はじめての方
無料経営分析
お問合せ
ログイン
お気に入りに追加
中小企業も押さえておくべき「経済安全保障」の勘所<後編>
中小企業・小規模事業者も対応が望まれる「経済安全保障」。そのトレンドは「人権デューデリジェンス」と「セキュリティクリアランス」です。社会情勢が複雑化する中、事業を継続する上で対応が求められますが、そもそもどのようなものなのでしょうか。専門家が解説します。
(掲載日 2024/02/26)
中小企業だから知りたい、備えたい!経済安全保障とは何か<後編>
「経済安全保障」のトレンド
「経済安全保障」に関連して、最近の注目キーワードを二つ取り上げます。| 用語 | 意味 |
|---|---|
| 人権 デューデリジェンス | 従来の観点(財務、事業など)に加え、人権という観点で取引相手を評価すること。たとえば、ESG投資の一環で、人権に配慮しない企業の製品は購入しない、投資をしないといった動きが見られる。 |
| セキュリティ クリアランス | 産業スパイなどの内部不正を未然に防ぐため、取引相手や従業員、出入り業者などの身元調査を行うこと。各国が技術開発でしのぎを削る中、技術情報の流出防止は世界的に大きな課題となっている。 |
「人権デューデリジェンス」について
「人権デューデリジェンス」の課題は、この先中小企業にも対応が求められるようになるでしょう。事実、日本は「離婚後共同親権」と「外国人技能実習生制度」に人権上の問題があると国連に指摘を受けています。人権の問題はけっして無視してはなりません。自社が人権を侵害しないだけでなく、取引先が人権侵害をしていないことにも責任が生じます。取引先が重要な材料の仕入先や大口の取引先だった場合を想像してください。取引先が操業停止になったとして、資本の蓄積のある大企業製造業であれば材料が入ってくるまで半年くらいは耐えられるかもしれませんが、中小製造業でも同じことが言えるでしょうか。
人権デューデリジェンスへの注目度が高まっている一例として、米国の「グローバルマグニツキー法」の存在が挙げられます。同法は、人権侵害を行う企業と取引のある企業、に対して、推移的に経済制裁(米ドル決済口座の凍結など)を課すことができるというものです。
これは、事実上貿易取引の禁止であって、わが国の大手アパレルメーカーが米国への輸出を禁止された事例があります。
中小企業の人権デューデリジェンス対応は、たとえば以下のようなものがあります。
•国内だけでなく、海外の報道が必要です。海外情報は、たとえばJICAやJETROなどの政府組織が無料で公開しています。まずは、JETROのビジネス短信に目を通すことをお薦めします。
•取引先の信用調査を行います。最初はGoogleや求人サイトの口コミなどに目を通すとよいでしょう。悪い評判だけでなく、良い評判にも注目します。まったく悪い評判のない口コミは、情報が操作されていないか疑って読み込む必要があります。
•信用調査会社の利用も検討しましょう。一件あたり数千円で請け負う調査会社もあります。
【ポイント】
- •企業経営において人権は重要な問題です。自社だけでなく、取引先においても人権侵害が行われていないか調査する必要があります。人権に配慮しない企業は、市場経済から締め出されます。経済安全保障の実現には、人権デューデリジェンスへの対応が不可欠です。
- •信用調査は、簡単な方法から、調査会社に依頼する方法まであります。1社あたり数千円から依頼することが可能です。
「セキュリティクリアランス」について
令和5年6月、国立研究機関の外国人研究員が、出身国の軍事研究機関に同研究所内の研究成果を持ち出したことが報じられました。この問題は、わが国の「セキュリティクリアランス」制度が不十分であることに起因します。産業スパイというと政府機関や大手企業が狙われる、というイメージをお持ちの方も少なくないでしょう。しかし、わが国のたとえばものづくり産業を支える中小企業にこそ、産業スパイが欲してやまない技術や情報の「宝の山」が眠っているのです。
「セキュリティクリアランス」が法制化されると、先端技術や個人情報といった機微情報を扱う者に対し、政府や企業が身元調査を行う法的根拠を与えるものと考えられます。
そして「セキュリティクリアランス」への対応は、この先大企業だけでなく、中小企業にも厳しく求められるようになります。たとえば、今後、4つ+1の柱の一つ、「基幹インフラ役務」に関連する事業者に対して、「セキュリティクリアランス」への対応が強く求められる見通しです(本稿を執筆した令和5年12月時点)。「基幹インフラ業務」にはたとえば運輸業も指定されています。運輸業には中小零細企業も多数存在します。
産業スパイが狙うのは高度なテクノロジーだけではありません。たとえば行政窓口の利用者リストも産業スパイにとっては宝の山です。なお、平成27年の個人情報保護法改正により、1名以上の個人情報を取り扱う事業者は個人情報取扱事業者になりました。
「セキュリティクリアランス」と聞くと何か特別な、新しいことをしなければならないかというとそんなことはありません。まずは、従来通りの情報セキュリティ対策を徹底しましょう。従来通りの情報セキュリティ対策が、有効な産業スパイ対策です。
参考:情報セキュリティの三要素
これらの三要素はトレードオフの関係にあります。たとえば、機密性を高めると可用性が低下します。
- ・機密性:認められた者だけが認められた範囲の情報にアクセスできること
- ・完全性:情報に誤りがなく、過不足や改ざんなどが行われていないこと
- ・可用性:情報を利用したいときに確実に利用できること
これらの三要素はトレードオフの関係にあります。たとえば、機密性を高めると可用性が低下します。
参考:情報セキュリティの三つの側面
情報セキュリティ対策は、IT技術によるものだけでは不十分です。情報セキュリティ事故の原因は、その大半が人的側面、すなわちヒトの故意や過失によるものと考えられています。
情報セキュリティ対策は、IT技術によるものだけでは不十分です。情報セキュリティ事故の原因は、その大半が人的側面、すなわちヒトの故意や過失によるものと考えられています。
- ・技術的側面:IT技術の側面。ウィルス対策ソフトやOSのセキュリティアップデートなど。
- ・物理的側面:建物や設備の側面。セキュリティゲートや防犯カメラなど。
- ・人的側面:教育や意識付けの側面。セキュリティ研修やセキュリティに配慮した作業マニュアルの整備など。
中小企業の情報セキュリティ対策として、まずは次のようなことに取り組むとよいでしょう。
•情報セキュリティ対策は (IT)技術的側面、物理的な(設備)側面、ヒト(教育)の側面で対策のバランスが重要です。どれか一つの側面を選んで実施するのではなく、すべての側面で実施します。
(1)技術的側面では、データ保管方法(アクセス制限、暗号化など)、システム利用者認証(システム利用者を最小限に絞る、業務から離れた者のアクセス権限を削除するなど)などを確認してください。
(2)物理的側面では、防犯カメラの設置、セキュリティカードの共有や共連れ禁止などのルールを徹底してください。社員証には写真を載せることを検討してください。ただし、社外では顔写真や名前が見えないようにポケットに収納する、または上着で隠すなどの対応を指導してください。
(3)ヒト(教育)の側面では、 社外や社内の共有スペースなどで業務に関する話をしない、業務に関わる情報や資料を不用意に持ち出さない、などのルールを徹底してください。
•IPAの「中小企業の情報セキュリティ対策ガイドライン」を熟読し、年に一度は「5分でできる!情報セキュリティ自社診断」を実施しましょう。
•身元調査は探偵会社に依頼するだけが方法ではありません。家族、前職の勤務先への問い合わせ、SNS投稿の確認など、調査の専門家でもできる方法 があります。
【ポイント】
- ・わが国の「セキュリティクリアランス」は不十分であり、今後は中小企業のコア技術に狙いを定める産業スパイ対策が必要である。
- ・情報セキュリティ対策の一環として、まずはできるところから「セキュリティクリアランス」に取り組む必要がある。
著者プロフィール
