金融業界・ITベンダーのための経済安全保障入門

金融業界・ITベンダーのための経済安全保障入門

印刷用ページ

本稿では、行政官及び弁護士として、外為法改正や経済安全保障推進法案(仮称)など経済安全保障分野の政策立案・審査及び企業の実務対応に携わってきた著者の目線から、特に金融業界及び金融業界向けITベンダーにおいて把握しておくべき経済安全保障の全体像について解説する。

  1. はじめに
  2. 経済安全保障とは何か(経済安全保障を読み解く主要11分野)
  3. 金融業界・ITベンダーに特に関係する経済安全保障分野① 投資管理
  4. 金融業界・ITベンダーに特に関係する経済安全保障分野② 経済制裁
  5. 金融業界・ITベンダーに特に関係する経済安全保障分野③ ICTSセキュリティ/サイバーセキュリティ
  6. 金融業界・ITベンダーに特に関係する経済安全保障分野④ 基幹インフラ機能の維持

はじめに

2021年10月に発足した岸田新内閣では経済安全保障担当大臣が新設された。また、同年11月19日に開催された経済安全保障推進会議では、岸田新内閣総理大臣から経済安全保障推進法案(仮称)の準備が指示され、小林経済安全保障担当大臣の会見(2021年10月5日)によれば、次期通常国会の提出も視野に入れられている。政府が経済団体や企業と経済安全保障について協議する枠組みを設け、特に半導体や通信・IT原子力などの安全保障上の重要分野を担う主要企業に経済安全保障担当の役員の設置を要請することを検討しているとの報道(※1)もある。

金融業界も他人事ではなく、金融庁が令和4年度の機構・定員要求に、金融分野における経済安全保障体制の強化に向けた体制整備のため経済安全保障室(仮称)の設置を盛り込むなど金融分野における経済安全保障の確保についても動きがみられる。

脚注 ※
※1 日本経済新聞電子版「経済安保の担当役員設置,政府が主要企業に要請へ」(2021年5月3日)。

▼最新の情報について詳しく知りたい方はこちら

「金融業界・ITベンダーのための経済安全保障入門」

金融法務・規制について学ぶ

経済安全保障とは何か(経済安全保障を読み解く主要11分野)

経済安全保障を語る文献や記事は多いが、「経済安全保障」の全体像を示さずに個別テーマを論じるものもあり、それゆえ雲をつかむような議論になることがある。企業が経済安全保障を踏まえた対応を検討するにあたっては、経済安全保障の全体像を把握したうえで、そのうちどの部分が(具体的には、下で紹介する主要11分野のどれが)自社のビジネスと関連性があるか特定して、集中的に情報収集や規制への対応又は補助金などの促進策への申請対応を行う方が効率的なアプローチである。

経済安全保障の全体像を把握するにあたって、その定義が問題となるが、結論からいえば、経済安全保障の確立した定義は本稿執筆時点 (※2) では存在しない。「経済安全保障」という用語は一種のバズワードであり、識者が各々の定義のもとで経済安全保障を語っているのが現状である (※3、4) 。

しかし、経済安全保障の文脈において政策・立法・報道等で語られる主要分野はいくつかに類型化することができるところ、個別類型を押さえることで帰納的に経済安全保障の全体像を把握することができよう。具体的には、経済安全保障における主要分野は以下の11分野に分けて考えることができる。

上記主要11分野のうち特に金融業界が把握すべきなのは、①投資管理、②経済制裁、③ICTS/サイバーセキュリティ、④基幹インフラの機能維持であろう。また、金融業界向けITベンダーにおいても、③④については適切にフォローしたうえで、金融業界のニーズに合った機器・サービスの提供を確保する必要がある。

脚注 ※
※2 2021年12月20日をいう。以下同じ。
※3 経済安全保障の定義に関するエコノミック・ステイトクラフトや安全保障との比較を踏まえた検討については、大川信太郎著「連載 企業法務のための経済安全保障 第1回 経済安全保障とは何か」(ビジネス法務、2021年12月21日)を参照されたい。
※4 自由民主党政務調査会新国際秩序創造戦略本部から公表された「提言『経済安全保障戦略』の策定に向けて」(2020年12月16日)では「わが国の独立と生存及び繁栄を経済面から確保すること」と定義されているが、同定義はすなわち国益の経済面からの確保を経済安全保障とするものであり、この定義だけでは経済安全保障の全体像を把握できるほど外延が絞られていない。

金融業界・ITベンダーに特に関係する経済安全保障分野① 投資管理

投資管理とは、外国主体等による自国企業への投資について、安全保障等の観点から審査を行い、必要な場合に投資の差し止めや軽減措置の実施を行う仕組みである。日本では、主として外国為替及び外国貿易法(以下「外為法」という。)において投資管理が実施されている。

2010年代から先進国を中心に、外国投資の事前審査制度を導入・強化する動きが相次いでおり、日本でも外為法に基づく投資管理制度の大幅な見直しが行われ、2020年5月8日から施行されている。また、M&A実務においては、執行が活発な外国投資リスク審査現代化法(Foreign Investment Review Risk Modernization Act)(以下「FIRRMA」という。)に基づく、米国の投資管理制度も重要である。

ここ数年、日本の外為法に基づく投資管理や米国のFIRRMAに基づく投資管理等の審査がディールのスケジュールや成否に大きな影響を与える事例が出てきていることから、特に投資を業とする金融機関においては、各国の投資管理規制に留意したスケジューリングが必要になる。日本の金融機関自体に安全保障上の懸念がない場合であっても、買主となる企業等に懸念がある場合、当該取引が承認されないことや審査に時間を要することもありうる。投資管理に関する規制の詳細は各国法で異なるものの、審査スケジュールや不承認のリスクを検討するにあたっては、法律上の規制要件に該当するかといったリーガルな観点の他に、実質的に投資先国の安全保障を害する可能性があるかという安全保障的な観点からも事前の検討が必要になる。

金融業界・ITベンダーに特に関係する経済安全保障分野② 経済制裁

(1)経済制裁の基礎

経済制裁は、『制裁実施アクター(国家・非国家を含む)が、安全保障(人間の安全保障を含む)を中心とする「死活的」(とされる)価値・利益を追求すべく、何らかの法理を根拠あるいは口実にして、経済的パワー(特に軍事的パワーも背景として)を行使することを通じて、制裁対象アクター(国家・非国家を含む)の政策・行動の修正・変更を迫る行為』 (※5) などと定義される。自国の安全保障を確保するために他国に対して経済制裁が行われることがあるところ、経済制裁も経済安全保障の文脈で議論されることが多い。

日本では、主として外為法において経済制裁が実施されている。外為法では、日本が締結した条約その他の国際約束を誠実に履行するため又は国際平和のための国際的な努力に我が国として寄与するため、国連制裁又は有志国による協調制裁を実施できるとされているほか、我が国の平和及び安全の維持のため特に必要があるときは一定の要件のもとで独自制裁を実施できるとされている。 また、実務上は、米国による経済制裁にも留意する必要がある。米国による経済制裁は、複数の法令を根拠として、米国財務省海外資産管理局(Treasury Department、 Office of Foreign Assets Control、以下「OFAC」という。)により執行されている。OFACは複数の制裁プログラムを実施しているところ、基本的に米国人と特定の個人・法人・産業・国等との取引が禁止されるが、米国人以外であっても、米国人にそのような取引をさせる行為も禁止の対象とされているため、例えば、日本の金融機関が制裁対象者・制裁対象地域に対して米国のコルレス銀行を介して米ドル建ての送金を行う場合、米国人に禁止行為をさせるものとして禁止対象となる可能性がある。

脚注 ※
※5 『経済制裁の研究 経済制裁の政治経済学的位置づけ』(白井 実稲子他 著、2017年)。

(2)経済制裁に関連する近時のトピック

経済制裁に関する近時のトピックとして、①人権の観点からの経済制裁が広がっている点及び②中国において他国による経済制裁への対抗措置のための立法が行われた点を押さえる必要がある。

他国における人権保護は必ずしも常に経済安全保障概念に含まれるものではないが、米中対立の文脈の観点から、特に中国における人権保護の観点から実施される経済制裁も経済安全保障の文脈で議論されることがある。特に日本企業との関係では、ウイグル新疆自治区等における企業活動を行う法人・個人に対する人権の観点からのGlobal Magnitsky Human Rights Accountability Act等を根拠とした米国の制裁や同制裁に類似する諸外国の制裁が注目される。また、人権の観点から懸念があるとされる主体と取引を行う場合、ビジネスと人権の観点から適切な対応が求められる場合もあるところ、法律上経済制裁の対象とならない場合であっても、企業のレピュテーション管理の観点から取引を見直すことを検討する場面もあろう。一方で、特に中国関連のビジネスにおいて人権を理由として取引を取りやめる場合、後記中国の反外国制裁法に基づく制裁対象となる可能性もあり、反外国制裁法に基づく制裁対象とならない場合であっても中国における不買運動等の対象となる可能性もあるところ、人権の観点から取引を見直すにあたっては、進め方を慎重に検討する必要がある。

中国では、2021年6月10日、中華人民共和国反外国制裁法(中国語名:中华人民共和国反外国制裁法)が可決・公布され、同日から施行されている。全人代の法務委員会委員長による記者会見によれば、同法は、近年、一部の西側諸国や組織が、新疆、チベット、香港、台湾、海、疫病等の様々なトピックを利用して、中国の内外の政策及び関連する法改正を批判しており、中国に対していわゆる「制裁」を課して、内政に重大な干渉を及ぼしたことに対応して制定された。同法では、中国の市民や組織に対する差別的制限措置の策定、決定及び実施に直接又は間接に参加する個人及び組織を対抗措置リスト(「反制清单」)に掲載し、中国の領土内の個人及び組織との関連する取引、協力その他の活動の禁止又は制限などの制裁を講じることができるとしている。

このように米国と中国が互いに経済制裁を強化した結果、いずれの国ともビジネスを行う日本企業が両国の経済制裁の狭間で板挟みになる状況が想定される。結論からいえば、このような状態において唯一無二の解決策は存在せず、自社の業界における位置づけやその時々の両国と日本の外交的な関係性、契約解除等の理由付け等を個々に検討する必要がある。しかし、規制当局、NGOやマスコミなどからリスクを指摘されてから対応を開始するよりも、平時から自社ビジネスにおける経済制裁関連リスクを洗い出して事前の対応をする方が結果的にビジネスへのインパクトが小さいことは言うまでもない。 特に人権の文脈では、ビジネスと人権の観点から、自社及び自社サプライチェーンの人権リスクの洗い出しに着手する企業も増えてきたが、特に中国における人権との関係では純粋なビジネスと人権の観点に加え、政策・立法の動向や執行の状況を理解するにあたり経済安全保障の観点を踏まえた検討が必要になる。

金融業界・ITベンダーに特に関係する経済安全保障分野③ ICTSセキュリティ/サイバーセキュリティ

ICTSとは「Information and Communications Technology and Services」の略であり、経済安全保障の文脈におけるICTSセキュリティとは、安全保障の観点から情報通信技術サプライチェーンへの外国政府の脅威を排除する概念である。

特に米国では、さまざまな形でICTSセキュリティへの対応が進められている。例えば、2019年国防権限授権法第889条では、中国特定5社(ファーウェイ、ZTE、ハイテラ、ハイクビジョン、ダーファ)並びにその子会社及び関連会社の通信機器等の米国政府による調達及びこれら製品を主要な部品又は重要なテクノロジーとして利用している企業と米国政府が契約することが禁止された。

また、米連邦通信委員会(FCC)において、通信法(the Communications Act)第214条に基づき、中国系通信会社の事業参入を制限し、また事業免許を取り消す動きがある。加えて、FCCは、2021年6月17日、安全保障上リスクがあると認めた機器・サービスに対する認証を禁止する規則案を公表しており、同規則は2022年2月19日までに施行される予定である。FCCは米国の安全保障に脅威を与える機器・サービスのリストを公表し、中国特定5社並びにその子会社及び関連会社が製造・提供等する機器・サービスをリスト (※6) に掲載しているところ、上記規則では同リストに記載される通信機器の認証を禁止することとされている。

日本でも2019年国防権限授権法第889条と類似した動きがみられる。「IT調達に係る国等の物品等又は役務の調達方針及び調達手続に関する申合せ」(2021年7月6日)では、政府機関等は、一定の調達を実施する際は、調達する情報システム・機器・役務等の提供事業者及びその製品並びに役務について、サイバーセキュリティ確保の観点から、仕様条件の決定、製品及び役務を提供する事業者の選定のために必要な情報(再委託先等の情報を含む)を、Request for Information(RFI)及び Request for Proposal(RFP)等により取得することとされている。また、同申合せでは、政府機関等は、調達手続のうち、サプライチェーン・リスクの観点から必要な場合において、情報通信技術(IT)総合戦略室及び内閣サイバーセキュリティセンターに対して、講ずべき必要な措置について、原則、助言を求めるものとされている。すなわち、ICTSサプライチェーンにリスクを生じさせるような情報システム・機器・役務等を政府調達から排除するため、一定の政府調達にあたり情報収集及び専門機関への照会が求められている。

米国と日本におけるICTSセキュリティへのアプローチの違いとして、懸念対象としている国又は企業を明示するか否かが挙げられる。米国は明確に中国や中国企業を対象としていることを法令上規定している一方、日本では特定の国や特定企業を対象にしていることを推認させる規定は設けられていない。 ICTSセキュリティの確保は法律のコンプライアンスとしてだけではなく、自社の秘密情報を保護するために必要不可欠である。特に金融機関などの社会インフラを担う企業では、2021年に開催された東京オリンピック・パラリンピックに合わせて自社のサイバーセキュリティ体制の見直しを行った企業も多いが、主としてネットワークを介した攻撃への対応が主眼とされており、自社ネットワークで使用している機器や役務について外国政府等による影響を受けてバックドア等の意図的なセキュリティホールが設けられているリスクまで踏まえた対策が行われていない例も聞く。経済安全保障の観点からは、従来的なサイバーセキュリティに加えて、自社が使用するネットワーク機器や役務が外国政府等による影響を受けて意図的なセキュリティホールとされる可能性はないかという観点からの点検も求められる。

脚注 ※
※6 FCCは、2021年10月29日、中国ドローン大手のDJIについても、同リストへの追加の検討を開始している。

金融業界・ITベンダーに特に関係する経済安全保障分野④ 基幹インフラ機能の維持

国民生活及び経済活動の基盤となる基幹インフラは、その機能が停止し又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれがある。そのため、基幹インフラの維持等に関する安全性・信頼性の確保も経済安全保障の文脈で語られることがある。例えば、前述の経済安全保障推進会議では、「サプライチェーンの強靱化や基幹インフラの信頼性確保などを通じて、我が国の経済構造の自律性を向上させること」が日本が目指す経済安全保障政策の大きな方向性の一つとされている。また、経済財政運営と改革の基本方針2021(2021年6月18日閣議決定)においても「基幹的なインフラ産業について、経済安全保障の観点も踏まえつつ、インフラ機能の維持等に関する安全性・信頼性を確保するため、機器・システムの利用や業務提携・委託等を通じたリスクへ対処するための所要の措置を講ずるべく検討を進める。」とされている。

基幹インフラ機能の維持について、本稿執筆時点で法律上の措置は公表されていないものの、経済安全保障推進法案(仮称)の一部として、基幹インフラの設備に安全保障上のリスクがある外国製品が含まれていないか政府が事前審査する制度を新たに設けるといった内容が想定されているとの報道(※7)もあるところである。

諸外国でも安全保障の観点から基幹インフラ機能の維持を目的とした制度が導入されている。例えば、米国では、トランプ政権下において国際緊急経済権限法(IEEPA)に基づき、2019年5月、情報通信技術・サービスのサプライチェーン確保に関する大統領令(大統領令13873)が公布・施行された。同大統領令は、米国商務長官が安全保障上の懸念があると判断した場合、外国敵対者(foreign adversary)(中国(香港を含む)、キューバ、イラン、北朝鮮、ロシア、ベネズエラのマドゥロ政権)が所有又は支配する者によって設計、開発、製造、供給された情報通信技術やサービスの米国人による取引を禁止できる旨規定している。ドイツでも、2021年5月からITセキュリティ法2.0(Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme)が施行され、重要インフラのITセキュリティを高度化するため、連邦情報セキュリティ庁(BSI)の機能強化などとともに、重要インフラにおける重要部品使用に際しての事前届出制が導入されている。さらに、中国でも2017年6月にサイバーセキュリティ法(中华人民共和国网络安全法)が施行されており、同法の中で重要情報インフラ運営者はネットワーク機器・調達時の安全審査実施義務が科されている。

「重要インフラの情報セキュリティ対策に係る第4次行動計画」(2020年1月30日、内閣サイバーセキュリティセンター サイバーセキュリティ戦略本部)では、重要インフラ分野として14分野が特定されており、その中に「金融」が含まれている。銀行などの金融機関はまさに社会基盤の典型例であり、基幹インフラの信頼性という観点からすればその安全保障上の重要性が高いことに異論はないように思われる。上記の通り、政策の方向性としては、基幹インフラについて安全保障の観点から信頼性を確保する方向で議論されていると思われるところ、諸外国の類似制度の運用なども踏まえながら引き続き政策・立法の動向に注視する必要がある。 また、ITベンダーについても、自社が開発するIT機器やシステムが経済安全保障の観点から十分な信頼性が確保されていない場合、結果として銀行などの金融機関が採用することができない場合がありうる。そのため、ITベンダーにおいても基幹インフラ機能の維持に関する政策・立法の動向について注意することが求められる。

脚注 ※
※7 朝日新聞デジタル「経済安保推進法策定へ準備室設置 有識者会議にNSS前局長ら起用へ」(2021年11月19日)。

本稿において意見にわたる部分は、著者の私見であり、著者の現在所属する又は過去所属した組織の見解ではない。

▼最新の情報について詳しく知りたい方はこちら

「金融業界・ITベンダーのための経済安全保障入門」

金融法務・規制について学ぶ