データをめぐる安全保障： 次なる経済安保最前線？

　日本の経済安全保障政策は不断の進化を続けている。2024年12月に開催された「経済安全保障法制に関する有識者会議」資料によれば、経済安全保障推進法（以下、「推進法」）は遅滞なく運用され、新たな取組みも提案された。2025年5月には重要経済安保情報保護活用法が施行予定で、セキュリティ・クリアランス制度の民間適用が大幅に拡充される。また推進法やセキュリティ・クリアランスとも関連する、「能動的サイバー防御（ACD）」態勢をめざすサイバー対処能力強化法案と同整備法案が2025年の通常国会に提出され、現在、審議中だ。経済安全保障政策は政治および行政の高い優先順位の下、実行されていることがうかがえる。

　しかし、こうした日本の経済安全保障政策で欠けているのは「データ」をめぐる経済安全保障である¹。これは「守り」という意味では、経済発展や国家安全保障に不可欠な重要データを守ることに他ならず、「攻め」という点では、日々生成される大量のデータを新規事業や社会発展に積極的に活用することである。自民党経済安全保障推進本部長・小林鷹之は「データを守ることは、経済安全保障であり、国家安全保障である」と強調する²。本稿では「守り」を中心にデータをめぐる経済安全保障の現状と見通しを紹介する。

データをめぐる安全保障とガバナンス

　一部の国家は不当な手段で、標的となる大量のデータを収奪する。こうしたデータの移転は、「データ・トラフィッキング」とも呼ばれ、近年、注目を集めている。ヴァージニア大学のアン・コカス（Aynne Kokas）によれば、「データ・トラフィッキング」とは、商業的に抽出・移転された個人データが、データ所有者が意図しない形で「管轄外にある外国政府の国家戦略に利用されてしまうこと」を指す³。トラフィッキングの手段は製品・サービス・アプリを経由したもの、外国資本による所有・支配・影響（foreign ownership, control, or influence: FOCI）を通じたもの、サイバー攻撃によるもの、市場アクセスや許認可と引き換えにした（本来、不必要な）データの開示と移転、これらの複合型と多岐にわたる。加えて、法制度や強制力を通じた移転やアクセスも懸念されている。具体的に、外資企業が生成したデータの域外移転を制限・禁止する法律を整備し、民間保有データに強制的にアクセスすること、いわゆる「データ・ローカライゼーション」の要求と不当な「ガバメント・アクセス」という手法である。コカスは個人データに注目しているが、一部のデータ・ローカライゼーション要求は通信データや産業データも対象としている。

　データをめぐる安全保障はデータに関するガバナンスと密接に関連するが、これは大国間で大きく隔たりがある。EUの国際的ルールメイキング機能を「ブリュッセル効果」として分析したことで有名な米コロンビア大学のアニュ・ブラッドフォード（Anu Bradford）はデジタルガバナンスをめぐる競争関係によって、複数の「デジタル帝国」が出現しているという。その「帝国」とは「権利ドリブン規制」の欧州連合、「国家ドリブン規制」の中国、「市場ドリブン規制」の米国である⁴。つまり、データのガバナンスの在り方は、同じ自由民主主義陣営内でも対立ないし相違がある。こうした米欧の隔たりを埋めるコンセプトの一つが、安倍晋三総理（当時）が2019年1月のダボス会議で掲げた「信頼性のある自由なデータ流通（Data Free Flow with Trust: DFFT）」である。これは、トレードオフ関係になりがちな、データの「自由な流通」と「安全」の2つを同時に追求・達成する政策概念である。

米国のデータ安全保障政策

　データガバナンスという点で、米国は「市場ドリブン規制」、つまり自由放任主義を採用し、これこそが米国ビッグテックの成長の源泉でもあった。しかし、第1期トランプ（Donald J. Trump）政権およびバイデン（Joe Biden）政権はいくつかの領域で国家安全保障を考慮したデータ規制政策を展開した。

　第一に、データの移転そのものに関する規制である。バイデン政権は大統領令14117号（2024年2月）に基づく、敵対国による機微な米国人のバルクデータ移転の規制に関する最終規則案（2024年10月）を公表した。今後、（規制対象となる個人データ数の閾値は異なるが）ゲノムデータ、位置情報データ、生体認証識別子、健康データ、財務データ、個人識別子のデータの敵対国への転送が禁止される。米国では「連邦法」レベルでの「包括的」な個人データ保護法制が存在しない中、限定的とはいえ、国家安全保障を理由とした個人データ移転規制が成立した意義は小さくない。

　第二に、データを扱う事業者に関する規制であり、具体的には対内投資規制とサプライチェーン・調達規制等があげられる。前者について、米国の対内投資審査は2019会計年度国防授権法（NDAA2019）・外国投資リスク審査現代化法（FIRRMA）以降、強化されたことは有名である。対投資審査の基準はFIRRMAで明らかにされていないものの、FIRMAに関する2018年議会決議（Sense of Congress）や大統領令第14083号（2022年9月15日署名）は投資審査の考慮要素を新たに追加および具体化した。その一つが、米国市民の機微なデータへのアクセスである⁵。

　サプライチェーン・調達規制という点では、大統領令13873号（2019年5月15日）に基づく情報通信技術・サービス（ICTS）のサプライチェーン保護のための最終規則（2024年12月）は、重要インフラや先端技術等のICTSから中国、イラン、北朝鮮、ロシア等の「外国の敵対者」の影響の排除またはリスク管理を試みる。規則の対象5分野の一つは、機微な個人データを扱うホスティング・ストレージサービスである。商務長官の指定という運用面では100万人は一つの閾値・基準になるとみられる。

　第三に、第二の点とも関連するが、データをとりまく様々なインフラ、プロバイダ、ステークホルダー等に関する規制である。顕著な例は、第1期トランプ政権末期、マイク・ポンペオ（Mike Pompeo）国務長官が主導した「クリーンネットワーク構想」である。この取組は端的にいえば、5Gネットワーク、電気通信サービス、アプリストア、アプリ、クラウドサービス、海底ケーブルの6分野で中国系企業を排除し、「自由を愛する国家や企業」で構成する、というものだ。こうした構想を第2期トランプ政権下の国務省で引きつぐ人物がいるとすれば、国務次官（経済成長・エネルギー・環境担当）に指名されているジェイコブ・ヘルバーグ（Jacob Helberg）だろう⁶。

米国のTikTok規制

　しかし米国のデータ安全保障政策のうち、現在、最も注目を集めているのはTikTok規制であろう。発端は2020年8月、前任期のトランプ大統領がByteDance社⁷にTikTok米国事業の売却を命じたことだった。米コロンビア特別区連邦地方裁判所はこの措置を差し止め、新しく就任したバイデン大統領は2021年6月、この命令を撤回した。しかし、そのバイデン政権下でも、超党派の合意を経て、2024年4月、「外国敵対勢力が管理するアプリから米国人を保護する法案」、いわゆるTikTok規制法案が成立した。法案は敵対国（中国、ロシア、イラン、北朝鮮）を本拠地とする企業が運営するアプリ、敵対国の外国人が所有する企業が運営するアプリを禁止するもので、ByteDanceやTikTokを例示しつつ、法案成立から270日以内に上記アプリ・サービスの提供を禁止するか、敵対国の企業から「適切に分割（qualified divestiture）」されることを求める。ByteDance社は、同法案が表現の自由を侵害する等として差止請求を提出していたが、米ワシントン連邦控訴裁判所は2024年12月、TikTok規制法案について合憲との判断を下した。

　しかし、2025年1月に発足した第2次トランプ政権は直ちに「待った」をかけた。その要因は複雑であるが、一つにはトランプ大統領自身が選挙キャンペーンを戦う中で、TikTokの有用性を再確認したであろうこと（なおバイデン大統領もまた安全保障の懸念があるはずのTikTokを選挙運動に利用し続けていた）、もう一つは、MicrosoftやOracle等の米国企業によるTikTok米国事業買収の機会が存在することなどがあげられる⁸。

　第1次トランプ政権でTikTok売却が命じられた2020年夏頃から、米TikTok運営会社は米政府の懸念を解消するため、「プロジェクト・テキサス」を開始した。これは米国に専門子会社を設置し、米国内のOracle社データセンターにTikTok米国事業関連データを保存するというものだ。しかし、米国子会社をはじめとするコーポレートガバナンスや中国側からのオペレーショナルアクセスの懸念があって、米政府の懸念を解消するには不十分であった⁹。

TikTok規制をめぐる安全保障上の論点

　TikTokがもたらす安全保障上の脅威はいくつか指摘されてきたが、脅威やその影響を正確に理解することは難しく、専門家の判断も幅がある。脅威の具体的内容として、（１）プラットフォーム上での影響工作や政治介入、（２）米国民データの収集・移転、（３）悪意あるプログラムのデバイスへのインストール（マルウェア配布）があげられるが、CSISのジェームズ・ルイス（James Lewis）は、TikTokがもたらす安全保障上のリスクとして、（３）のみが深刻なリスクであり、他2つは過大評価されているとみる¹⁰。別の専門家は、TikTok上で生成される膨大なデータに注目する。TikTokに投稿される1日あたり3,400万本の動画はアスペクト比9：16が推奨され、規格の統一性と投稿の量・多様性により、深層学習モデルのトレーニングには最適である¹¹。TikTokの月間ユーザ数は米国の総人口の約半分に相当する1億7,000万人に達すること（特に若年世代ほど利用率が高いこと）を考慮すると、次世代の米国人に最適な説得的技術（persuasive technology）を生み出す可能性がある。

　さらに問題を複雑にしているのが、米国政府がTikTok脅威のハードエビデンスを示していないことだ。それ故、TikTokに米国の安全保障を脅かす「能力」はあるかもしれないが、「意思」は確認できないため、「TikTok規制は不要」という意見がある。

　しかし、こうした主張は一面的であろう。TikTok脅威論の背景にあるのは、米国TikTokの運営会社が中国資本である以上、ByteDance社を通じて、中国国家情報法第7条に基づく敵対的行為を強制される可能性があることだ。事実、中国政府と関連組織は米国民のデータや政治家・政府高官といったハイバリューターゲットの情報を10年以上にわたって執拗に狙ってきた。明確な「意思」を推認できる。

　つまり、未上場の中国系テック企業が提供するアプリケーション（能力）、長年、米国人の個人データを標的としてきた中国政府（意思）、両者を結びつける不透明なコーポレートガバナンスと中国国家情報法を考慮すれば、TikTok規制は妥当との結論に至るだろう。

データをめぐる経済安全保障：日本の次なる経済安保最前線？

　話を日本に戻そう。今や経済安全保障は日本企業にとって一過性のブームではなく、もはや経営・事業戦略やリスク管理と深く結びついている。

　現状の経済安保政策はデータについてほとんど扱っていないが、この状況は大きく変わるかもしれない。データをめぐる経済安全保障は、今後の日本の経済安全保障上の重要課題として位置付けられている可能性がある。例えば、前述の小林鷹之はかねてから、データやデジタル分野の経済安全保障を強調してきた。その一端は推進法制定過程からもうかがえる。第一に、「クラウドプログラム」はサプライチェーン強靭化¹²の対象である「特定重要物資」に指定されているが、これは初代経済安全保障担当大臣だった小林が「『プログラム』を入れるべきであると強く主張」した結果だという。第二に、「基幹インフラ」のサプライチェーン・サイバーセキュリティ強化¹³に関しても小林は「プラットフォーマーも基幹インフラの対象に入れるべきだと考えた」。しかし、法制上の業法のある業種ではないと厳しい、との指摘あり、断念せざるを得なかった¹⁴。

　実際、推進法には「プログラム」「重要設備」はあってもデータはない。「経済安全保障法制に関する有識者会議」構成員を務める慶應義塾大学の土屋大洋は、特定重要物資や基幹インフラはハードウェアやソフトウェアで構成されるが、なかでもこれらを使って処理されるデータが最も重要であり、「データこそ経済安全保障の要」という¹⁵。

　こうした国内外の状況をふまえると、データをめぐる経済安全保障が、日本の経済安全保障政策の次なる最重要課題となることは自然であろう。

注視すべき政策領域

　では、今後、日本ではデータ経済安全保障として、どのような政策が展開されうるのか。その全体像はどこにも公開されていないが、米国や欧州等の取組みをふまえると、いくつかの領域が浮かびあがる。

　第一に、外為法改正による対内投資規制と投資審査の強化である。2025年1月の外為法改正案の論点ではないが、「指定業種」「コア業種」の指定や投資審査の観点で、安全保障上、重要なデータへのアクセスと移転という要素が大きくなるかもしれない。

　第二に、通信インフラ、通信機器、アプリ等からのデータに関するバリューチェーン上からの懸念国の影響の極小化である。日本は既に、第1期トランプ政権期、政府のIT調達および通信事業者の5G調達から中国系企業を実質的に排除した¹⁶。また推進法でいう基幹インフラの重要設備等からも実質的に中国系企業を排除していると考えてよいだろう。こうした取組みがデータを中心にさらに拡大する可能性がある。

　第三に、二点目とも関連するが、バイオやコネクテッドカー等の特定の新興技術や成長領域における懸念国の影響の極小化である。例えば、米議会に提出されたバイオセキュア法案は、BGIやWuXi AppTecなどの中国系企業の政府調達からの排除、米国企業の取引の実質的な禁止を含む。同法案は米議会前会期終了に伴って廃案となったが、再び同様の法案が米議会に提出される可能性があるし、米国外でも同様の法案が必要だ、という声もあがっている。

　第四に、競争分野やコンテンツモデレーション分野での（特に外国資本を念頭においた）包括的なデジタルプラットフォーム（DP）規制の強化だ。日本は2024年を通じて、スマホソフトウェア競争促進法や情報流通プラットフォーム対処法を制定し、従来の立場を転換し、欧州型の包括的DP規制に舵を切ったかのようにみえる。第一から第三の政策領域が中国をはじめとする懸念国を念頭におくが、DP規制強化は同盟国・米国の企業も経済安保上の脅威と位置付けるものだ。J.D.ヴァンス（J. D. Vance）米副大統領がミュンヘン安全保障会議演説（2月14日）で述べたように、少なくとも第二次トランプ政権は欧州型DP規制を「欧州内部からの脅威」「米国と共有してきた基本的価値からの後退」の典型例とし、ロシアや中国以上に深刻な脅威とみなしている。

　いずれの政策も、産業競争力や社会発展の根幹をなすデータの「自由な流通」を安全保障の観点から規制する。こうした環境を前提とした経営・リスク管理が必要とされるだろう。

2025年3月14日脱稿

注

---

1. 推進法成立直後の評価は、川口貴久「経済安全保障とサイバーセキュリティ」『世界経済評論』（2022年5・6月号）、78-85頁。 ↩︎
2. 小林鷹之『世界をリードする日本へ』（PHP、2024年）、kindle版位置番号1048。 ↩︎
3. アン・コカス（中嶋聖雄監訳、岡野寿彦訳）『トラフィッキング・データ： デジタル主権をめぐる米中の攻防』（日本経済新聞出版、2024年）、31頁。 ↩︎
4. ブラッドフォードがいう競争関係とは、水平的競争（米中覇権競争、民主主義と権威主義の体制間競争、民主主義陣営内競争）と垂直的競争（政府・国家とテック企業）である。Anu Bradford, Digital Empires: The Global Battle to Regulate Technology (Oxford: Oxford University Press, 2023). 谷脇康彦はこれら3つに加えて、インドの官民連携規制モデルを新たなデータガバナンスモデルに加える。谷脇康彦「多極化するデジタル国家」IIJ.news、第184号（2024年10月）。<https://www.iij.ad.jp/news/iijnews/vol_184/detail_06.html> ↩︎
5. 渡井理佳子『経済安全保障と対内直接投資 : アメリカにおける規制の変遷と日本の動向』（信山社、2023年）、138-145頁。 ↩︎
6. ヘルバーグによれば、技術をめぐる米中競争は、アプリ、SNS、ニュースといった端末画面上で繰り広げられる「フロントエンドにおけるソフトな戦争」と、スマホ端末、衛星、海底ケーブル、5Gといった「バックエンドにおけるハードな戦争」から構成される。Jacob Helberg, The Wires of War: Technology and the Global Struggle for Power (New York: Avid Reader Press, 2021). ↩︎
7. 本稿では、中国とケイマン諸島を拠点とする未上場のByteDance Ltd.、および同社が実質的に支配するTikTok Ltd.（ケイマン諸島）、TikTok LLC（米国）、TikTok Inc.（米国）は全て、便宜上、「ByteDance社」と表現する。 ↩︎
8. Emily Taylor, “Why Trump’s change of heart on TikTok? This is about self-interest, not security,” The Guardian, January 29, 2025.　<https://www.theguardian.com/commentisfree/2025/jan/29/donald-trump-tiktok-security-threat-us-ban-chinese-platform-espionage> ↩︎
9. 「プロジェクト・テキサス」の詳細はサッシャ・ハニグ、市原麻衣子「TikTokが安全保障に与える影響と TikTok 規制の現在：欧米の事例から」『情報法制研究』第14号（2023年11月）、36-47頁。
   <https://www.jstage.jst.go.jp/article/alis/14/0/14_36/_pdf/-char/ja> ↩︎
10. James A. Lewis, “TikTok and National Security,” CSIS, March 13, 2024.
    <https://www.csis.org/analysis/tiktok-and-national-security> ↩︎
11. Nate Lavoy, “TikTok Is a Threat to National Security, but Not for the Reason You Think,” RAND, August 14, 2024.
    <https://www.rand.org/pubs/commentary/2024/08/tiktok-is-a-threat-to-national-security-but-not-for.html> ↩︎
12. サプライチェーン強靭化については、2024年12月末時点で、総額2兆1,830億円の基金をもとに、蓄電池や半導体等の12分野が指定され、民間企業が申請した123件の供給確保計画が認定されている。 ↩︎
13. 施策の正式名称は「基幹インフラの安全性・信頼性確保」であり、サプライチェーンのサイバーリスク管理強化である。具体的には、基幹インフラのうち、一定規模等の条件を満たす事業者の重要な設備・ソフトウェア・サービス・委託先の選定・調達を政府が事前審査するもので、推進法の中でも最も規制的側面を持つ。政府は基幹インフラ14業種の210の事業者を指定し、2024年5月17日より制度運用開始された。後に、これに「港湾」が追加指定され（15業種、ただし事業者は未指定）、2025年夏までに「医療」の追加指定が判断される。 ↩︎
14. 小林、前掲『世界をリードする日本へ』、kindle版位置番号539、562。 ↩︎
15. 土屋大洋「データこそ経済安全保障の要」『日本経済新聞』（2021年11月24日）
    <https://www.nikkei.com/article/DGKKZO77794610S1A121C2TCR000/> ↩︎
16. 詳しくは、川口貴久「日本の経済安全保障政策におけるサイバーセキュリティ強化：背景としての米中対立と２つのサイバーセキュリティ問題」『グローバル・ガバナンス』第9号（2023年3月）、36-51頁。 ↩︎