最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  Ｉ． Exceptions to the Offense Codes and Penalty Guidelines 犯罪分類コードや罰則ガイドラインの例外  　機密情報取扱許可手続き(security clearance process)は、懲罰プロセスとは別であり、このこのガイダンスは、秘密事項へのアクセスの適格性の拒否、停止または取り消しにかかる秘密事項扱い許可の決定(security clearance determinations)には適用されない。  　しかし、犯罪分類コードで概説されるように、従業員の最高機密の秘密事項扱い許可が停止されたか、取り消されたとき、提案された限定されない停止命令が出されるかもしれない。そして、従業員の最高機密の秘密事項扱い許可がセキュリティ上訴委員会(Security Appeals Board)によって最終的に取り消されたとき、連邦部門から従業員を排除するという提案が出される。 　このガイダンスに合致して、従業員は、秘密事項扱許可部が当該問題でセキュリティ関連した措置をとるか否かを問わず、安全保障への懸念を引き起こす不正行為に基づく懲罰処分または不利益な人事措置を受ける場合がある。  　医学レビュー委員会(Medical Review Board:MRB)の手続きは、懲罰手続きとも別であり、そして、このガイダンスは彼または彼女の病状により従業員の位置の重要な機能を実行することができないことに基づく医学レビュー委員会によって提案される職務からの排除にあてはまらない。  　さらに、懲戒処分が行われるか否かを問わず、問題は適切な行動・措置のために他のシークレットサービス部門に任せられるかもしれない。たとえば、問題が政府から借金額の控除に関する場合は、財務管理部に任せられるかもしれない。任務のための身体適合性または健康診断に関しては 、「安全、健康と環境プログラム部(Safety, Health and Environmental Programs Division)」 やそのレビュー...

  ３．OIGフォローアップ結果報告の概要 　2016年10月14日、米国の国土安全保障省の監察総監部（OIG）は、シークレット・サービス(USSS)でIT管理に関する調査結果によると問題がある旨の新レポートを 公表 した。その監査報告（標題は「合衆国シークレットサービスは機微情報管理システムおよびデータの保護に関し挑戦すべき課題（OIG-17-01）」）は、以前OIGが独立して行ったシークレット・サービスの従業員の不正アクセスおよびOIGの以前に行った独立調査におけるシークレット・サービス・データベースに含まれる連邦議会議員下院議員ジェイソン・シャフィッツに関する情報の公開に関する報告のフォローアップといえるものである。  　１．で.前述した2015年9月25日の 調査報告 において、DHS-OIGは約60の異なる事象において、45人のシークレット・サービスの従業員がジェイソン・シャフィッツ下院議員（米連邦議会下院特別委員会「行政監視・政府改革委員会(House Committee on Oversight and Government Reform)」の委員長）の2003年の求職申し込みに関係するデータベース情報に不正にアクセスしたことを明らかにした。情報にアクセスした大人数といえる45人のDHS・USSSの従業員は、1978年プライバシー法（シークレットサービス・DHSプライバシー・ポリシーだけでなく）に違反した。このエピソードは、DHS OIGにシークレットサービスITシステム上で適所に保護の効果についても監査を実行させた。  　監察結果によると、1)不十分なシステム・セキュリティ計画を含むシークレットサービスのIT管理、2)運用の有効期限がきれたシステムの運用、3)適切でないアクセス管理と監査による管理、4)論理的アクセス条件の不遵守、5)不十分なプライバシー保護と記録の過度にわたる長期の保持など、無数の問題が明らかとなった。OIGは、歴史的にみてシークレット・サービスがそれの問題につきプライオリティーを与えなかったため、シークレット・サービスのIT管理が効果がなかったと結論づけた。  また、6)シークレット・サービスの最高情報責任者(chief...

  (7) OIGの結論 　本報告(エピソード)は、シークレットサービス要員に付託される情報の機微性に関して明らかな不足を反映している。  　また、織り込まれていない、適格に対処すべき出来事に対し、USSSの潜在的なリスクを理解することに関しシークレット・サービス管理とリーダーシップにおいて怠慢を反映している。そして、彼らの職場での行動に起因する損害を防止するか、軽減すべきである。  　関係するすべての要員は、 情報に不適当にアクセスしたエージェント、何が起こっているかについて理解していない中間層の監督者さらにはそれら幹部の指揮者は 起こったことに対する責任を負うべきである。  　より良くてより頻繁な教育トレーニングは、この解決策の一部である。問題を突き詰めていくと、この違法な活動の責任が重要なプライバシー規則を偶然に無視したエージェントの肩にかなりの程度置かれるが、シークレット・サービスのトップ指導者等はその要員の行動を適宜コントロールするより良い仕事をしなければならない。  　シークレット・サービスのリーダーシップは、完全性への取り組みを明らかに示さなければならない。これはトップ管理者で適切なトーンをセットすることを含むが、より重要なことは、定着し、行動や倫理的で合理的なふるまいの標準を厳守することへの強い関与を必要とする点である。  　行動基準や倫理基準は、それらが確実に実行される場合のみ、そして、そのような標準からの逸脱が適切に対処されるならば、行為と倫理の標準には意味がある。  　それは、機関の各部の数十人ものエージェントによって実施されたことについて、起こったということを知るためプライバシー法のニュアンスを説明するために弁護士を連れてこない。単に間違ったのであり、各エージェントは分別がなければならなかった。  　この違法なふるまいに従事した従業員は、彼らの行動が所属する機関にどれくらい破壊的でかつ腐った結果をもたらすかにつき理解させられなければならない。  　その上、シークレット・サービスの局長がそれがメディアで公表されるまで、その問題を知らなかったのがUSSSの中で明らかにただ一人であったことは、特に皮肉で、問題である。3月24日のOI...

  次に、この理解は彼らに起こっていたことを防ぎ、起きていることの重大性を軽減するために処置をとらせなければならなかった。  　さらに、OIGはUSSSの上級管理者が自分自身が情報アクセスを止めるか、または、USSS従業員による委員長の記録への不正アクセスにつきUSSSの局長であるクランシーに知らせる機会を逃したという2つの特別な事例を見つけた。これらが、3月24日の最初の無許可のMCIアクセスの直後に起きた。  ③USSSの諜報・情報戦略部(Office of Strategic Intelligence and Information ：SII)の副次長補シンシア・ウォフォード(Deputy Assistant Director Cynthia Wofford)  (筆者注6) は、3月24日に関する局長との聴問の間、委員長の申込の噂に関して聴取に呼び出された。  　24日に噂の確認のためにインターネットによるアクセス検索に失敗した後に、ウォフォードは3月25日の朝に再度MCIにアクセスして、委員長の記録を見つけた。  　ウォフォードは、SIIを監督する彼女の立場において、「彼女が気がついた一部情報、例えばUSSSに関する厄介で局長や副局長に連絡すうべきマスコミ報道の作成 等について責任がある」と述べた。  　ウォフォードは、彼女が3月25日頃に自分で委員長記録についてクレイグ・マガー副局長に説明しようとしたと宣誓供述で、OIGに述べた。彼女の供述書によると、副局長はその際、追い払うよう動作を行ない「はい、はい我々が知っているよ」と述べたと記している。  ④USSS副局長クレイグ：・マガー( Craig Magaw )の説明 「私(ウォフォード)は彼がそれ以上それについて話したくなかった、そして、彼が（原文のまま）噂問題から離れたいと考えていると受け取った。 」 ⑤マガーは、その時にこの情報につき局長と協議しなかった。 マガーは、そのときの彼の立ち場について、彼がIOGの調査官にウォフォードとの意見交換の内容は思い出せさないと述...

  OIGが以下のとおり解説するように、データベースの範囲内に含まれる情報が「1974年プライバシー法」によって保護されているので、この警告（それはシステムの範囲内で含まれる情報が公式使用だけのためであるとユーザーに思い出させるものである）は必要である。そして、個人に関する情報を含むすべての政府データ・システムに適用されるものである。さらに、データベースは機密個人情報（例えば生年月日、社会保障番号、連絡先情報）を含む。不当に明らかにされるならば、個人にとって極めて困惑につながる。または、なりすまし被害の可能性や個人のセキュリティへの侵入の可能性が増加する。 　個人の雇用申請の結果は、個人識別情報(personally identifiable information：PII)への不正アクセスであるとも考えられうる。  　特別捜査官XXXXに対するOIGの審問は、 シャフィッツ委員長の生年月日、社会保障番号と出生の市町村等によって特定した委員長に関し、XXXX捜査官は2003年9月にシークレットサービスのXXX事務所に、実際申し込んだが申請は行われず、申込者は面接を受けなかったため、他のよりよく資格のある申込者が存在することを意味する「BQA」がデータ欄に記載されていたことを知った。  　XXXX特別捜査官は、このシャフィッツ委員長に関する仕事内容など雇用情報を照会すべき公的な必要がなかったのである。かくして、MCI 情報にアクセスする際に、プライバシー法を犯した。特別捜査官XXXXは、OIGの面談時に、好奇心からそうしたと述べた。また、別の捜査官はクランシー局長の証言のなかで「外向きの敵意をシャフィッツ委員長から向けられた」という点を述べた。また別の捜査官YYYはシャフィッツ委員長がシークレットサービスの申込を拒否されたことで局長に潜在的な不満を持っていたのではないかと述べた。  　捜査官XXXXは、この情報について、ただちにダラス事務所で働く特別捜査官YYYに電話でアクセスし、即座に同委員長の雇用申込の事実を知らせた。YYYの主な任務は申込者の調査であり、YYYは電話の5分後の同日10:23にもMCIにアクセスし、委員長の申込の事実を確認した。  　また、USSSの大統領保護部...

  10月15日に筆者の手元に国土安全保障省(DHS)・監察総監部(OIG)からの リリース が届いた。DHS傘下のシークレット・サービス(USSS)による連邦議会幹部議員の機微情報への公的目的外の不正アクセスおよびその結果のメデイアへの開示と、これをめぐる議会幹部のDHS/OIG調査要請にいたった法令違反問題が背景にある。OIGの「11項目の勧告」とこれを受けた「USSSの修正措置の同意」につきフォローアップ報告というものである。  　同レポートを読んでみたが、ここで出てくるOIGが2015年9月に行った報告・勧告の内容がまずわからないと、今回の報告の内容は理解できない。筆者としては、まず2015年9月25日のOIG報告の内容を確認すべく作業を行った。そこで見えてきたものは、USSSの従業員45人という多数の違法行為の内容とその解析を実行したOIG事務方の関係法令の理解、手続きとデジタル・フォレンジックス知識等を通じたセキュリティ情報の解析レベルの高さである。 　さらに大きな特徴は、OIGの監察対象は局長、副局長等上級幹部(SES)も例外ではない。GAOのような連邦議会の調査機関ではない内部監査機関の監査事例を見る上で参考とすべきという観点からまとめた。   　 また、連邦議会を巻き込んだこの問題につき、行政側の対応につき見逃せない重要な点は2015年11月17日の 連邦議会下院・国家安全保障委員会(Homeland Security Committee) 、 同 ・行政監視・管理効率化小委員会(House Subcommittee on Oversight and Management Efficiency )  (同小委員会は116th C o ngressから 行政監視・管理・説明責任小委員会Oversight and Management & Accountability ) (筆者注0) 、 上院・国土安全保障政府問題委員会（Committee on Homeland Security and Government Affairs） 、 同・規制問題と連邦管理小委員会(Subcommittee on Regul...

  　2016年9月20日付けの筆者のブログで、 イタリア個人情報保護庁(del Garante per la protezione dei dati personali ：GPDP) の最新動向に関し、  「イタリア個人情報保護庁の2016年上期の法執行の動向調査レポートと保 護法の運用面からみた課題(その1)　」 、  「同(その2完)」 を掲載した。  　最近、筆者にGaranteが10月1日から「商業情報目的のために実行すべき個人データの処理のための倫理および望ましい行動規範(Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale")」を実施した旨の9月30日付けの メール が届いた。  　EUや米国等にみる行動規範自体珍しいものではないが、そのような動き自体は正確に理解し、わが国としての対応を考える上で参考として、リースの概要を 仮訳 しておく。 　なお、前回も断ったとおり、筆者はイタリア法の専門家ではない。専門家による補足を期待する。  １．リリースの内容 ○ Garanteは2016年10月1日から施行される「商業情報目的のために実行すべき個人データの処理のための倫理および望ましい行動規範」を、個人情報の保護のために適切に保証することによってその促進を図る目的で、各種関係団体、企業や利害関係のある消費者等とともに用意した。10月１日からは、商業・企業の経営者や管理者はその信頼性に関する情報を提供している企業は、同規範によって提供される個人データの処理を実行する必要がある。  ○同規範は、ビジネス市場にとって特に重要な地域を統治し、個人の尊厳とプライバシーを尊重しながら、「データベース( banche...