経済安全保障時代の産業スパイ対策─ 企業に求められる人材リスク管理と実務課題とは

人事は産業スパイにどう向き合うか

独立行政法人 情報処理推進機構の調査によると、情報漏えい事象を把握している企業の割合は、2020年の5.2%から2024年には35.5%へと大きく増加しています²。

背景には事案そのものの増加に加え、企業側のリスク意識向上があります。また、情報漏えいはサイバー攻撃のような外的要因だけでなく、従業員や元従業員といった内部関係者によって引き起こされる、産業スパイという内的要因のケースも少なくありません。

「事故による漏えいは仕組みで一定程度防ぐことができますが、産業スパイによる悪意ある情報流出は、“人に紐づくリスク”として管理していく必要があります。今後は、このようなリスクを人事部門がどのように把握し、管理するかが重要な課題になります」（吉田）

人事の観点から機密情報へのアクセス権を新たに付与または拡大する主なタイミングとしては、以下の4つが考えられます。

• 採用時
• 機密情報を扱う業務へのアサイン時
• 管理職への昇格時
• 役員登用時

日本企業では役員登用時のチェックは比較的厳格に行われている一方、その他の段階では十分な確認が行われていない場合も多く、今後取り組むべき領域であると指摘しました。

「近年はこうした背景から、産業スパイを含めた“人に紐づくリスク”への関心が高まり、採用段階でバックグラウンドチェックを導入する企業も増えつつあります。人事実務上、内定後に重大なリスクが発覚しても契約解除が難しいため、内定前の実施が望ましいとされています」（吉田）

一方で、採用候補者の国籍や海外との関係性をどのように評価するかは、実務上難しい課題です。外国籍人材の採用では在留資格や就労資格の確認が必要である一方、国籍を理由とした差別的取り扱いは法律で禁じられています。

この点について、吉田は「カントリーリスクの評価と差別的対応の回避という二つの課題におけるバランスの取り方が、今後の重要な論点になる」と指摘しました。

実際に、研究機関などでは外国籍研究者による技術情報の流出が問題となった事例も存在します。たとえば、国立研究開発法人 産業技術総合研究所では中国籍の研究者が日本の研究機関に在籍しながら、技術情報を中国企業に提供したとして問題になりました。³

こうした産業スパイリスクの対応策として、人事の観点から大きく二つの取り組みが考えられます。一つは、国家レベルの重要情報を対象としたセキュリティクリアランス制度の活用。もう一つは、法的な原則を踏まえた企業独自のリスク対策です。その手段の一つとしてOSINT（Open Source Intelligence）の活用も挙げられます。

産業スパイ対策で生じる労働法務の論点

続いて久保田は、企業が産業スパイ対策を進める際に直面する労働法上の論点について解説しました。実際に企業から「対応が差別に当たるのではないか」「憲法や労働法に触れないか」といった相談が寄せられており、今回は3つの論点を取り上げました。

1. 採用の自由と説明責任

日本では企業に採用の自由が認められており、不採用の理由を応募者に説明する法的義務は原則としてありません。

しかし久保田は「『説明義務がないこと』と『理由を整理しておく必要がないこと』は別の問題だ」と指摘します。つまり、不採用による訴訟や行政調査に発展した場合に備えて、企業は採用判断の合理性や適法性を説明できる状態にしておく必要があるということです。採用判断の基準やプロセスを整理し、記録として残しておくことが重要です。

2. 国籍と差別の問題

労働基準法3条では国籍などを理由とする差別的取り扱いが禁止されていますが、最高裁判例では「この規定は雇用後の労働条件に関する差別を対象とするものであり、採用そのものを直接制約する規定ではない」と示されています。

しかしながら、国籍を理由とする不採用が民法上の不法行為に当たる可能性を指摘する学説もあり、訴訟やSNSでの批判などのレピュテーションリスクも無視できません。そのため、経済安全保障の観点から採用判断を行う場合でも、国籍そのものではなく、業務上の具体的なリスクに基づいて判断する必要があります。

3. 配置転換の限界

採用後に経済安全保障上のリスクが生じた場合の配置転換は、“命令権の有無”と“権利濫用の有無”の二段階で判断されます。

2024年の法改正により、採用時点での労働条件通知書において、就業場所や業務内容の変更範囲の明示が求められるようになりました。さらに同年の最高裁判決では、職種や業務内容を限定する合意がある場合、それに反する配置転換を一方的に命じることはできないと示されています。

「このような状況を踏まえ、経済安全保障上のリスクが想定される業務については、採用時点での契約設計から、配置転換の可能性を考慮しておく必要があります」（久保田）

労働契約法では、就業規則よりも労働者に不利な個別合意は無効となります。契約内容と就業規則の整合性を確認しながら、制度を設計することが求められます。

人事実務で生じる3つの課題―本人同意・派遣人材・組織分離の論点

ディスカッションパートでは、バックグラウンドチェックをめぐる実務上の課題3点について議論が交わされました。

1.  バックグラウンドチェックを実施する際の本人同意の取得方法

法的観点からは、企業には採用判断に関する一定の調査への自由が認められているものの、職業安定法や個人情報保護法に留意する必要があります。人種や思想などの機微情報の収集は原則禁止されており、要配慮個人情報の取得には本人同意が必要です。

また、公開情報を用いた調査についても、本人申告を先行させ、調査プロセスの透明性を確保するなど、慎重な運用が求められます。

人事実務の観点から、吉田は「同意取得の方法や調査範囲をどこまで具体化するかが課題になる」と指摘します。求人票や採用ページにバックグラウンドチェックの可能性を記載し、応募をもって同意とみなす形で運用する企業も少なくありませんが、「職務内容ごとに収集すべき情報を細かく定義し、人事部門が運用することは、大きな負担になる可能性があります」（吉田）。

泙野は「すべての候補者ではなく、先端技術を扱う部門や防衛関連事業、政府案件に関わる部門など、経済安全保障上リスクの高い業務の候補者に対象を絞って運用することが現実的ではないか」との見方を示しました。

2. 派遣労働者のリスク管理

派遣労働では採用の決定権が派遣元企業にあり、派遣先が個別の人物を指定することは労働者派遣法上制限されています。そのため、バックグラウンドチェックだけに依存するのではなく、機密情報を扱う業務を制限するなど、情報管理の仕組み自体でリスクを低減することが必要であると認識を共にしました。

3. 業務プロセスや組織を分離する「デカップリング」

多くの企業では、グローバルに人材を配置しながらタレントマネジメントを行っていますが、デカップリングが進むと人材の流動性や育成機会が制約される可能性があります。組織を分離したとしても、上位のマネジメント層は共通するため、完全に人材の行き来を遮断することは現実的ではありません。そのため、国籍などの属性ではなく、個々の関係性やリスクを見極めながら、人材配置を設計していくことが重要であるとまとめました。