政府機関としては史上最悪退役軍人省からの情報漏洩(1)2650万件の個人情報が入ったPCが盗まれる

米国退役軍人省が5月22日、省が所有する2650万件の退役軍人に関する個人情報が盗難の被害にあったと発表した。

ロイターの報道によると、同省職員が“機材”を自宅に持ち帰ったところ、その“機材”が自宅から盗まれたというものだ。“機材”はラップトップコンピュータだったことが、後に明らかになった。

ラップトップが政府所有のものであったかどうかは、当初はコメントがなかったが、後に同省所有のものであったことが発表された。職員は他にも情報の入ったディスクを持ち出していた。

被害を受けたデータは退役軍人と一部、その配偶者の氏名、社会保険番号、生年月日についてだ。身体障害の評定が盗難された退役軍人もいる。障害については、同省で1〜100までの数字で障害の度合いを評価して点数で表示する。この評定に従い、退役軍人は手当の支給などを受ける。

盗まれたデータは、1975年以降に退役した全ての軍人のものだが、1975年以前に退役していても、その後、賠償金請求などを行った場合はデータに入っている可能性がある。現在のところ、これらの情報が個人情報盗難用に不正使用された形跡はない。

●省職員からの盗難は単なる偶然か？

事件は5月3日、犯人は昼間に職員の自宅の窓から侵入して、コンピュータや外付けドライブ、コンピュータファイルの入ったカバンを奪った。盗難は同日中に警察に届けられている。

退役軍人省やFBIでは、軍の情報を狙った盗難ではなく、たまたま盗難に入ったところが、職員宅だったと見ている。最近その地域で、盗難事件がいくつかあったため、今回の事件もその1つだろうということだ。しかし、職員の氏名については、明らかにすると盗難犯がデータの価値に気付き、犯罪者に売却するなど悪用する可能性があるとして、詳細情報は公開していない。

但し、人事部所属の、データアナリストだったことはわかっている。上級職員ではなく、データへの正規のアクセス、持ち帰る権限はなかった。また、メリーランド在住だったようで、FBIのボルチモア事務所が捜査を行っている。

職員の行為は省のセキュリティ方針に反するものだ。それにも関わらず、退役軍人省から大量の電子データを自宅に持ち帰っていた。期間も3年にもわたってと長く、省のセキュリティ体制について批判の声が高まっている。

職員がデータを持ち出した理由だが、これまでの調査では不正行為を行うためとは見ていない。しかし、それならなぜそのような行為を行っていたのか、発表はない。現在、この職員は休職扱いとなっていて、今後の処分はさらに捜査を続けた上で決定する。

退役軍人省ではデータ流出の被害者全員への通知を開始。クレジットカードと銀行の口座の動きを監視するよう勧めている。さらに、不審な動きがあった場合には、すぐに連絡ができるようにフリーダイヤルを、また質問がある場合に簡単に利用できるウェブサイトなどを設定した。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm