セキュリティー・クリアランス制度
セキュリティー・クリアランス制度とは
民間人も含め国の機密情報に接する立場の人に関し、外部に漏洩する恐れなどを調べる制度。欧米などでは当たり前に実施されているが、日本では、必要性の認識はあるものの「人権侵害の恐れあり」ということでなかなか進まないようです。
こちらの記事の指摘が興味深い。
NVD(National Vulnerability Database)
に格納されている情報のうち、パッチが開発されるまでの「ゼロデイ情報」に限り、セキュリティークリアランス保有者でないとアクセスすることができないことです。
上記サイトから引用。
自社の製品の脆弱性情報がNVDに登録されていても、セキュリティクリアランスで認められていないと情報にアクセスできない、という情報格差を生んでいる。
セキュリティクリアランス制度を有する国同士では、相互認証しているところもあり、自国のセキュリティ情報を共有することが可能になっている。
セキュリティクリアランスを得るためには、扱う情報のレベル(Top Secret, Secret, confidential)に応じて、厳しい審査が必要になる。
こちらの資料にアメリカの資格取得の詳細が記されている。
https://www.cistec.or.jp/jaist/event/kenkyuutaikai/kenkyu34/02-02arimoto.pdf
ポリグラフ検査もありうる、ってなかなか。
検査には1-2年かかるらしいですが、アメリカでは人口の1%以上がクリアランスを得ているようです。
もともとは、安全保障を中心とする機密情報(CI、Classified Information)だけが対象でしたが、米政府はこの範囲を、政府が生成するCUI(Controlled Unclassified Information=機密情報ではないけれども管理が必要な情報)や民間が生成する情報をCUI指定し、それらにも適用範囲を広げつつあります。バラク・オバマ大統領(当時)が2010年、米国の産業競争力に資する情報をCUIとして各省が指定するよう大統領令を発令しました。
引用:https://business.nikkei.com/atcl/gen/19/00179/100600018/
ということで、クリアランスを持たないとアクセスできない情報が増えつつある。
安全保障を前提としたセキュリティが民間にも広がっていくのは、今後の流れなのだろうか。