政府が防衛装備品に関する情報漏洩の刑事罰対象を民間企業へ拡大の方針

政府は、2023年1月23日召集の通常国会に提出予定の防衛産業を支援する法案に関し、防衛装備品に関する情報を漏えいさせた民間の企業関係者を刑事罰の対象にするなどの情報漏洩対策強化の内容を盛り込むことを明らかにしました。^※1^※2 元々、自衛隊法では防衛省訓令上の「秘密」を漏らした防衛省職員や自衛隊員に対し1年以下の懲役か50万円以下の罰金に処すると定められていますが、今後は民間人にも同様の罰則が科せられる方向になります。

これまでは、刑事罰が科せられるのは特定秘密保護法に基づく「特定秘密」や米国から提供された「特別防衛秘密」が対象で、漏洩した場合には10年以下の懲役などを科すと規定されていました。それ以外の情報を防衛企業の役員や従業員が漏らしても、契約解除や違約金の支払いといった民事上のペナルティーがあるだけでした。しかし、今後は（防衛省訓令上の）「秘密」の一部を「装備品等秘密」と位置づけ、知り得る立場の民間人が故意に漏らした場合も刑事罰の対象にすることになります。

この「装備品等秘密」には装備品の性能や操作方法、調達する数量に関する情報等が該当し、量刑は特定秘密の漏洩などより軽い「1年以下の懲役」などとする見込みです。

浜田靖一防衛大臣は「防衛省から提供した秘密情報を含む情報が漏えいした場合、安全保障上の影響に加え、わが国や防衛産業に対する諸外国からの信頼喪失やその後の開発や調達の円滑な実施に多大な支障が生じることになる」と述べ、23日の通常国会で必要な法整備に取り組む方針を示しています。^※3

昨年4月1日には、防衛装備庁が防衛産業におけるサイバーセキュリティ体制の強化のための施策を促進するため、「防衛産業サイバーセキュリティ基準」を整備したことを発表しました。^※4 この新しいセキュリティ基準には米国国防省が契約企業に義務付けている「NIST SP800-171」と同水準の管理策が盛り込まれ、従来のISO27001をベースとした管理策より厳格なものになりました。「NIST SP800-171」は米国国立標準技術研究所（NIST）が2016年に発行したガイドラインで、「機密指定はされていないが管理対象となる情報（CUI：Controlled Unclassified Information）」の適切な取扱い方を定めたものです。米国の国防調達においてはCUIを取り扱う全ての調達先企業に対し、「NIST SP800-171」の要求事項を満たすことを既に義務化しており、またNISTの標準は今度の国際標準となる趨勢のため、日本もこれに対応する必要があるというのが背景にあります。

今回、政府が刑事罰対象の拡大の方針を示したのも、防衛関連の機密情報を扱う企業に対する漏洩対策の重要性が、国際社会と足並みを揃えるという意味でも年々増しているからと受け止められます。前述の新たに整備されたサイバーセキュリティ基準を基に「装備品等及び役務の調達における情報セキュリティ基準^※5」も刷新されているため、防衛装備品の調達に係る企業はこれを参考に自社のセキュリティ強化を進めていく必要があるでしょう。

なお、弊社は業務提携先の公益財団法人防衛基盤整備協会様が防衛装備庁から受託した、令和４年度「防衛装備品製造過程等におけるサイバーセキュリティ対策強化事業」へファイル暗号化ツールの開発元としてソリューション提供などのご支援を行っております。詳しい内容は「令和４年度『防衛装備品製造過程等におけるサイバーセキュリティ対策強化事業』を支援します」をお読みください。

「装備品等及び役務の調達における情報セキュリティ基準」にはデータ暗号化の必要性も記されており、弊社はソリューション提供を通じてこれに貢献できると考えております。ご興味ある方は是非お問い合わせ下さい。