昨今の世界情勢と経済安全保障

TMI総合法律事務所
パートナー弁護士　白石 和泰氏

ロシアによるウクライナ侵攻、米中の覇権争いの激化などにより、地政学リスクが高まり、経済安全保障への対策強化が強く求められるようになっています。民間企業においても、レアアースの禁輸措置など、エコノミック・ステイトクラフトに対抗する能力の確保は必須といえます。

企業にとって経済安全保障対応はコストではなく、経営のレジリエンスを向上させ、事業優位性を獲得することであり、前向きな事業投資といえます。

また、取締役の会社法上の善管注意義務という点からも、注視が必要です。過去には上場企業の役員が日米の輸出管理法令などに違反し、数十億円の制裁金及び和解金を支払った事例などもあったことから、経済安全保障対応は最優先課題のひとつといえるでしょう。

北朝鮮や台湾有事などの諸外国リスクにどう備えるか

TMI総合法律事務所
アソシエイト弁護士　國井 耕太郎氏

国際情勢は現在、戦後もっとも混沌とした状態にあるといえるでしょう。主に懸念される諸外国によるリスク要因を以下に挙げてみます。

• 米中間の緊張関係
• ロシアによるウクライナ侵略
• イスラエルのガザ侵攻
• 北朝鮮の核・ミサイル開発
• 台湾情勢の緊迫化
• 米大統領選のゆくえ

さらに米国からは日米同盟を強化し、インド太平洋地域の安定に、より貢献することも求められています。

さまざまな危機の火種が連なり、経済制裁諸規制への対応など、私たちはビジネスの世界でも難しい舵取りを迫られています。国際情勢が緊迫化するに伴い、各国による種々の法規制措置も活発化していますので、動向を常にフォローし、具体的かつ適切な分析が欠かせません。また、有事におけるサプライチェーンの確保を考慮しておくなど、BCP（事業継続計画）の策定は不可欠となってきたといえるでしょう。

経済安全保障をめぐる法規制対応のポイント

経済安全保障に関連する法規制の特徴を大まかに３つ申し上げると、

• ルールの広域性、複雑性（さまざまな局面に影響する、域外適用がある）
• 事実の把握、規制へのあてはめの困難さ
• 流動性、不明確性（国際情勢による見通しの立ちにくさ、頻繁な改正）

となります。頻繁な改正や規制対象品目の変化に対応するため、社内横断的に情報を集約し、迅速に対応できる体制が必要です。

そのため企業の担当者としては、動向変化や制度改正に対して速やかに対処するための企画や実行力、さらに巻き込み力が求められます。基本的な制度知識等の習得はもちろんのこと、自社のビジネス、組織、規程等をよく知っておく必要もあります。そのうえで、アップデートされた情報を社内に発信し、対策を実施する役目を担うことが可能となるでしょう。

会社全体としてはまず、コンプライアンスの整備、特に輸出管理体制及びデータコンプライアンスが重要になります。また、サプライチェーンも含めた情報集約、リスク評価が必要です。その過程ではデータコンプライアンス・データDDが不可欠になります。輸出管理、秘密情報管理、個人情報管理、サイバーセキュリティの観点からも、データ資産のマッピングを行ってリスクを精査しましょう。

留意すべき米中法規制の全体像（主な関係法令）

第1部の最後は白石氏が再度、登壇くださり、経済安全保障を情報セキュリティの観点から解説しました。エコノミック・ステイトクラフトに強い組織をつくるためには、BCPと並んで重要になってくるのが技術情報の管理体制を強化することです。そのためにはまず、経済安全保障に関わる重要な技術情報をマッピングするのが有効といえるでしょう。

経済安全保障にも効果的なオールハザードBCP策定のポイント

ニュートン・コンサルティング株式会社
執行役員 兼 プリンシパルコンサルタント　内海 良氏

日本では2011年の東日本大震災が契機となり、企業にBCPが根付きました。その後、風水害や新型コロナ、サイバー攻撃の深刻な被害を踏まえてBCPは進化し、現在ではあらゆる事象に対応できるオールハザードBCPの必要性が叫ばれるようになっています。

第1部で解説いただきましたとおり、地政学的な緊張はますます高まっており、さらに地震や豪雨といった災害も頻度を増し、企業がBCPを発動する機会も多くなっています。経済安全保障の対応をも含むオールハザードBCPを策定することが求められています。

オールハザードBCPでは、BCP を危機事象ごとに考えるのではなく、危機事象の予兆検知から収束に向かうまでを４つのフェーズで区切って考えます。有事の対応は主に初動対応、危機管理、事業継続、事業復旧のフェーズに分かれますので、そのそれぞれに必要な計画を策定します。

下図で示すとおり、どのような原因（危機事象）であれ、影響を受けるリソースは同じであることが分かります。

オールハザードBCPの考え方

人員が減ったり、原材料や部品の調達ができなくなったりというリソースの影響に対して計画を立てておけば、個別事象に対しても対応ができる、オールハザード型のBCPになります。

とはいえオールハザード型であれば、それだけでBCPの実効性が高まるわけではありません。以下に、経済安全保障にも効果的なオールハザードBCP策定のポイントを紹介します。

• 経営判断を行う、有事にも陣頭指揮を執る経営者の意向がしっかり反映されている
• 地政学等を想定したシナリオに基づき、当事者が演習やワークショップをしながら検討し、自組織に必要なルールをつくる
• 策定から運用まで全社的な取り組みとして推進する
• 年間計画にBCP活動を盛り込み、演習を繰り返しながら社内のリスクカルチャーを醸成する

とにかく大切なのはBCPをただの文書ではなく、活動にすること。チェックリストもご紹介しますので、自社のBCPついて、経済安全保障の観点で見直す必要がないか、ぜひ確認してみてください。

経済安全保障・地政学対応チェックリスト

NIST SP800-171の概要と勘所

もう１つ、経済安全保障をめぐる情報セキュリティのトレンドとして「NIST SP800-171」についてもご説明します。

NIST（米国国立標準技術研究所）が定めたセキュリティ基準を示すガイドラインがNIST SP800-171ですが、日本国内においても防衛省の調達基準「防衛産業サイバーセキュリティ基準」のベースとなっています。また、「政府機関等のサイバーセキュリティ対策のための統一基準群」でもサプライチェーン対策の強化において参考にされているなど、日本のサイバーセキュリティ戦略を理解するうえでも注視すべきガイドラインといえるでしょう。

NIST SP800-171は、機密以外の重要情報（CUI）^※1を扱う民間企業が実施すべきセキュリティ要件をまとめています。その特徴を簡潔に申し上げると、

• サプライチェーン全体で取り組むべきセキュリティ対策を示したもの
• 戦略レベルと技術的な対策をバランスよく14の分類、110の項目として整理
• 情報を守る機密性に特化しているため、データや通信の暗号化やネットワークの境界制御、システムへの認証・認可等を厳格化

といえます。民間企業がNIST SP800-171に準拠する場合には、まず保有する情報のうち何がCUIに該当するのかを同業種の例などから決めていき、以下のような対策をCUIに対して実施することになります。

NIST SP800-171の対策イメージ

現在、2020年2月に公開されたRevision 2が最新版ですが、2024年中にRevision３に更新予定^※2ですので、その変更点についても注目する必要があるでしょう。

※1　より厳格な管理が必要な機密情報であるCIに対し、機密情報以外の重要情報のこと。米国立公文書記録管理局が管理するCUIレジストリーでは、業種ごとにCUIに該当する項目が示され、例えば金融機関においては「金融業務上の秘密、予算、電子資金取引情報、買収関連情報、苦情情報など」がCUIに該当するとしています。

※2　2024年5月、NIST SP800-171「Rev.3」が正式発行。主な変更点についてはこちら

パネルディスカッション

プログラム最後のパネルディスカッションでは、当社代表もパネリストとして参加し、それぞれの専門分野から今回のテーマについて議論を交わしました。

ニュートン・コンサルティング株式会社
代表取締役社長　副島 一也氏

防衛省出身の國井氏からは、「世界の民主主義が後退して権威主義が強まり、国際情勢は冷戦時代よりも不確実性を高めている」とのお話がありました。企業や組織としては、不完全な情報であっても有事に瞬時の判断ができるように、日頃からシミュレーションや演習を重ねておく必要があると指摘されました。

とはいえ司会の白石氏から、「BCPといっても、経済安全保障には無関係との誤解を解消する必要がある」という意見がありました。副島氏は「確かに日本のBCPは地震対策が主流で、オールハザード型が注目されるようになったばかり」としたうえで、「原材料や部品が調達できなくなったり、製造拠点の人員が確保できなくなったりという地政学リスクがもたらすリソースへの影響は、実は地震などの危機事象と同じ」と解説。あらためて、オールハザード型BCPを策定しておくことの大切さと、また、トップや現場を巻き込む必要のあるBCP活動は業務への負荷も大きいため、最初から完璧なBCPを目指さず、PDCAを回しながら改善していくのがベストと話しました。