OIGが以下のとおり解説するように、データベースの範囲内に含まれる情報が「1974年プライバシー法」によって保護されているので、この警告(それはシステムの範囲内で含まれる情報が公式使用だけのためであるとユーザーに思い出させるものである)は必要である。そして、個人に関する情報を含むすべての政府データ・システムに適用されるものである。さらに、データベースは機密個人情報(例えば生年月日、社会保障番号、連絡先情報)を含む。不当に明らかにされるならば、個人にとって極めて困惑につながる。または、なりすまし被害の可能性や個人のセキュリティへの侵入の可能性が増加する。
個人の雇用申請の結果は、個人識別情報(personally identifiable information:PII)への不正アクセスであるとも考えられうる。
特別捜査官XXXXに対するOIGの審問は、 シャフィッツ委員長の生年月日、社会保障番号と出生の市町村等によって特定した委員長に関し、XXXX捜査官は2003年9月にシークレットサービスのXXX事務所に、実際申し込んだが申請は行われず、申込者は面接を受けなかったため、他のよりよく資格のある申込者が存在することを意味する「BQA」がデータ欄に記載されていたことを知った。
XXXX特別捜査官は、このシャフィッツ委員長に関する仕事内容など雇用情報を照会すべき公的な必要がなかったのである。かくして、MCI 情報にアクセスする際に、プライバシー法を犯した。特別捜査官XXXXは、OIGの面談時に、好奇心からそうしたと述べた。また、別の捜査官はクランシー局長の証言のなかで「外向きの敵意をシャフィッツ委員長から向けられた」という点を述べた。また別の捜査官YYYはシャフィッツ委員長がシークレットサービスの申込を拒否されたことで局長に潜在的な不満を持っていたのではないかと述べた。
捜査官XXXXは、この情報について、ただちにダラス事務所で働く特別捜査官YYYに電話でアクセスし、即座に同委員長の雇用申込の事実を知らせた。YYYの主な任務は申込者の調査であり、YYYは電話の5分後の同日10:23にもMCIにアクセスし、委員長の申込の事実を確認した。
また、USSSの大統領保護部や管理局、政府広報局等の別の特別捜査官も委員長の情報を共有した。これらの個人のいずれもこの情報を受ける際に、公的な目的がなかった。それがプライバシー法で保護された記録から来たもので、それの公式な必要性がなかった個人になされたため、情報の各捜査官への個人情報の移動はプライバシー法を犯したのである。
最初が情報を受け取ったダラスのエージェントYYYは、順次その情報を所内の特別捜査官に明らかにした。ダラス・フィールド事務所の特別捜査官は午後2時23分にMCI内で委員長情報を検索して再度その情報を確かめた。このアクセスも公的な必要がなかった。
③初日3月24日の終わりまでに、7人の捜査官はMCI記録にアクセスした。 わずか1人のみそうするに際に、公的目的があったかもしれない。その翌日である2015年3月25日の終わりまでに、さらに13人の人員がMCI記録にアクセスしたが、わずか2人のみにはそうする公的な必要があった。
OIGは、MCI記録の検査を通して、全体でみて情報が2015年4月2日にマスコミで発表される頃には、45人のUSSS従業員が約60回記録にアクセスしたと決定することができた。
OIGの分析によると、わずか4人は合法的にアクセスする必要があった。委員長の情報にアクセスした個人の全リストは問題となるアクセス時間等がMCIに記録されている。そして、彼らのアクセスの日付と時刻は本報告の「添付資料1 」として付けた。
④各特別捜査官がアクセスした情報は、米国の内外に位置する以下の事務所である。
・Office of Government and Public Affairs;
・Office of Administration;
・Dallas Field Office;
・Office of Training;
・Office of Investigations;
・Phoenix Field Office;
・Presidential Protective Division;
・Charlotte Field Office;
・London Resident Office;
・Office of Strategic Intelligence and Information;
・Washington Field Office (WFO);
・Sacramento Resident Office;
・Office of Human Resources;
・Albany (Georgia) Resident Office;
・Rowley Training Center;
・Countersurveillance Division;
・San Francisco Field Office;
·Indianapolis Field Office;
・Protective Intelligence Division;
・Special Operations Division;
・William Clinton Protective Division;
・Madison (Wisconsin) Resident Office;
・Houston Field Office;
・Tucson Resident Office;
・Technical Security Division;
・New Haven Resident Office;
・Boston Field Office;
・Investigative Support Division;
・Pittsburg Field Office.
⑤OIGは、インタビューに基づく覚書で結果を記録したMCIにアクセスした各捜査官と面談した。既存のポリシーによれば、これらのインタビューの結果は、シークレット・サービスが適切であると信じた個人の行動がいかなる点にあるかにかかわらず適切であった。
OIGはそれらのシークレット・サービスが個人の何人がこの情報を知る必要がなかった第三者に順番に明らかにしたかについては、確定的に決定できなかった。しかし、公表は広範囲にわたり、情報の受取人は何百人になると計算された。OIGが面談したそれらのエージェントは、それらの情報を自由にシークレット・サービス内部で共有し、しばしば同時に情報にアクセスした事実を認めた。例えば、 1人の特別捜査官は2日後以内に、彼が大統領のアフガニスタン訪問のためにニューヨーク市での保護任務に関して送られると報告した。そして、この問題につきおよそ70人のエージェントの多くはこの機密問題について話しあっていた。
⑥OIGが以下述べるとおり、 シャフィッツ委員長の雇用申込の内容は、プライバシー法によって保護されていた。そして、たとえ口頭で送られたとしても、それを知る必要のない個人にMCI内に保持さえる個人情報の各々の発表は、プライバシー法違反となる。受け取った個人がそれがプライバシー法によって保護されている記録から来でたものであるということを知っていたならば、この行動は特別捜査官と所属機関を刑事責任と民事責任をさらすことになる。(筆者注4)
前述した画面の警告メッセージとシークレット・サービスのプライバシー・ポリシーにかかわらず、多くのUSSSの従業員は、彼らの行動が不適切ではないと主張した。俸給表GS-13のある特別捜査官は「その時に私はMCIにアクセスしたが、私がそれが不適当であると思わなかった。もし、不適切と知っていたならば、私は情報にアクセスしなかったであろう。私は、MCIにログインするとき、『注文言』があったと思います、[しかし]、私はそれを読まなかったというのが彼等の典型的返答であった。また、何人かは、それがシークレット・サービスのデータベースであったので、そのような記録にアクセスすることが、個人の好奇心を満たすためであっても、適切だったと思ったと述べた。しかし、その他のUSSS従業員は、OIGに対しシャフィッツ委員長の記録を見つけると、即座に、彼らがそれらの情報を検索したことが誤りであり、監査官に自己申告により報告したと述べた。
(4)機密個人情報(PII)を含むMCI画面のスクリーン・ショットの電子メールでの伝送
さらに、特別捜査官達はシークレット・サービス電子メール・システムによって情報を配信した。1日目の3月24日午後に、ダラスの特別捜査官はシャフィッツ委員長の情報を含むMCI記録のスクリーンショット (筆者注5)を回覧した。そして、それはシャフィッツ委員長のPIIをもう一人のシークレットサービス・エージェントへ送ったのである。ワシントン地方事務所(WFO)の特別捜査官は、WFOの内部で順番に電子メールを2人の他のエージェントに配信したほか、WFOの管理担当の特別捜査官の助手等内部で順番にメール回覧した。OIGが決定できた範囲では、それらの特別捜査官はいずれも電子メールをWFO以外の外部には配信していなかった。
USSSの監督官(supervisor)は、MCIへのこのようなアクセスを行っていることにつき承知していたが、それほどさらに問題視すべき事件性がないと考えていた。
それに続いたこの電子メールとそれに続き回覧情報(OIGが見つけた唯一の公式シークレットサービス電子メール)合計3通は、実際にMCI記録を含んでいた。その電子メール(それは、社会保障番号や生年月日のような機密個人情報を含んでいた)にMCI記録を埋め込むことで、それらの行動はDHSのPIIポリシーを犯し、シャフィッツ委員長の個人情報を危険にさらした。
そして、捜査官は、電子メールを受信した時点でDHSのプライバシーポリシーに遵守していないとしてプライバシー事件として報告を行わなかった。さらに、 複数の捜査官はこの情報がプライバシー法に基づき保護されたデータベースからえられたものであること、またアクセスした捜査官はそれらの情報を知る必要がなかったことを知っていたことから、プライバシー法を犯した。
また、OIGはシークレットサービス・システムの中で委員長の採用申込に関する情報が4月2日の公開された日付前に送られたいくつかの他の電子メールを見つけたが、委員長の社会保障情報情報または生年月日は含まれていなかった。
(5)シークレット・サービスの外部への情報開示問題
2つの報道発信地(media outlets)は、明らかにシャフィッツ委員長の雇用申込の事実とその周辺に関する事実にアクセスした。OIG調査では最初の彼らの情報源を確認できなかった。 最初のメデイアによる公表は、「毎日の獣(The Daily Beast,」(インターネット・メデイア)によって、4月2日の夕方になされた。そのタイトルは「シークレットサービスを監督する連邦議会議員は、シークレット・サービスによって採用を拒絶された」というもので、シャフィッツ委員長が2002年または2003年にシークレット・サービスに採用申込したが、拒否されたという内容であった。
その記事には、シャフィッツ委員長の対処内容も含まれていた。一方、4月2日の夜、ワシントン・ポストはオンライン記事(「Chaffetzの拒否のシークレットサービス過度に発散を徹底調査するよう頼まれるDHS」)を発表した。 その記事は、シークレットサービス・エージェントがシャフィッツ委員長の採用申込につき不適切にアクセスしたという事実に対する反応に集中したものであった。同記事は、連邦議会の上級スタッフすなわちシャフィッツ委員長、ランキングメンバーであるカミングズ、ランキングメンバー、ジョンソンDHS長官とクランシー局長はDHSにこの問題を調べるよう要請したという記事を載せた。
シャフィッツ委員長のUSSSへの雇用申込の履歴を知りうる個人が多くいたことからOIGは委員長のPIIを政府外の個人に漏らした事実の情報源を特定できなかった。また、OIGは、シークレット・サービスの特定の従業員が委員長の申込の事実をメデイアである「Daily Beast」にもらした証拠を明らかにできなかった。
ワシントンポストの記事の源に関しては、USSSのワシントン事務所(WFO)の1人の従業員が、彼が、2つの別々の出来事に場合に、シークレットサービス記録に由来するのを知っていた情報を明らかにし、またプライバシー法で保護された記録へのアクセスした事実を認識しているとワシントン・ポスト・リポーターに述べた旨OIGへの書面声明において認めた。同従業員はOIGに対し、シャフィッツ委員長の採用申込書を含む電子メールを受け取ったという事実をリポーターのために確かめたOIGに話した。しかし、彼が唯一またはオリジナル(この情報の出典)な情報源でないと理解した。
(6) USSSの上級管理者の従業員による違法アクセスの認識
①OIGは、事実の公表の前にシャフィッツ委員長のMCI記録にアクセスされる前にその事実を知っていたか、知っていなければならない俸給表GS-15または上級管理者レベルである18人の監督者を特定した。
しかしながら、唯一の例外を除き、OIGはこれらの上級管理者による局長または上級の監督者同士において通知したり、止めさせたり、修正させたという証拠は見出せなかった。
さらにまた、OIGはあらゆるレベルの管理者がMCIへのアクセスは公式使用のためにのみであるという書面ガイドを交付したという証拠は見出せなかった。
捜査官がこ、の非公式の目的のためにMCIにアクセスしていたという事実を知らされたとき、一部の上級マネージャーは問題に関して問題のある従業員に適切に助言した。しかし、それは口頭のみで、指揮系統または広範囲にわたる問題となっていたことについて述べることを試みたとする報告は行われていなかった。
②OIGが見つけた1つの例外がある。EFOの責任ある特別捜査官であるキャシィ・マハルコ( Kathy Michalko )は、彼女の中位のWFO監督者の何人かがアクセスしたか、委員長が記録されることを知っていた3月25日に、またはそれ頃に知った。
彼女は「この問題は、WFO固有で私のレベルで取り扱うことができると、この問題を見た」ので、シークレットサービスの本部で彼女の監督に関する情報を通過させなかったとOIGに話した。しかし、彼女は部下にMCI記録のいかなるかたちであれ更なるアクセスでもやめるように命じた。WFOの他のシークレットサービス要員はその日付以後シャフィッツ委員長の記録にアクセスしなかった。しかし、他の部署の25人のUSSS従業員は米国中でアクセスした。
〔添付資料2〕は、管理者がMCIアクセスについて知っていたか、また何時知ったかに関する詳しい時間軸を含む。
同様に、シャフィッツ委員長の採用申込に関して広範囲にわたる噂を知っていた上級管理者は、MCI申込者記録にアクセスした従業員はシークレットサービス・ポリシーとプライバシー法に違反して、委員長とシークレット・サービスに好ましからぬ広報結果を引き起こす可能性があったと理解しなければならなかった。
**********************************************************************************
(筆者注4) 報告の注記5でOIGは次の点を補足している。「OIGは召喚した特別捜査官からMCIにアクセスした3月24日以前にシャフェッツ委員長に関するうわさを聞いたとヒアリングした。しかし、そのうわさをどこで聞いたか、またその出所がどこかを聞くことができなかった。最終的にOIGはシャフェッツ委員長の申入情報の出所はMCIであり、そのほかからではないとの結論にいたった。」
(筆者注5) 「スクリーン・ショット」とは、パソコンのモニター領域すべてを画像として保存すること、または保存した画像をいう。
***********************************************************************
Copyright © 2006-2016 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます