GSOMIAの情報法的意味
第48回で紹介したGSOMIA破棄問題は23日の期限切れを目前にして、韓国政府が「破棄通知の効力を停止する」という玉虫色の暫定決着となりました。態度急変の最大の要因は米国の圧力といわれ、韓国自身の考え方が変わったわけではないようですので、今後も火種を抱えたまま推移するものと思われます。そこで今回は政治的な側面とは離れ、この問題を情報法の観点からみるとどうなるかを、まとめておきましょう。
・国内の秘密保護法制の整備が前提
GSOMIAの重要性を理解するには、協定が定める手続き的な面を知らなければなりません。GSOMIAは国家間における機密情報の共有を定めるものですが、その前提にはそれぞれの国内において、国家機密が十分に保護されていなければなりません。日ごろ議論に上ることが少ない(マス・メディアもあまり取り上げない)特定秘密保護法の仕組みが、GSOMIAの前提です。
どこの国にも国家機密の保護法があり、それが政府調達などの官民関係などを媒介にして民間にも準用されていくので、秘密保護法制の基本形になっています。ところがわが国では、長い間国家機密を守る法律が無く、民間に適用される営業秘密保護法制(法律としては不正競争防止法)の枠組みが、官庁にも準用されるといった「逆転現象」が起きていました。この倒立した関係を正常化した点に、特定秘密保護法の意義があります。
しかし法律制定後も,その意義に関する国民一般の理解は極めて遅れています。平和憲法の下で「有事」に備えることを回避する傾向があるのが最大の原因ですが、同時にわが国の企業風土が人的関係を重視し,手続きを通じてシステム化を進めることに気乗り薄なことも深く関係しています。その象徴的な例が「マニュアル」を評価しないことで、デジタルネイティブの若者の間では,西欧的なマニュアル文化に対する抵抗は少ないのですが,世代が上に進むに連れて,「経験と勘」に偏りがちです。
有体物が中心の時代、あるいは製造業が中心の時代にはそれで良かったかもしれませんが、インターネットのような情報システムがインフラになった現代では、手続きを重視し「誰がやっても同じ結果が得られる」ように、システム化することが不可欠と思われます。
そこで準拠すべき規範は何かというと、やはり軍事情報やインテリジェンス情報を管理する基準に勝るものはないと思われます。GSOMIAは、両当事国が同レベルの秘密保護法制を有していることを前提に、国家間の情報共有を律する仕組みですから、情報管理の国際モデルともいえるものです。
・秘密管理の7原則
そこでは,a) 取り扱う情報に軽重を付ける(classification)、b) 取り扱う人の資格を審査する(security clearance)、c) この両者の組みあわせでNeed-to-Knowがない限り当該情報へのアクセスを許さない、d) 情報の窃用・漏示を厳しく罰する、e) 秘密の取り扱いは期間を限定し必要がなくなれば直ちに指定解除する、f) 濫用を防止する内部統制の仕組みを整える、g) 外部に独立した監視機関を設置する、の7つの手順が定められています。( GSOMIA では相手国の主権を尊重するので、これらの原則が明文で規定されていなくても、暗黙の前提となっていると言ってよいでしょう。)
ここで a) では,取り扱う情報を top secret,secret,confidential,unclassifiedに分けるのが一般的です。しかし米国では、unclassifiedの再分類が100種類近くになったので、新たにCUI(Controlled Unclassified Information)として再整理しつつあります。b) は一種の資格審査で、米国では資格取得者が再就職で有利になるなど、一種の合法的discriminationではないかとさえ言われています。
a) b) において参考になるのは、やはり米国の実例です。連邦政府の情報管理体制を整備する法律(FISMA = Federal Information Security Management Act of 2002)を作り、CISO(Chief Information Security Officer)を必須ポストとするほか、自らに「情報行動規範」を課し、同時に政府調達等を通じて民間にもそれに沿った運用を求めます(Office of Management and Budget所管)。そして、NIST(National Institute of Standards and Technology)がSP(Special Publication)シリーズによって、具体的な手続きをマニュアル化する、といった形で情報管理を手続面から枠にはめています。
c) は、これらの背後にある大原則ですが、これを強調しすぎると情報の共有が進まないため、Need-to-Shareとのバランスが必要だとの議論を呼んでいます。また d) 守秘義務違反に対しては厳罰を科しますが、e) 秘密の指定期間が過ぎれば速やかに指定解除する、ことが定められています。f) は内部統制、g) は外部統制の仕組みで煩瑣のように見えますが、秘密を管理するには、それ相応の体制が不可欠と理解してください。
上記の7原則は,特定秘密保護法の制定によって,わが国でもやっと法的に認められるようになりましたが,まだまだ世間に広く知られていません。そこで、わが国の民間企業は、準拠すべき手順として、ISO(International Organization for Standardization)が定めたISMS(Information Security Management System)や、米国NISTが推奨するSecurity Frameworkなど国際的なものや、わが国の内閣サイバーセキュリティセンターが定めた「政府機関等の情報セキュリティ対策のための統一基準(平成30年度版)」などを参考にし、あるいは準用しているのが現状です。
・秘密保護法制は「信頼」の制度化
ここで大事な点は、このような仕組みは「一定期間に限り情報の流通範囲を制限する」ことが主眼であるため、「情報の扱いを面倒にして流通量を減らす」面があると同時に、「正当な手続きを経た扱いは責任を免れる」という効果をも有することです。情報は複製によってたやすく流通するので漏えいしがちなものですが、仮に流出が生じてもこの手順を守っていることを証明できれば責任を問われることはありません(故意犯の場合は別ですが)。つまり手順やマニュアルは、「信頼される当事者のみが情報を利用できる」ことを制度化し、その関係者間での共有を促進しているということもできます。
しかし、このような理屈が、わが国の一部の人には理解してもらえないことも事実です。わが国には欧米並みのインテリジェンス機関がないため、それに関するリテラシーが欠けているからと思われます。マス・メディアなどでは 権力の恣意的運用による危険性を指摘していますが、その懸念自体はもっともです。しかし、それは本筋の理論ではない(危険性はないとは言えないが、運用をチェックするしかない)ということでしょう。
例えば外交秘密のように「一定時期(例えば、交渉中)に限り秘密にし、できるだけ早期に公開する」という性格を持った情報が存在することは、認めるしかないでしょうし、企業にも同種の情報はたくさんあります。これは組織を運営したことがある人なら、当然知っていることかと思います。それを認めた上で、その管理をどうすべきかを議論しているのに、「存在そのものがけしからん」というのでは、話になりません。
もっとも、公文書の破棄や改ざんなどが相次いでいる現状では、「信頼を制度化したら、その制度が悪用される」という疑念が生ずるのは、やむを得ないところでしょう。しかし、それを正す責任は有権者自身にありますし、「一定期間は秘密にするしかない」情報が存在することを前提に、「どのような手順や仕組みを設ければ濫用を最小化できるか」という面から、具体的に手続き論を進めるのが妥当だと思います。先の7原則の中で、f) 内部統制と g) 外部監視機関によるダブル・チェックの必要性を強調したのも、このような理解からです。
私の立場は一見「政権寄り」ですが、その実「秘密の管理を徹底することで、秘密保持者の負担(責任)を加重する(原則 d)」や「秘匿の必要性がなくなったら可及的速やかに指定解除する(同 e)」ことを同時に主張しているので、その実「最も強硬な人権派」と理解していただければ幸いです。
・信頼がなければ協定があっても無意味
さて、このような分析を踏まえて改めてGSOMIA問題を眺めてみると、最も大切な点は「日韓両国の間に信頼関係はあるのか」という疑問に収斂すると思わざるを得ません。「協定は信頼を制度化する」ものですが、「信頼そのものを生み出すことはできない」からです。手続きはあくまで手続きに過ぎず、実体として信頼関係がないところで協定を作っても「仏作って魂入れず」に終わるでしょう。
その意味では、GSOMIAを議論することは、「将来の日韓関係をどうするのか」という大問題の1つのトピックに過ぎないと考えるべきでしょう。情報法においても同様に、「手続法がより重要」になるのは事実としても、「実体のない手続きは無意味」ということを暗示しているように思えます。