経済安全保障における技術流出対策とは -合法的手段への対策-（第4回）

公安調査庁が示す７類型

　公安調査庁は、技術流出の主要な経路として、「投資・買収」「不正調達」「留学生・研究生の送り

込み」「共同研究・共同事業」「人材リクルート」「諜報活動」「サイバー攻撃」の7つを指摘している。

　これらのうち、「諜報活動」は国家が主体となり、企業の重要な社員をリクルートし、インサイダーと同様の手法で情報を引き抜くことを指している。情報取得までのプロセスは特異であるが、最終的な流出経路は一般のインサイダー問題と大きく変わらない。

　そのため、これまでに述べた人的脆弱性管理など、人材リクルートへの対策と同じ枠組みで対策を講じる必要がある。過去には、東南アジアの転職エージェントを介して、日本の技術者をスカウトする手法も確認されており、企業としてはこうしたアプローチを十分に認識する必要がある。

通常業務における技術流出対策の難しさ

　しかし、より深刻な課題は、投資買収、不正調達、留学生・研究生の送り込み、共同研究・共同事業など、一見すると合法的な経済活動の形をとった技術流出だ。特に、通常取引における試作品の貸与、技術指導、工場見学などは、日常業務の一環であり、正当な理由付けがあるため、企業側の警戒心も緩みやすい。　

　実際には、こうした合法的な枠組みを利用した技術情報収集が多発している。例えば、企業間の提携を装った技術流出が報じられており、表面上合法的であるがゆえに、事前に気づくことが難しいケースが多い。

入り口での対応策＝経済安全保障デューデリジェンス

　このような背景を考えると、経済安全保障の観点からのデューデリジェンスが非常に重要となる。これは、必ずしも組織に対するものだけではなく、受け入れる人材に対するものでもある。

伝統的な財務やコンプライアンスの観点だけでは不十分であり、経済安全保障デューデリジェンスとして、対象企業の資本関係に加え、役員の兼任法人や人的ネットワークなどを網羅的に調査する必要がある。

　また、役員や重要人物の経歴を深掘りする縦の調査を行い、それによって明らかになった人物の人的ネットワークを再度横方向に調査することで、リスクの全体像を把握するという手法が求められる。

さらに重要なのは、リスク評価のための照合リスト選定の精度を高めることだ。日本の外為法の規制リストや米国のエンティティ・リスト（EL）ではカバーしきれない範囲で、特に中国においては軍民融合戦略に基づく研究機関やフロント企業が存在する。

　こうしたグレーゾーンの組織に関しても詳細な情報収集を行い、リスク評価に反映させる必要がある。

　こうしたデューデリジェンスを組織の通常業務に組み込むためには、経営層が主導するリスク管理体制の構築が不可欠だ。経営トップ自らが経済安全保障の重要性を明確に示し、リスク評価を実施するための専門チームを社内に設置することが推奨される。

　実際、経済安全保障デューデリジェンスにおいて、内製化することは難しくない。調査観点・手法は一定の型があるし、見るべき公開情報のソースも取り組む企業によって大きな差はない。重要なのは、その型と手法を知り、適切なリスク評価を行う専門性を有する人材を確保することだ。このリスク評価の部分では、専門家に一部委託するほか、既存のソリューションを使うことも一案だが、既存のソリューションでは、やや不足する面もあるのが現実だ。

　そもそも、経済安全保障デューデリジェンスという観点さえない企業が、日本を支える技術を保有しているという現状自体の方が大きな課題である。

共同研究・試作品貸与等における具体的管理策

　次に、実際に他社や外部機関と技術や情報をやり取りする場面での管理策について述べる。共同研究や技術指導を行う場合、提供する情報は必要最小限に限定し、重要部分は可能な限りブラックボックス化することが肝要である。研究契約の締結時には秘密保持契約(NDA)を交わし、共有する資料やデータの範囲・利用目的を明確に定めておく。

　さらに、成果物の知的財産権の帰属や公表範囲についても事前に取り決め、相手方が許可なく成果を持ち出せないよう法的枠組みで縛っておく必要がある。

　試作品の貸与に際しては、貸出期間・用途を限定し、貸出先での保管状況や使用状況を把握する仕組みをつくる。返却時には製品の状態を確認し、分解や解析の形跡がないか念入りに点検する。試作品には識別番号を付与して追跡管理を行い、必要に応じて自社の技術者が貸与先に同行して使用方法を指導するなど、単独で詳細解析される隙を与えない配慮が望ましい。

　また、可能であれば試作段階から製品そのものを外部に持ち出さず、自社内の設備に相手を招いて共同評価する形を取り、物理的な流出リスクを低減する。

　工場見学や施設訪問を受け入れる際にも慎重な対応が必要である。公開するエリアや情報を限定し、機密工程やノウハウが露出しないよう事前に計画しておく。見学者には事前に秘密保持契約への署名を求め、当日は撮影やメモを禁止するなど厳格なルールを適用する。案内中も自社の担当者が必ず同行し、質問に答える際は核心部分をぼかすなどの配慮が欠かせない。場合によってはデモ用に実際とは異なる装置やダミーデータを用意し、本当の秘訣を覆い隠すことも検討すべきである。

再現性評価と現状アセスメントの重要性

　これら対応策を緻密に設計するためには、「何を見られたらマズイのか」「何を隠せば、再現性が失われるのか（つまり、悪意ある者に再現させない）」といった観点での評価が重要だ。

　また、先の経済安全保障デューデリジェンスと同様に、受け入れ研究者や技術者のバックグラウンドチェックを行った上で、厳しいアクセス制限を設け、機微情報への接触を最小限に抑える管理策は基本中の基本だ。

　当然だが、これらを行うためには、自社において何を守りたいのか、何が不足すればその技術が再現されないのかといった検証が必要となる。

　また、対象企業が悪意ある主体のフロント企業と知らずに販売し、納品後のアフターサービスで、「XXXの業務で使うので、この情報が欲しい」などと言われ、素直に渡してしまったり、技術指導上、設計図面を示して説明したく、自社の許可を取らずに持ち出したケースが、“実際”にある。こういった状況を踏まえると、基本の「基」の対策を徹底することは言うまでもないが、改めて自社の技術流出対策の現状を定期的にアセスメントすることも必要となってくる。

　従業員教育についても継続的に行うのは言うまでもない。単発の研修に留めず、新入社員から管理職まで階層別に経済安全保障の重要性や具体的な留意点を学ぶ機会を設ける。

　過去の漏えい事件のケーススタディを教材として取り上げ、自分たちにも起こり得る問題なのだと実感させる。そのために、机上訓練や技術流出対応訓練を通じて、自分事として体感させる手法は効果的だ。疑似体験することで、知識と行動の両面で備えることができる。

　そして、内部通報制度の整備・周知にも力を入れる。現場の社員が不審な事態に気付いた際、安心して報告できる窓口があれば、初期段階で対処し被害を未然に防げる可能性が高まる。経営陣は通報者を保護しつつ事実関係を迅速に確認し、必要な措置を講じる体制を整えておくべきである。

官民コミュニケーションの必要性

　さらに、外国企業からM&Aの提案や資本参加の申し出、共同研究の打診、不審な調達が検知された場合には、経済産業省など“官側“に早期に相談し、公的な判断を仰ぐことも一策である。

　このようなアプローチでは、官側が判断してくれるかと疑問に持つ企業もあるかもしれないが、官民連携は民側よりも官側で痛感しているのが現状だ。必ず示唆を提供してくれるだろう。

　そして、企業は平時より官民の情報共有ネットワークに参加し、最新の脅威インテリジェンスやベストプラクティスを交換しておけば、いざという時の迅速な対応につながる。

　ここまで、入り口の対策として経済安全保障デューデリジェンスの重要性と通常取引における対策を論じてきたが、企業としては、合法的な経済活動を通じた技術流出のリスクを十分に認識し、その対策を定着させることは、単なるリスク管理にとどまらず、競争力維持や企業価値の向上にも直結する。

経営層から現場に至るまで、こうした視点を共有し、実効性ある対策を継続的に推進していくことが、今後の経済安全保障の要となるだろう。

（次回「世界水準の技術流出対策とは」に続く）