スキップしてメイン コンテンツに移動

「米国DHSシークレットサービス(USSS)による連邦議会委員長の機微情報への不正アクセスおよびその開示問題とOIG監察報告の意義」(その1)

 10月15日に筆者の手元に国土安全保障省(DHS)・監察総監部(OIG)からのリリースが届いた。DHS傘下のシークレット・サービス(USSS)による連邦議会幹部議員の機微情報への公的目的外の不正アクセスおよびその結果のメデイアへの開示と、これをめぐる議会幹部のDHS/OIG調査要請にいたった法令違反問題が背景にある。OIGの「11項目の勧告」とこれを受けた「USSSの修正措置の同意」につきフォローアップ報告というものである。 

 同レポートを読んでみたが、ここで出てくるOIGが2015年9月に行った報告・勧告の内容がまずわからないと、今回の報告の内容は理解できない。筆者としては、まず2015年9月25日のOIG報告の内容を確認すべく作業を行った。そこで見えてきたものは、USSSの従業員45人という多数の違法行為の内容とその解析を実行したOIG事務方の関係法令の理解、手続きとデジタル・フォレンジックス知識等を通じたセキュリティ情報の解析レベルの高さである。

 さらに大きな特徴は、OIGの監察対象は局長、副局長等上級幹部(SES)も例外ではない。GAOのような連邦議会の調査機関ではない内部監査機関の監査事例を見る上で参考とすべきという観点からまとめた。 

 また、連邦議会を巻き込んだこの問題につき、行政側の対応につき見逃せない重要な点は2015年11月17日の連邦議会下院・国家安全保障委員会(Homeland Security Committee)・行政監視・管理効率化小委員会(House Subcommittee on Oversight and Management Efficiency ) 

(同小委員会は116th Congressから行政監視・管理・説明責任小委員会Oversight and Management & Accountability)(筆者注0)上院・国土安全保障政府問題委員会(Committee on Homeland Security and Government Affairs)同・規制問題と連邦管理小委員会(Subcommittee on Regulatory Affairs and Federal Managementの合同委員会でのUSSS局長ジョセフ・クランシーの書面証言「USSSおよび連邦政府全体に適用される現下の新たな取り組みに向けた見直し状況」である。 

 さらに問題となる重要な点は、USSSの行動規範、倫理規範や罰則の内容であろう。この問題は前記2015年11月17日の局長の書面証言でも出てくるものであるが、いくら調べても注記も含めその具体的内容の説明がない。筆者なりの調べた結果は、やはり同局長の2015年7月17日のFiscal Year 2015 Report to Congress「USSSの従業員の違法・不正行為防止の観点から(人事・労務・雇用・教育面等)の専門性強化策(Professionalism within the Workforce)」の「添付資料A」であった。 

 今回のブログは、(1)2015.9.25 OIG報告の概要、(2)連邦議会の上院・下院の関係委員会、小委員会の合同委員会でのUSSS局長ジョセフ・クランシーの書面証言の内容、(3)OIGのフォローアップ結果報告の概要、(4)USSSの行動規範、倫理規範や罰則の概要を紹介する。 

 最後に、わが国ではほとんど正面から論じられていない連邦法執行官吏(FBI,CIA,USSS:civil servant)の法令遵守レベルの問題と公僕意識、さらにはこれら報告の内容を検証する中で見えてきた最新の米国連邦公務員の給与水準(俸給表)や連邦人事管理局(OPM)の年報計算プログラム、わが国でも話題となった約400万人のOPM人事情報がハッキングされた問題等が浮かび上がったが、今回のブログではあえて前者のみ取り上げ、後者は改めて取り上げたい。 

 また、本ブログで取り上げるOIGやUSSSレポート等は、米国の法執行機関やシステム監査の専門家向けで予備知識がないと理解できない点が多い。このため筆者がなしうる範囲で注記やリンクを張った。

  なお、言うまでもないがOIG報告では違法な行為に加担した職員名等は黒で塗りつぶされているが、少なくとも政府のITシステムへのアクセス時の法遵守にかかる警告を無視した違反行為等の事実自体の指摘は極めて具体的である。

 同じ問題は、わが国の諜報機関ではありえないと言い切れるのか。この問題は別途研究したい。 

 今回は、回に分けて掲載する。 

1.2015年9月25日のOIG報告の概要

 今回の大スキャンダルのもとになったもので、全文29頁の報告である。極力、事実関係や専門的な内容を理解できるよう補足しながら仮訳した。 

OIGのJohn Roth 監察総監

 (1) OIGの覚書(memorandum)のあて先

  

DHS長官 ジェイ C.ジョンソン(Jeh Charles Johnson)

  

USSS 局長 ジョセフ P.クランシー(Joseph P. Clancy)  

(2) OIG調査の経緯(なるべく原文に即して仮訳した)

 本覚書は、OIG事務局が1人以上の米国シークレットサービス:USSS(以下「シークレット・サービス」という)の特別捜査官が使用目的が公的なものに制限されている中核人事データベース(MCI)に後で連邦議会の議員になった個人による採用申請内容に違法にアクセスし、その結果を他の特別捜査官に電子メール送信し、さらに同情報は後に第三者であるメディアにより公開された。OIGは、DHS長官、USSS局長ならびにシークレット・サービス、連邦議会下院「行政監視・政府改革委員会」のスタッフから照会・調査要請に応じた後に、本調査を行った。 

 さらに付け加えると、シークレット・サービス・データ・システムは、「連邦情報セキュリティ管理法(Federal Information Security Management Ac)」 (筆者注1) に基づくOIGの年次レビュー対象の一部である。OIGの「調査・査定部(Office of Inspections and Evaluation)」 (筆者注2)は、特定のシークレット・サービス・プログラムと活動(特定のセキュリティ事件だけでなく)に関しても調査を実施している。本作業の終論部で、OIGは明らかになった点をまとめる。 

 OIGは、本申し立てにつきレビューを完了して、また連邦議会・下院議員ジェイソン・シャフィッツ議員(Jason Chaffetz)(米連邦議会・下院「行政監視・政府改革委員会(House Committee on Oversight and Government Reform)」委員長)に関連する機密個人特定情報(personally identifiable information:PII)を含むシークレット・サービス・データベースに対し、シークレット・サービスの従業員によって約60件の違反アクセス行為があったと判断した。さらにOIGは、情報にアクセスした人々の圧倒的多数がプライバシー法(シークレット・サービス=DHSのプライバシーポリシーと同様)に違反したと結論付けた。

 ジェイソン・シャフィッツ下院議員

 さらに、OIGは、プライバシー法によって保護されている情報を外部の情報源に対し情報を明らかにしたことを認めた1人の従業員を特定した。しかし、この機微情報へのアクセスをもつ個人の数が極めて多かったため、OIGは保護された情報を第三者に明らかにしたかもしれない者を特定することはできなかった。

   OIGは、2015年4月2日から2015年8月21日の間に、この調査を行った。OIGの調査目的は、委員長の雇用申込情報に許可を得ずしてアクセスしたかどうか、(2) それら行為を行った個人の身元の確認、(3) 情報がプライバシー法に違反してさらに第三者に公開されたかどうか、そして、(4)シークレット・サービス情報管理システムが、そのような情報の無許可のアクセスを妨げるため具体的にどのような機能を果たしたか。 

 本調査は、シークレット・サービス職務責任局(Secret Service Office of Professional Responsibility:OPR)の支援を受けてOIGの要員によって行われた。OIGは50以上のインタビューを行い、シークレット・サービス・記録をレビューし、さらに召喚令状(subpoena)に従って、民間事業者からも記録を得た。OIGは、(1)「シークレット・サービス電子メール・システム」の検索を行うとともに、(2)シークレット・サービスの「マスター中央インデックス(Master Central Index:MCI)」(筆者注3)を見直して、DHSのプライバシーポリシー、シークレット・サービス・プライバシーと人事ポリシーをレビューし、同時に、(3)電話記録を調べた。

 本報告は、これの調査結果を報告するもので、その結論(監察官法とOIGの一般慣行にもとづく独立条件と一致した)は、OIG事務局の独占的な結果である。

 (3) 連邦議会での聴聞

①シークレットサービス・データベースの機密情報の1回目の無許可アクセスに関する下院聴聞会の審理

 2015年3月24日に、2015年3月4日の夕方に2人のシークレット・サービスの監督官(Secret Service supervisors )が犯行現場を破壊し、当時アルコールに酔っていたという申し立てに関して、連邦議会下院の「行政監視および政府改革委員会Oversight and Government Reform Committee (OGR)」はシークレット・サービスの行動についての聴問会を行った。

同委員会の唯一の証人は、シークレット・サービス局長ジョセフ・P・クランシーのみであった。 

②審理は、午前10時に開始され、午前10時18分までの間に本部管理局に任命された連邦国家公務員俸給表GS-14級の上級シークレットサービス・エージェントXXXX対し、1980年設置されたシークレットサービスの基幹データベース(agency’s Master Central Index (MCI)に、連邦議会下院議員ジェイソン・シャフィッツ(Jason Chaffetz)の名前をキーとする照会をかけた点につき審理が行われた。USSSのMCIは、1)犯罪行為の主体、2)非犯罪的であるが保護すべき諜報調査の対象となるもの、3)USSSの人事・志願データ、4)その他武器や身体的運動能力などUSSS独自の記録を擁する1980年代からの歴史のある電子データベース・システムである。

 MCIのデータベースのアクセス時、各捜査官は最初にユニークなユーザーIDとパスワードでログオンしたとき、以下の警告が表示されるのを見ているはずである。

 **********************************************************************************

(筆者注0) 行政監視・管理・説明責任小委員会Oversight and Management & Accountability)の委員長はLou Correa氏

Lou Corrrea氏

(筆者注1) FISMA (2002年連邦情報セキュリティマネジメント法:the Federal Information Security Management Act)は、2002年12月に制定された「電子政府法」のタイトルIIIにあたります。この法律は、各連邦政府機関とその外部委託先に対して、情報および情報システムのセキュリティを強化するためのプログラムを開発、文書化、実践することを義務付けています。また、同法は、NISTに対しては、連邦政府が FISMAに準拠するための支援をすることを義務付けています。( NRI SECURE TECHNOLOGIES「NISTのFISMA導入プロジェクト 解説のページ」から一部抜粋。法令とのリンクは筆者が行った)。

 (筆者注2) OIGの調査・査定部Office of Inspections and Evaluationsの組織図

 (筆者注3) 2012.4.3 NETWORK WORLDのOPINION「What is on a US Secret Service mainframe anyway?」がシークレットサービスのMCIの概要を紹介しているので一部抜粋、仮訳する。

:Secret Service’s mainframe apps collect tons of information about ongoing and resolved investigative cases」

•Master Central Index (MCI): MCI processes investigative data. Service personnel authorized to use MCI can enter data and access information through the Secret Service network. MCI contains data which supports both criminal and noncriminal investigations. MCI includes the collection of data concerning numerous aspects of cases handled by the Secret Service including the following: case type, case control limited arrest history, names, date of birth, race, sex, height, weight, eye color, addresses, SSN, phone numbers, and tattoos.

マスター中央インデックス(MCI): MCIは、調査(捜査)のデータを処理する。 MCIを使う許可を与えられるシークレット・サービス要員は、データを入力することができ、またシークレットサービス・ネットワークにより情報にアクセスすることができる。MCIは、犯罪的および非犯罪的な調査を支援するデータを含む。MCIは、以下を含むシークレットサービスによって取り扱われるケースの多数の側面に関するデータの収集を含む。事件のタイプ、逮捕履歴に限定された事件の管理情報、氏名、生年月日、人種、性別、身長、体重、眼の色、住所、社会保障番号、電話番号およびタトゥー。 

***********************************************************************

Copyright © 2006-2016 芦田勝(Masaru Ashida ).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント

コメントを投稿

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...
コメントを投稿
続きを読む

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...
コメントを投稿
続きを読む

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...
コメントを投稿
続きを読む