(7) OIGの結論
本報告(エピソード)は、シークレットサービス要員に付託される情報の機微性に関して明らかな不足を反映している。
また、織り込まれていない、適格に対処すべき出来事に対し、USSSの潜在的なリスクを理解することに関しシークレット・サービス管理とリーダーシップにおいて怠慢を反映している。そして、彼らの職場での行動に起因する損害を防止するか、軽減すべきである。
関係するすべての要員は、 情報に不適当にアクセスしたエージェント、何が起こっているかについて理解していない中間層の監督者さらにはそれら幹部の指揮者は 起こったことに対する責任を負うべきである。
より良くてより頻繁な教育トレーニングは、この解決策の一部である。問題を突き詰めていくと、この違法な活動の責任が重要なプライバシー規則を偶然に無視したエージェントの肩にかなりの程度置かれるが、シークレット・サービスのトップ指導者等はその要員の行動を適宜コントロールするより良い仕事をしなければならない。
シークレット・サービスのリーダーシップは、完全性への取り組みを明らかに示さなければならない。これはトップ管理者で適切なトーンをセットすることを含むが、より重要なことは、定着し、行動や倫理的で合理的なふるまいの標準を厳守することへの強い関与を必要とする点である。
行動基準や倫理基準は、それらが確実に実行される場合のみ、そして、そのような標準からの逸脱が適切に対処されるならば、行為と倫理の標準には意味がある。
それは、機関の各部の数十人ものエージェントによって実施されたことについて、起こったということを知るためプライバシー法のニュアンスを説明するために弁護士を連れてこない。単に間違ったのであり、各エージェントは分別がなければならなかった。
この違法なふるまいに従事した従業員は、彼らの行動が所属する機関にどれくらい破壊的でかつ腐った結果をもたらすかにつき理解させられなければならない。
その上、シークレット・サービスの局長がそれがメディアで公表されるまで、その問題を知らなかったのがUSSSの中で明らかにただ一人であったことは、特に皮肉で、問題である。3月24日のOIG審理時に、局長は彼が一番最初の3月4日の飲酒事件を知るようにならなかった点をとらまえて「激怒した」と証言した。
彼は、幹部等がUSSS内の報告網が面白おかしく話すことができないのを感じる一方で、彼は猛烈にこれらのバリアを下るブレークへトライすべく作業中であると「宣誓証言」した。
この幹部や副長官を含む18人の監督者の証言後に、局長は、何が起こっているかについて気づいていた。それでも、局長自身は正確な事実を知らなかった。それを知ったとき、局長は素早くかつ決定的な措置をとった。しかし、USSSを正当化すべきとの議会等からの批判を再び受けるのを阻止するにはあまりにも遅かった。
2.連邦議会の上院・下院のUSSS関係委員会、小委員会の合同委員会でのUSSS局長ジョセフ・クランシーの書面証言の概要
この書面証言「USSSおよび連邦政府全体に適用される現下の新たな取り組みに向けた見直し状況」は、2015年11月17日に行われたもので、原文で8頁にわたるものである。今回の不祥事件も含む議会に対するUSSSの運営管理と取り組みの実態を述べたものとなる。したがって、多くの点は、今回の事件とは直接関係のない点すなわち、2014年12月15日付けで報告された独立なUSSS保護任務の見直し委員会報告「United States Secret Service Protective Mission Panel (USSSPMP) :メンバーはJoseph Hagin, Thomas Perrelli, Danielle Gray, Mark Filip (全11頁)) に関する記述であることから、筆者が関係すると判断した部分のみ仮訳し、残りの部分は項目のみあげる。
(1) 連邦議会下院・国家安全保障委員会、行政監視・管理効率化小委員会 、上院・国土安全保障政府問題委員会(Committee on Homeland Security and Government Affairs)、規制問題と連邦管理小委員会の合同委員会でのUSSS局長ジョセフ・クランシーの書面証言
(2) シークレット・サービス・データシステムの不適切なアクセスの調査
私は、最初に(1)DHS OIGによる最近の調査での指摘されたシークレット・サービスの従業員が不適切に情報システムにアクセスしたこと、および(2)内部のデータベースにもとづき公表した情報につき論じたい。OIG調査では、多くの従業員が、1974年プライバシー法によって保護された個人情報の無許可のアクセスと第三者であるメデイアへの公開についての既存のシークレット・サービスとDHSポリシーを冒とくすることが判明した。
これらの従業員が行った行為は受け入れがたいものである。私は、OIGの発見において反映された潜在的な行動により怒利りを感じ、すべての従業員がプロフェッショナルな指導 義務があるか否かにかかわらず、最も高い行動基準を保持していることを約束する。
我々が保護する人々および私達が奉仕する一般大衆は、我々がエージェンシーとして確立した私達の誓いと価値に住むことを我々に期待されており、我々はお互いに少なく要求すべきでない。
私達は、このOIGリポートにおいて説明された行動よりよく行なう、また人々はそれらの行動についての説明を支持されたい。
(3) 不正アクセス事件の説明責任
シークレット・サービスの男性・女性を代表して、私は国民の信頼と自信とそのの違反のための私の謝罪を更新し、それを復元するための私の取り組みにつきコメントを述べる機会としたい。
私にはこの事件への説明責任へ要求、その適宜な確固たる処罰が必要であるという声が大きくかつ明確に聞こえてくる。私はこの点に同意する。また、私は怒りへの謝罪と表現が十分ではない点も理解している。
DHSのジョンソン長官と私は、この観点において同じ立場に立つ。適切な教育・訓内容練は来週にDHSとシークレットサービス・ポリシーに従って発布される。私は、関与した従業員個人についての行動が適宜、公正かつ適切であるとであると信じる。
(4) 技術面から見た改善すべき課題と対処事項
2015 年 3 月 24 日、情報への不正なアクセスに貢献したシークレット サービスの基幹中央データベース(MCI)内で技術的な点でセキュリティの欠陥があった。
このため、これらの内部的脆弱性に対処すべきであり、今回と同様の違法行為の可能性を将来的に軽減させねばならない。
マスター中央インデックス は、コアとなる中央検索アプリケーションおよび事件事例管理システムとして1984 年に開発されたメインフレーム アプリケーションである。
具体的には、MCIはUSSSの扱う保護事件 (筆者注10)、調査・捜査および人事管理の記録を含み、また捜査員や管理者のための単一のアクセス ポイントとして役立ってきた。このようなシステムの重要な欠陥は、MCIユーザーはユーザーのジョブ機能に必要だったかどうかどうかに関係なくすべてのデータへのアクセスを MCI に対しで行い得た点である。
シークレット サービスの情報の統合・技術返還 (「IITT」) プログラム (筆者注11)は、2010 年度に設立された。2011年にMCI と他のメインフレーム アプリケーションを制限するという認識のもとで、シークレット サービスは、メインフレーム上にある既存の 48 のアプリケーションを評価し、必要な機能を移行し、非メインフレームへデータを伴うを確保するメインフレーム アプリケーション・リファクタリング ("MAR") (筆者注12)プロジェクトを、高い可用性と仕切られた環境作りを開始した。DHS は、プロジェクトを完了するには 10年がかかるであろうと推定している。
シークレット サービスは、 2013 年 3 月にMARプロジェクトの作業を加速し、2015 年 6 月 24 日にプロジェクトの閉鎖を達成することができた。その時には、従業員によるのすべてのメインフレーム アクセス権が取り消された。新しいシステムは、完全に運用されているし、すべての時代にあわなくなったレガシイデータは、新しいプラットフォームに移行し、そこではデータはロックされ、そのデータへのアクセスは、職務権限に依存することとなった。
さまざまなシステムに存在する情報保護、調査、および人事管理記録と内部のコントロールは、現在は次の2つの方法でこれらのシステムへのアクセスを制限するよう実装されている。現在、新しいのアクセス権は、(1) それぞれの情報に関する担当部長以上に限る、および/または、(2)組織内のシステムのユーザーの役割に基づく。MCI の一時運転停止が2015年 7 月末に始まり、それは完全に 2015 年 8 月 12 日に停止した。メインフレーム・システムの分解(disassembly)は 8月に始まり、それは物理的に 2015 年 9 月 16 日にデータ センターから削除された。
(5) 教育・研修訓練
OIG のレポートは、また機密データへの不正アクセスに関連する改善およびより頻繁な教育や訓練の必要性を挙げた。
USSSは繰り返し、既存のポリシーやトレーニングの強化に取り組んでいる。
既存のデータベースへの適切なアクセスに関するポリシーおよびプライバシー法の取り扱いに関する保護については、「シークレット・ サービスの倫理ガイド(Secret Service Ethics Guide)」、「罰則一覧(Table of Penalties)」は、情報技術の使用に関する行動規範に関連するシークレット サービス マニュアルのセクション内に明記されている。
各従業員は毎年これらのマニュアルの項を確認したことを証明する必要が求められる。
問題の行動が起きた時に、シークレット・サービスは、すでにプライバシー法をに関する教材を含む「特別エージェントの均一化推進部」によるトレーニング・クラスに1時間のブリーフィングを提供していた。「情報の自由法とプライバシー法(Freedom of Information Act and Privacy Act)」については、政府とDHS広報部から派遣された上級政府情報専門家は、約2012の内容に追加された主題の包括的な教材を用いたクラスでPIIにフォーカスをあてて教育している。
「セキュリティの重要性の自覚(IT Security Awareness)」と題する1時間の現場でのオンライン・トレーニングでは、エージェンシーの「連邦情報セキュリティマネジメント法( Federal Information Security Management Act:FISMA)」 (筆者注13)への遵守の一部として学ぶことが要求される。
同コースは、情報の保護および連邦の情報システムの安全な操作を保証する際の連邦職員の役割を概説する。
また、プライバシー法は、シークレット・サービス局のチーフ相談インストラクターによりフィールドに施された現場での倫理問題のクラスの時間に議論される。
さらに、DHSは、従業員に「DHSのプライバシー問題:個人情報保護」と題する年間での現場オンライントレーニングを完成することを要求する。
このトレーニングは、2012年 にカリキュラムに組み込まれPIIの適切な処理でカバーされた。年間でのクラス学習が必要な一方で、今回のOIG報告で明らかの重要性のもとづき、私は、10月16日に公式なメッセージにおいて、11月30日までに適格なクラス内容を取り戻すよう、教育現場に指示した。
そのうえ、プライバシー法のブリーフィング教育強化についての私の指示は、現在「特別エージェントと均一化部のトレーニングクラス」においてチーフ相談インストラクター部が提供している。
永久的なカリキュラムが開発され、候補者および現場の従業員訓練のためのフォーマルなクラス内容の構築が近い将来に予定されている。
**********************************************************************************
(筆者注10) USSSが保護した事件などとは、例えば、2015年6月17日のクランシー局長の連邦議会報告「Professionalism within the Workforce:Fiscal Year 2015 Report to Congress」July 17,, 2015 等で報告されている。
(筆者注11) Secret Service’s Information Integration and Technology Transformation (“IITT”) programについては、2015.4.7 「Future Years Homeland Security Program (FYHSP) Fiscal Years 2016–2020」のUSSSに関する部分が詳しい。
(筆者注12)リファクタリングとは「プログラムのソースコードなどを意味・動作は保ったまま、保守性・可読性を高めるように書き直すこと」である。
(筆者注13) 本当に、クランシー局長が書面証言で「連邦情報セキュリティマネジメント法( Federal Information Security Management Act:FISMA)」と述べたのであろうか。同法は2002年成立した法律であるが、2014年に改正され、名称も「S.2521 - Federal Information Security Modernization Act of 2014(FISMA)」とされている。この点は疑問として残る。機会を見てUSSSに直接確認したい。
***********************************************************************
Copyright © 2006-2016 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
コメント
コメントを投稿