経済安保デューデリジェンスは入口にすぎない——行為と説明責任から見る企業リスク

“行為”で運用し、出口を設計せよ

はじめに

企業が個人や取引先のオープンソースデューデリジェンス（以下、ODD）を行う局面が増えている。OSINT（公開情報収集）や各種データベース、AIを用いた高度な分析ツールの普及により、初期段階の横断的な検索は確かに容易になった。

だが、ツール主導で懸念点（フラグ）をリストアップするだけではリスクは減らない。ましてや、フラグが立った対象に対し、自社がどう判断すべきか、結局は自組織次第である。

属性はあくまで手がかりであって結論ではないという前提から出発すべきである。

国籍や出身組織といった属性だけで人物を判断することは実務上も実質的なリスク低減には直結しない。

例えば、国防七校出身者に対して、軍関連の研究とはつながらない研究に従事した研究者を重大なリスクありと評価すべきだろうか。貴社に採用後、個人的に悪意を芽生えさせ、不正を起こした社員は属性で見抜けるのか。これまで他国に技術が流出した産業スパイ事件でも、国家的圧力ではなく、あくまで個人の動機として、自発的に行われたケースが大多数だ。

重要なのは、疑わしい属性を炙り出すことだけではなく、「何をしてきたか、これから何をするのか」という行為を把握・管理し、リスク低減策を打つことである。

1. ツール先行の現状と「価格のジレンマ」

実務では現在、次の三層の調査形態が並立している。

(1) 簡易スクリーニング：低価格で定型情報を照合するもの

(2) AI搭載ツール：高額だが網羅的にクロールし自動スコアリングするもの

(3) 個別カスタム調査：案件に応じて、外部ベンダーに依頼し、ツールを活用しつつ人手で深掘りするもの

一般論としてアウトプットの質、つまり示唆の深さ・文脈解釈・裏付けの緻密さは、「簡易 < AI < 個別調査」になりやすい。一方で費用感は、「簡易 < 個別調査 < AI」となる局面が少なくない。

つまり、最も高価なAIツールが必ずしも最も深い示唆を提供しないという逆転現象が起きうるのである。

この本質は、AIの「広く・速く・大量に」という強みと、人による個別調査の「文脈の読み解き・相関の意味付け・証拠の当て込み」という強みが補完関係にある点に尽きる。

AIは人手では追い切れない膨大な情報を短時間で要約・可視化できるが、説明可能性・アカウンタビリティ（説明責任）・人の関与（ヒューマン・オーバーサイト）は依然として要件であり、意思決定には人による妥当性確認が求められる。人間が根拠を説明でき、結果に責任を持ち、必要に応じ介入できる仕組みが不可欠ということである。

結論として、段階的な適用が合理的である。まず安価な簡易スクリーニングで裾野を広くカバーし、AI搭載ツールで重点領域の可視化とリスクの優先順位付けを行い、最終的な判断や条件設計が必要な箇所は個別調査で深掘る。

ただし、AI搭載ツールで追いきれない場合は結局個別調査に落とし込まれることがほとんどだ。

また、対象の件数が膨大でないのであれば、個別調査に切り替えた方が、AI搭載ツールを操作する自社リソースを投入することもなく、かえってコストが抑えられるケースも多い。

2. 「属性」ではなく「行為」で運用する

ODDでは、つい出身校・国籍・過去の所属団体など属性ベースの判定に流れがちである。

本当に重要なのは、「何をしてきたのか／何をさせないのか」という行為をどう統制するかである。

ODDはあくまで潜在リスクの仮説を生成する入口段階の措置にすぎない。真価が問われるのは、受け入れ前のスクリーニングに加え、受け入れ後のライフサイクル全体でいかに統制を設計・運用するかだ。

属性は手掛かり、判定は行為——この順番を取り違えてはならない。

事前に属性で排除するだけでなく、受け入れた上でレベルづけた必要な統制を掛けるという発想が、求められるのである。

3. ODDは“入口”にすぎない——在職・退職フェーズまで一体運用せよ

内部不正や情報流出のリスクは、入社時・契約時にいくらクリーンでも、在職中に「不正のトライアングル＝動機・機会・正当化」が揃ったときに顕在化する。

したがって、予防・検知・対応を含む内部不正対策を経営の仕組みとして回すことが肝要である。

各種ガイドラインでは、セキュリティ方針・管理体制の整備、アクセス権限管理、教育啓発、ログ監査、通報制度、調査・是正措置に至る一連の管理策を求めており、実装用のチェックリストまで提供している。

ODDで得たリスク情報は、こうした在職中の統制施策に接ぎ木してこそ意味を持つ。入口で時間と費用をかけて調べ上げた内容を、入社後・受け入れ後の監督に活かさなければ、チェックの投資対効果は得られない。

さらに、継続的な監視（Continuous Vetting／Continuous Evaluation） は、多くの先進国や国家安全保障体制において注目されているモダンな制度設計である。

特に米国では、従来の定期的再調査制度（5年／10年ごとの再調査）から、クリアランス保持者のリスクや状況変化をリアルタイムに把握する方式への移行が進められている。これを政府横断的な人材審査制度改革として「Trusted Workforce 2.0」と呼び、継続的審査（continuous vetting）を中核要素と位置づけている。

継続審査では、犯罪記録、財務情報、公共記録、旅行歴などの自動化されたデータベースチェックを通じて、クリアランス保有者のリスク変化を定期的にモニタリングし、異常が検知された場合には対処を行う（アラート → 精査 → 継続／停止判断）という仕組みが採られている。

この仕組みは、従来方式のように固定期間で再調査を行うよりも、リスク早期発見・調査資源の効率配分・クリアランス信頼性の維持などで優位性を持つとされる。

こうした公的制度を手本として、民間企業においても、特に機密性の高い情報や国家安全保障関連技術を扱う部門では、リスクに応じた継続的信頼性モニタリングの導入が検討される価値がある。

例えば、定期的な人事面談・ライフイベント報告制度・SNS上の明らかな異変モニタリング等は検討対象になり得る。しかし、これらを制度化する際には、プライバシーの保護、従業員の説明義務、同意取得、個人情報保護法・労働法遵守といった要件を十分に考慮しなければならない。

また、退職時（取引終了時）も抜かりは禁物である。

アクセス権限の段階的な縮小、社内システムIDの速やかな削除、貸与端末・記録媒体の即時回収、機密情報の返還・消去の確実化、秘密保持義務の再確認——こうした措置を徹底すべきだ。

退職申し出後、ただちに記録媒体や機器を回収し、退職時にIDカードを確実に回収・無効化することや、退職後も転職先での行動把握に努めることなどが重要である。

つまり入口（採用/契約）から在職（在職/取引継続中）、そして出口（退職/契約終了）まで一体で運用してこそ、入口段階の投資は真に成果に転じるのである。

4. フラグの「濃度」に応じて受入条件を設計する

ODDで懸念フラグが立った対象者を、機械的に一律排除するだけでは、機会逸失だけではなく、むしろあらぬリスクを招く恐れもある。現実的には、フラグの濃淡（重大性）に応じて対策水準を調整し、条件付きで受け入れる設計が求められる。例として、次のような対策強化でリスクを許容域に下げる発想が考えられる。

• セキュリティ環境の引き上げ 機密情報の取扱区分を明確化し、該当者にはアクセスを最小権限に限定する。重要データの閲覧や持ち出しには二人承認制を導入する。私物デバイスの持ち込みや社外への持ち出しを制限・監視する。厳格なNDA（秘密保持契約）条項を課し、必要に応じて第三者監査権を契約に盛り込む等、通常より厳しいセキュリティ措置を講じる。

• モニタリング強化 行為ログを詳細に記録し、平常時より短いサイクルで定期レビューする。不正や漏えいを報告する内部通報チャネルを実効性ある形で周知し、万一の際には保護される仕組みにする。共有する情報の範囲や期間を必要最小限に区切り、ひとりの人物が全てを把握できないように設計する。

• 違反時の措置を事前合意 アクセス停止・権限剥奪、機微業務からの配置転換、契約の一時停止・打ち切りなど、重大違反時に取る措置をあらかじめ条件と手順まで含め相手と合意しておく。万一ルール逸脱が発覚した際には速やかに実行できるよう、対応フローを定めて共有する。

  
  

以上のように、受入側（自社）の統制強化によってリスクを許容水準内に収める発想である。ここで重要なのは、これらの基準と運用を事前に定義しておくことである。

定義なき場当たり的な判断では、時間ばかりかかって現場も混乱し、恣意的な対応になりかねない。

予め「フラグの類型・閾値」「要求水準・追加措置」「監視強度」「違反時のオプション（最悪の場合の撤退含む）」までルール化し、ガバナンス上も一貫適用を担保すべきである。

なお、統制策の重点は内部不正の主要因に照準を合わせるのが合理的だ。

組織の脅威ランキングでは、従業員等による内部不正で機密情報が漏えいするといった事案が常に上位にランクインしている。

これは、入口審査でどれだけ排除しても限界があり、在職・退職フェーズの統制設計こそが被害低減に直結する可能性を示唆するデータである。裏を返せば、入口時点でいくらクリーンでも、人は後から変わり得るし、逆に多少リスクを孕む人材でも統制次第で安全に活躍してもらえるということである。

また、相手が個人ではなく組織（取引先企業など）の場合も同様である。

例えば、フラグがある企業との取引であっても、相手に対し通常以上のセキュリティ遵守条項や監査協力義務を契約で課す、必要ならばISOやNIST規格に準拠した管理体制を要求する、といった条件交渉によってリスク低減を図ることができる。

参考になるのは、経済安保推進法のリスク管理措置を例に、TPRMを構築することだ。

重要なのは、こちらがリスク低減策を提案・実施しコントロールし得る部分は全て押さえるという姿勢である。

5. 相手が要件を拒んでも、こちらは説明責任を果たす

高度なセキュリティ要求に相手が難色を示し、合意に至らないケースも起こり得る。

しかしその場合でも、自社がリスク低減のための要求を明示し、実施可能なコントロールを尽くしたという事実は後に残る。これはガバナンス上の説明責任を果たす上で極めて重要であるし、万一問題が表面化した際のレピュテーション・マネジメントにおいても防波堤となる。

将来、外部から問われるのは「当時フラグがあったか否か」ではなく、フラグを受けて何を提案し、どこまで実行し、合意できなければどう対処（線引き）したかという一連のプロセスである。入口でどれほど巧みにチェックしたかより、「要求→合意→運用→監査→是正／撤退」の道筋を設計し、実際に回したかが問われるのである。

以上のように、経済安保上のODDは人材や組織を受け入れる入口の措置にすぎない。

フラグの有無はスタートラインに立ったに過ぎず、ゴール（リスクゼロ）に到達するには日々の行為管理とエグジット戦略がものを言う。

リスクは動的であり、人も組織も環境次第で変化する。

だからこそ「属性」に重きを置くのではなく「行為」で評価・統制し、説明責任を全うできるプロセスを設計・運用することが、経営者や実務担当者に求められる真の腕前である。