「外国の敵対者」の影響、排除を
企業にとってもう一つ気になるのは、具体的にどのような製品やサービスに経済安保リスクがあると判断されるのか、事前審査が行われるなら何が排除されるのかだ。これは基幹インフラ事業者以外の企業や業種にとっても関心が高いだろう。
経済安保対応の目的は、基幹インフラを停止せしめるなど、安全保障上のリスクがある機器や委託先を排除することだ。しかし、政策の予見可能性を高めるためにはさらに具体的な表現や基準に言及すべきだ。
日本のおかれた地政学的環境や対象国の政治体制・法環境、実際の対外活動を考慮して、「外国の敵対者」を指定することも一案だ。「外国の敵対者」という言葉が刺激的ならば、「懸念国」でもよいだろう。
例えば、米国「情報通信技術・サービス(ICTS)サプライチェーンの安全確保」に関する大統領令13873号(19年5月15日)および商務省暫定最終規則(21年1月19日)は、重要インフラや先端技術などのICTSから中国(香港を含む)、キューバ、イラン、北朝鮮、ロシア、ベネズエラといった「外国の敵対者(foreign adversaries)」の影響を排除することを試みる。「外国の敵対者」やその投資先・管理先が設計、開発、製造、供給したICTSを購入・利用の取引のうち、「過度または許容できないリスクをもたらすもの」については、米商務長官の判断で取引中止やリスク軽減措置の履行を指示することができるというものだ。
一度、組み込まれた安全保障リスクを除去するのは困難
豪州政府もまた、第5世代移動通信システム(5G)調達については「豪州の法律に違反するような外国政府からの指示に従う可能性のあるベンダーの関与」はリスクであると発表した(18年8月)。
もちろん、どの外国政府も企業も「基幹インフラに妨害を起こす意思はない」と述べるだろう。
だが問題となっているのは、特定外国企業の「能力」であり、外国政府と特定企業の関係性である。つまり、外国政府が平時における不正競争や諜報活動、有事における破壊活動を目的とし、特定企業に情報提供や不正行為を命じ、特定企業がその外国政府の指示に応じざるを得ないリスクである。
脅威は「意思」と「能力」の点で評価されることが多い。そして安全保障の専門家は「能力」を重視する傾向にある。「意思」は一夜にして変わりうるが、「能力」は一朝一夕で変わることはないからだ。
基幹インフラに安全保障上のリスクがある機器、ソフトウェア、サービスやそのベンダー・委託先が組み込まれた場合、民間企業がこれらを取り除くのはコストや実務の観点で容易ではない。それゆえ政府は立法措置を通じて経済安保政策における予見可能性を高め、企業の経済活動と安全保障の両立を早期に確立すべきだ。
いまやすべての人間と国家が、サイバー攻撃の対象となっている。国境のないネット空間で、日々ハッカーたちが蠢き、さまざまな手で忍び寄る。その背後には誰がいるのか。彼らの狙いは何か。その影響はどこまで拡がるのか─。われわれが日々使うデバイスから、企業の情報・技術管理、そして国家の安全保障へ。すべてが繋がる便利な時代に、国を揺るがす脅威もまた、すべてに繋がっている。
特集はWedge Online Premiumにてご購入することができます。