業務の国外委託、個人情報は安全か？（2）

●様々な個人情報が危ない？

　契約に関する懸念が最初に取り上げられたのは今年の春。職員組合が業務を委託することで、愛国法の下、米国企業は米政府に個人情報を開示する可能性があるというのだ。組合の発表では、外注により危険に晒されるBC州民の個人情報は次のものだ。

・氏名
・生年月日
・家族構成
・住所、電話番号
・犯罪暦
・雇用暦
・収入
・破産があったかなどの財務情報
・移民、難民であるかなど

　他にも健康保険業務が外注となるため、レントゲン写真、手術記録、かかりつけ医の情報をはじめとする、様々な医療記録もある。

　一方、州政府側は、契約の修正を行ったことにより、不正な開示はないようになっていると、安全性を強調する。修正内容は、

・不正開示があった場合は50万ドルの罰金を課す
・データ保管およびアクセスはカナダ国内のみで、変更があるとすればBC州政府が明確に合意を明らかにすることが必要
・Maximus BCの取締役は全てカナダ住民であること
・国外からのデータアクセスは不可能とすること
・カナダで勤務する米国民の従業員については、データアクセスを特に制限し、監督を行うこと
・データにアクセスする従業員は全て州政府との非開示契約書に署名すること
・従業員が不正を見つけたときに通知するシステムの設置
・従業員のウェブサイトアクセスおよび外部へのe-mail利用の制限
・データ転送ハードの使用制限
・個人情報開示の可能性がある場合は州政府はMaximus BC のオペレーション
を掌握することもある

などと非常に厳しいものであった。

　BC州保健サービス省のスポークスパーソン、リサ・ブリュースターは「承認なしで開示の恐れがある場合は、Maximusの業務を州の支配下に置くことができるということを契約に盛り込んだ」と、プライバシーの問題は最小限に留めたと主張する。

　また、注目すべきは、Maximusはシステム提供サービスの一環としてセキュリティサービスを提供していることだ。ファイアウォールの構築や侵入探知システムのようなハッカーに対する防護、スペシャリストによる24時間体制でのセキュリティモニターなどだ。今回の契約について、同社がどのようなセキュリティ・システムで運営していくか、Maximusおよび州政府に問い合わせたが、回答は得られていない。

　職員組合は8月6日に発表したファクトシートの中で「保護措置について両者間で話し合いがなされていない」「ファイアウォールは100%安全とはいえない」と危惧の念を示している。

【執筆：バンクーバー新報　西川桂子】

この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_netsec