10月15日に筆者の手元に国土安全保障省(DHS)・監察総監部(OIG)からのリリースが届いた。DHS傘下のシークレット・サービス(USSS)による連邦議会幹部議員の機微情報への公的目的外の不正アクセスおよびその結果のメデイアへの開示と、これをめぐる議会幹部のDHS/OIG調査要請にいたった法令違反問題が背景にある。OIGの「11項目の勧告」とこれを受けた「USSSの修正措置の同意」につきフォローアップ報告というものである。
同レポートを読んでみたが、ここで出てくるOIGが2015年9月に行った報告・勧告の内容がまずわからないと、今回の報告の内容は理解できない。筆者としては、まず2015年9月25日のOIG報告の内容を確認すべく作業を行った。そこで見えてきたものは、USSSの従業員45人という多数の違法行為の内容とその解析を実行したOIG事務方の関係法令の理解、手続きとデジタル・フォレンジックス知識等を通じたセキュリティ情報の解析レベルの高さである。
さらに大きな特徴は、OIGの監察対象は局長、副局長等上級幹部(SES)も例外ではない。GAOのような連邦議会の調査機関ではない内部監査機関の監査事例を見る上で参考とすべきという観点からまとめた。
また、連邦議会を巻き込んだこの問題につき、行政側の対応につき見逃せない重要な点は2015年11月17日の連邦議会下院・国家安全保障委員会(Homeland Security Committee)、同・行政監視・管理効率化小委員会(House Subcommittee on Oversight and Management Efficiency )
(同小委員会は116th Congressから行政監視・管理・説明責任小委員会Oversight and Management & Accountability)(筆者注0)、上院・国土安全保障政府問題委員会(Committee on Homeland Security and Government Affairs)、同・規制問題と連邦管理小委員会(Subcommittee on Regulatory Affairs and Federal Managementの合同委員会でのUSSS局長ジョセフ・クランシーの書面証言「USSSおよび連邦政府全体に適用される現下の新たな取り組みに向けた見直し状況」である。
さらに問題となる重要な点は、USSSの行動規範、倫理規範や罰則の内容であろう。この問題は前記2015年11月17日の局長の書面証言でも出てくるものであるが、いくら調べても注記も含めその具体的内容の説明がない。筆者なりの調べた結果は、やはり同局長の2015年7月17日の「Fiscal Year 2015 Report to Congress「USSSの従業員の違法・不正行為防止の観点から(人事・労務・雇用・教育面等)の専門性強化策(Professionalism within the Workforce)」の「添付資料A」であった。
今回のブログは、(1)2015.9.25 OIG報告の概要、(2)連邦議会の上院・下院の関係委員会、小委員会の合同委員会でのUSSS局長ジョセフ・クランシーの書面証言の内容、(3)OIGのフォローアップ結果報告の概要、(4)USSSの行動規範、倫理規範や罰則の概要を紹介する。
最後に、わが国ではほとんど正面から論じられていない連邦法執行官吏(FBI,CIA,USSS:civil servant)の法令遵守レベルの問題と公僕意識、さらにはこれら報告の内容を検証する中で見えてきた最新の米国連邦公務員の給与水準(俸給表)や連邦人事管理局(OPM)の年報計算プログラム、わが国でも話題となった約400万人のOPM人事情報がハッキングされた問題等が浮かび上がったが、今回のブログではあえて前者のみ取り上げ、後者は改めて取り上げたい。
また、本ブログで取り上げるOIGやUSSSレポート等は、米国の法執行機関やシステム監査の専門家向けで予備知識がないと理解できない点が多い。このため筆者がなしうる範囲で注記やリンクを張った。
なお、言うまでもないがOIG報告では違法な行為に加担した職員名等は黒で塗りつぶされているが、少なくとも政府のITシステムへのアクセス時の法遵守にかかる警告を無視した違反行為等の事実自体の指摘は極めて具体的である。
同じ問題は、わが国の諜報機関ではありえないと言い切れるのか。この問題は別途研究したい。
今回は、6回に分けて掲載する。
1.2015年9月25日のOIG報告の概要
今回の大スキャンダルのもとになったもので、全文29頁の報告である。極力、事実関係や専門的な内容を理解できるよう補足しながら仮訳した。
OIGのJohn Roth 監察総監
(1) OIGの覚書(memorandum)のあて先
DHS長官 ジェイ C.ジョンソン(Jeh Charles Johnson)
USSS 局長 ジョセフ P.クランシー(Joseph P. Clancy)
(2) OIG調査の経緯(なるべく原文に即して仮訳した)
本覚書は、OIG事務局が1人以上の米国シークレットサービス:USSS(以下「シークレット・サービス」という)の特別捜査官が使用目的が公的なものに制限されている中核人事データベース(MCI)に後で連邦議会の議員になった個人による採用申請内容に違法にアクセスし、その結果を他の特別捜査官に電子メール送信し、さらに同情報は後に第三者であるメディアにより公開された。OIGは、DHS長官、USSS局長ならびにシークレット・サービス、連邦議会下院「行政監視・政府改革委員会」のスタッフから照会・調査要請に応じた後に、本調査を行った。
さらに付け加えると、シークレット・サービス・データ・システムは、「連邦情報セキュリティ管理法(Federal Information Security Management Ac)」 (筆者注1) に基づくOIGの年次レビュー対象の一部である。OIGの「調査・査定部(Office of Inspections and Evaluation)」 (筆者注2)は、特定のシークレット・サービス・プログラムと活動(特定のセキュリティ事件だけでなく)に関しても調査を実施している。本作業の終論部で、OIGは明らかになった点をまとめる。
OIGは、本申し立てにつきレビューを完了して、また連邦議会・下院議員ジェイソン・シャフィッツ議員(Jason Chaffetz)(米連邦議会・下院「行政監視・政府改革委員会(House Committee on Oversight and Government Reform)」委員長)に関連する機密個人特定情報(personally identifiable information:PII)を含むシークレット・サービス・データベースに対し、シークレット・サービスの従業員によって約60件の違反アクセス行為があったと判断した。さらにOIGは、情報にアクセスした人々の圧倒的多数がプライバシー法(シークレット・サービス=DHSのプライバシーポリシーと同様)に違反したと結論付けた。
ジェイソン・シャフィッツ下院議員
さらに、OIGは、プライバシー法によって保護されている情報を外部の情報源に対し情報を明らかにしたことを認めた1人の従業員を特定した。しかし、この機微情報へのアクセスをもつ個人の数が極めて多かったため、OIGは保護された情報を第三者に明らかにしたかもしれない者を特定することはできなかった。
OIGは、2015年4月2日から2015年8月21日の間に、この調査を行った。OIGの調査目的は、委員長の雇用申込情報に許可を得ずしてアクセスしたかどうか、(2) それら行為を行った個人の身元の確認、(3) 情報がプライバシー法に違反してさらに第三者に公開されたかどうか、そして、(4)シークレット・サービス情報管理システムが、そのような情報の無許可のアクセスを妨げるため具体的にどのような機能を果たしたか。
本調査は、シークレット・サービス職務責任局(Secret Service Office of Professional Responsibility:OPR)の支援を受けてOIGの要員によって行われた。OIGは50以上のインタビューを行い、シークレット・サービス・記録をレビューし、さらに召喚令状(subpoena)に従って、民間事業者からも記録を得た。OIGは、(1)「シークレット・サービス電子メール・システム」の検索を行うとともに、(2)シークレット・サービスの「マスター中央インデックス(Master Central Index:MCI)」(筆者注3)を見直して、DHSのプライバシーポリシー、シークレット・サービス・プライバシーと人事ポリシーをレビューし、同時に、(3)電話記録を調べた。
本報告は、これの調査結果を報告するもので、その結論(監察官法とOIGの一般慣行にもとづく独立条件と一致した)は、OIG事務局の独占的な結果である。
(3) 連邦議会での聴聞
①シークレットサービス・データベースの機密情報の1回目の無許可アクセスに関する下院聴聞会の審理
2015年3月24日に、2015年3月4日の夕方に2人のシークレット・サービスの監督官(Secret Service supervisors )が犯行現場を破壊し、当時アルコールに酔っていたという申し立てに関して、連邦議会下院の「行政監視および政府改革委員会Oversight and Government Reform Committee (OGR)」はシークレット・サービスの行動についての聴問会を行った。
同委員会の唯一の証人は、シークレット・サービス局長ジョセフ・P・クランシーのみであった。
②審理は、午前10時に開始され、午前10時18分までの間に本部管理局に任命された連邦国家公務員俸給表GS-14級の上級シークレットサービス・エージェントXXXX対し、1980年設置されたシークレットサービスの基幹データベース(agency’s Master Central Index (MCI)に、連邦議会下院議員ジェイソン・シャフィッツ(Jason Chaffetz)の名前をキーとする照会をかけた点につき審理が行われた。USSSのMCIは、1)犯罪行為の主体、2)非犯罪的であるが保護すべき諜報調査の対象となるもの、3)USSSの人事・志願データ、4)その他武器や身体的運動能力などUSSS独自の記録を擁する1980年代からの歴史のある電子データベース・システムである。
MCIのデータベースのアクセス時、各捜査官は最初にユニークなユーザーIDとパスワードでログオンしたとき、以下の警告が表示されるのを見ているはずである。
**********************************************************************************
(筆者注0) 行政監視・管理・説明責任小委員会Oversight and Management & Accountability)の委員長はLou Correa氏
Lou Corrrea氏
(筆者注1) FISMA (2002年連邦情報セキュリティマネジメント法:the Federal Information Security Management Act)は、2002年12月に制定された「電子政府法」のタイトルIIIにあたります。この法律は、各連邦政府機関とその外部委託先に対して、情報および情報システムのセキュリティを強化するためのプログラムを開発、文書化、実践することを義務付けています。また、同法は、NISTに対しては、連邦政府が FISMAに準拠するための支援をすることを義務付けています。( NRI SECURE TECHNOLOGIES「NISTのFISMA導入プロジェクト 解説のページ」から一部抜粋。法令とのリンクは筆者が行った)。
(筆者注2) OIGの調査・査定部Office of Inspections and Evaluationsの組織図
(筆者注3) 2012.4.3 NETWORK WORLDのOPINION「What is on a US Secret Service mainframe anyway?」がシークレットサービスのMCIの概要を紹介しているので一部抜粋、仮訳する。
:Secret Service’s mainframe apps collect tons of information about ongoing and resolved investigative cases」
•Master Central Index (MCI): MCI processes investigative data. Service personnel authorized to use MCI can enter data and access information through the Secret Service network. MCI contains data which supports both criminal and noncriminal investigations. MCI includes the collection of data concerning numerous aspects of cases handled by the Secret Service including the following: case type, case control limited arrest history, names, date of birth, race, sex, height, weight, eye color, addresses, SSN, phone numbers, and tattoos.
マスター中央インデックス(MCI): MCIは、調査(捜査)のデータを処理する。 MCIを使う許可を与えられるシークレット・サービス要員は、データを入力することができ、またシークレットサービス・ネットワークにより情報にアクセスすることができる。MCIは、犯罪的および非犯罪的な調査を支援するデータを含む。MCIは、以下を含むシークレットサービスによって取り扱われるケースの多数の側面に関するデータの収集を含む。事件のタイプ、逮捕履歴に限定された事件の管理情報、氏名、生年月日、人種、性別、身長、体重、眼の色、住所、社会保障番号、電話番号およびタトゥー。
***********************************************************************
Copyright © 2006-2016 芦田勝(Masaru Ashida ).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます