマートフォンや外部記録媒体の持ち込みを禁止する運用を定め、技術的な制御の実装で担保します。物理的なアクセス制御と電子的なアクセス制御を連動させる設計が、この要件の本質です。

サイバーセキュリティ要件 — 情シスの主戦場

3つの要件のうち、情シス部門が最も主体的に取り組むのがサイバーセキュリティ要件です。内閣府のガイドラインはNISTサイバーセキュリティフレームワーク2.0への準拠を推奨しており、以下の対応が求められます。

• ネットワーク隔離・セグメンテーション: 重要経済安保情報を扱うシステムを一般業務ネットワークから分離する
• サプライチェーンのセキュリティ管理: 外部ベンダーやクラウドサービスを通じた情報漏洩リスクを評価・管理する
• ログ管理・監査証跡: すべてのアクセスと操作を記録し、改ざん防止措置を講じた状態で保存する
• 脆弱性管理: 利用するシステムやSaaSの脆弱性を定期スキャンし、対処する
• インシデント対応体制: 情報漏洩や不正アクセスが疑われた際の報告ルートと対応手順を事前に確立する

参考：

• 重要経済安保情報の保護及び活用に関する法律｜サイバー/デジタルリスクNavi

情シスが実装すべきIT管理対応ロードマップ

適合事業者認定を目指す場合も、まずは現状把握から着手するのが現実的です。以下に、フェーズごとの具体的な取り組みを整理します。

フェーズ1（即時対応）— 現状把握と影響範囲の特定

最初に取り組むべきは、自社のIT管理体制の現状確認です。重要経済安保情報を取り扱う可能性があるかどうかに関わらず、以下の棚卸しはあらゆる企業にとって意義があります。

確認すべき項目は4点です。現在利用しているSaaSおよびクラウドサービスの全量を把握できているか。誰がどのシステムにアクセスできるか、権限を一元管理できているか。退職者・異動者のアカウントが適切に無効化されているか。監査ログが主要システムから取得・保存されているか。

これらが「できていない」状態であれば、適合事業者要件以前に基本的なITガバナンスのリスクが存在します。現状の課題を可視化し、経営層・法務部門と共有したうえで対応優先度を決定してください。

SaaS棚卸し やり方

アクセス権限 棚卸し 方法

フェーズ2（3〜6ヶ月）— 体制整備

現状把握が終わったら、アクセス管理・ログ管理・ポリシー整備の3本柱を強化します。

アクセス管理については、最小権限の原則に基づき、各従業員が業務上必要な最低限のアクセス権のみを持つ状態を実現します。長期間見直されていない過剰な権限付与や、退職者アカウントの放置を解消し、四半期または半期ごとの棚卸しサイクルを定着させることが目標です。

監査ログの整備では、認証ログ・アクセスログ・操作ログを網羅的に取得し、改ざんが困難な形式で保存します。保存期間についても、ガイドラインや自社ポリシーに基づいて明確に定義してください。

セキュリティポリシーは、既存のものを見直して重要経済安保情報の取り扱いに関するルールを加えます。格付け・分類・共有制限・廃棄方法を具体的に定め、改定後は全従業員への周知と教育を実施します。

監査ログ 取り方 SaaS

フェーズ3（適合事業者申請）— 認定取得

体制が整ったら、認定申請に進みます。内閣府が公表する適合事業者向けガイドラインには規程の雛形が附属しており、これをベースに自社の規程を整備するのが効率的です。

申請前に内部監査を実施し、3要件への準拠状況を確認します。不備があれば改善のうえ再度確認し、準備が整ったところで行政機関へ申請します。認定取得後は秘密保持契約を締結し、情報提供・活用が開始されます。認定後も定期的な更新・再評価が求められるため、継続的なコンプライアンス管理の仕組みをフェーズ2の段階から意識して設計しておくことが大切です。

参考：「重要経済安保情報の保護及び活用に関する法律」について - 内閣官房/内閣府（METI）

アクセス管理・アカウント管理の強化ポイント

適合事業者要件の中で、情シス担当者が最も実務として向き合うのがアクセス管理とアカウント管理の強化です。ここを整備することで、要件への対応と組織全体のセキュリティリスク低減を同時に達成できます。

取扱者のアクセス権管理

クリアランス資格者と非資格者のアクセス権は、明確に分離する必要があります。重要経済安保情報にアクセスできるシステム・フォルダ・データベースへの権限は、クリアランス資格を保有する従業員にのみ付与し、それ以外からは物理的・論理的にアクセスできない設定を徹底してください。

SaaSやクラウドサービスでも同様の管理が求められます。どのサービスにクリアランス関連の情報が格納されているかを把握し、そのアクセス権を厳格に管理することが必要です。特に問題になるのは、部門担当者が独自に契約したSaaSに重要情報が保存されるケースです。組織全体のSaaS利用状況を可視化し、未承認サービスへの情報流出経路を遮断することが前提条件となります。

退職または異動した際のアカウント処理も、クリアランス資格者については即時対応が原則です。手動対応では確認漏れや処理遅延が生じるため、HR情報システムと連携した自動化を検討することをお勧めします。

シャドーITとは

SaaSアクセス管理とは

監査ログの取得と保存

重要経済安保情報へのアクセスをすべてログとして記録し、一定期間保存することが必要です。取得すべきログは、大きく4種類に分類されます。

• 認証ログ: システムへのログイン・ログアウト、認証失敗の記録
• アクセスログ: 特定ファイル・フォルダ・システムへのアクセス記録
• 操作ログ: ファイルの閲覧・編集・コピー・削除・印刷等の操作記録
• 特権操作ログ: システム管理者による特権操作の記録

保存期間は、自社のポリシーとガイドラインに基づいて設定しますが、最低1年以上が一般的な水準です。ログの改ざんを防ぐために、書き込み専用ストレージや外部SIEMへの転送を組み合わせて運用します。定期的なレビューを実施し、不審なアクセスパターンを早期に検知する運用フローも合わせて整備してください。

SaaSの可視化と棚卸し

重要経済安保情報保護活用法への対応において、「自社でどのSaaSが使われているか」を把握していることは大前提です。把握できていないSaaSが存在する限り、そのサービスを通じた情報漏洩リスクを管理できません。

情シス部門が正式に認可しているSaaSの一覧を整備し、セキュリティ水準・データ保存場所・アクセス制御機能をそれぞれ評価します。次に、従業員が独自に利用している未承認SaaSを洗い出し、重要情報が流入していないかを確認します。未承認サービスへのアクセスは原則禁止とし、業務上必要なものについては申請・承認フローを経て認可するルールを策定してください。

ジョーシスのプラットフォームでは、60種類以上のSaaSとの連携によって組織内の利用状況を一元的に可視化できます。誰がいつどのサービスにアクセスしているかをリアルタイムで把握し、アクセス権棚卸しを効率的に実施できる環境を整えることができます。

SaaS管理とは

SaaSガバナンスとは

参考：セキュリティ・クリアランス制度：日本企業への影響と対策 - Control Risks

従業員教育・人的セキュリティ対策

技術的な対策をどれだけ整備しても、従業員の行動が伴わなければ実効性を担保できません。人的セキュリティ対策は、重要経済安保情報保護活用法対応において技術적対策と同等の優先度を持ちます。

クリアランス資格者への教育

クリアランス資格を持つ従業員には、一般的な情報セキュリティ教育を超えた行動規範の徹底が必要です。

最も優先すべきなのは、自身がクリアランス資格を保有していることを外部に公開しないという原則の周知です。SNSへの投稿、公開の場での会話、名刺への記載はすべて禁止としてください。外国の情報機関や悪意ある第三者が、クリアランス資格保有者を標的として接触を試みるリスクがあります。

適性評価で提出する質問票には個人の機微な情報が含まれるため、上司が内容を問い合わせることを組織的に禁止します。万一、不審な人物から情報提供や協力を求められた場合の報告ルートを明文化し、即座に組織として対応できる体制を整えておいてください。

全従業員への情報セキュリティ教育

クリアランス資格者以外の従業員にも、重要経済安保情報に関する基本的な理解と情報管理ルールの周知が必要です。

フィッシングメール・ソーシャルエンジニアリング・不正なUSBデバイスの使用など、サイバー攻撃の手口は多様化しています。対処方法は座学に限らず、フィッシングシミュレーション等の実地訓練を通じて習得させる形が効果的です。

インシデントが発生した際の報告ルートについても、全従業員が即座に動けるよう定期的な訓練と周知を組み合わせて定着させます。「誰に・何を・いつ・どのように報告するか」を手順書として整備しておくことが、有事の対応速度を左右します。

特定秘密保護法との違いと比較

既存の特定秘密保護法との違いを整理しておくことで、重要経済安保情報保護活用法が自社にもたらす変化の本質が見えてきます。2つの法律は連続する制度設計の上にありますが、影響範囲と民間への要求水準に大きな差があります。

情シス担当者にとって最も重要な差異は、影響を受ける業種の広さと、適合事業者制度という体系的な民間向け認定の仕組みが整備された点です。特定秘密保護法が防衛産業に実質的に限られていたのに対し、重要経済安保情報保護活用法は情報通信・製造・エネルギー等の幅広い企業に波及します。

この制度は今後の政府調達要件や国際的なビジネスパートナーシップの条件にも影響を与える可能性があります。中長期的な事業戦略を踏まえた体制整備が、競争優位の確保にもつながることを念頭に置いてください。

参考: 1 Economic Security & International Trade 2025年6月9日 - AMT法律事務所

参考: 重要経済安保情報保護・活用法等に関する説明会を開催 - 経団連タイムス

Josysのプラットフォームで実現する対応効率化

重要経済安保情報保護活用法への対応は、情シス部門にとって新たな管理業務の追加を意味します。既存の業務をこなしながらアクセス管理・ログ管理・SaaS可視化の要件を満たすには、ツールによる効率化が現実的な解決策です。

SaaS可視化による情報管理の基盤構築

ジョーシスのプラットフォームを導入することで、各部門が個別に契約・利用しているSaaSの全量を情シスが把握できるようになります。「誰が何にアクセスできるか」が不明瞭だった状態から、利用状況をリアルタイムで確認できる状態への転換です。

重要経済安保情報が格納される可能性があるSaaSを特定し、アクセス権を管理するには、まずそのSaaSの存在を把握していることが前提条件となります。ジョーシスのブラウザ拡張機能を活用したシャドーIT検出機能により、情シスが認知していない未承認SaaSの利用も可視化できます。

シャドーIT 対策

シャドーIT 検出 方法

アクセス権棚卸しの効率化

適合事業者要件を満たすうえで避けられないアクセス権棚卸しは、手動で行うと工数が膨大になります。ジョーシスのプラットフォームでは、60種類以上のSaaSにわたるアクセス権の状況を一画面で確認でき、定期的な棚卸し作業の工数を大幅に削減できます。

数日から数週間かかっていた棚卸し作業が、ジョーシスを活用することで数時間から1日程度に短縮されたという事例があります。継続的な準拠を維持するためには、この種の棚卸しを定期サイクルで実施できる仕組みの整備が不可欠です。

退職・異動時の即時アカウント管理

クリアランス資格者の退職・異動時に速やかにアクセス権を停止・削除することは、法律対応における重要な要件です。手動対応では確認漏れや処理遅延が生じるリスクが常に伴います。

ジョーシスのプラットフォームはHRシステムと連携することで、退職・異動情報に連動した自動オフボーディングを実現します。退職処理が完了した従業員のSaaSアカウントが自動で無効化・削除される仕組みを構築すれば、以前のように退職者のアカウントが数週間から数ヶ月にわたって放置されていた状態を根本から解消できます。

オフボーディング IT 自動化

まとめ — 情シスが今すぐ取り組むべきこと

重要経済安保情報保護活用法は2025年5月16日に施行済みです。自社への影響を確認し、必要な対応に着手することが今求められています。

情シス担当者が今すぐ取り組むべきアクションは3点です。

1つ目は影響範囲の確認です。自社が政府機関との取引・先端技術の研究開発・重要インフラの運用等に関与しているかを整理し、適合事業者認定の必要性を経営層・法務部門と判断します。

2つ目は現状のIT管理体制の棚卸しです。利用中のSaaSの全量把握・アクセス権の管理状況・監査ログの取得状況・退職者アカウントの処理状況を確認し、現状の課題を可視化します。

3つ目は優先度の高い対策からの着手です。最小権限の原則に基づくアクセス権の見直し・監査ログの整備・シャドーITの排除を優先課題として実装を開始します。

適合事業者認定の取得には時間がかかりますが、これらの基礎的な体制整備は、法律への対応としてだけでなく組織全体のセキュリティ強化としても確実に機能します。ジョーシスのプラットフォームを活用しながら、まず現状のSaaS管理とアクセス権管理の実態を把握することから始めてください。

IT内部統制とは

ITガバナンスとは

参考資料

• 重要経済安保情報保護活用法 - 内閣府
• 重要経済安保情報の保護及び活用に関する法律 - e-Gov
• セキュリティ・クリアランス制度の概要 - BUSINESS LAWYERS
• 【2025年5月施行】セキュリティ・クリアランス制度とは？
• セキュリティ・クリアランス制度が及ぼす民間企業への影響と対応 - 日立コンサルティング
• 重要経済安保情報の保護及び活用に関する法律｜サイバー/デジタルリスクNavi
• セキュリティ・クリアランス制度：日本企業への影響と対策 - Control Risks