［英国］
英国政府の児童データベース構想に、専門家がセキュリティ強化を勧告

政府は「第三者がシステム稼働前に設計・実装の見直しを行う」と回答

（2008年02月25日）

　英国政府が2億2,400万ユーロ（4億4,800万米国ドル）を投じての構築を計画している同国全児童データベース「ContactPoint」について、専門家らからは、現状では完全な安全性が確保できないとして、報告者を作成し政府に勧告している。

　英国内の18歳未満のすべての児童に関する情報を収録するContactPointデータベースのセキュリティ処置について、同国国務大臣の委託で作成された報告書は、「データベース管理者やレポート・プログラマーなどの中央システム・ユーザー」によるデータ・アクセスをより厳格に管理するよう勧告している。

　この報告書の実際の作成にあたったのは、米国の会計コンサルティング会社、Deloitte and Toucheで、英国の児童・学校・家庭省（Department for Children Schools and Families）の委託によるものだ。同報告書は、ContactPointデータベースのセキュリティ・リスクについて、「管理するほかなく、排除不能であるため、データ・セキュリティ・インシデントが発生する危険性は常に存在する」と断言している。「重要なのは、インシデントの発生リスクを低減するあらゆる実践的措置を講じ、インシデント発生時に効果的な対処／処理を行うことである」（同報告書）

　また、報告書は肯定的意見として、情報セキュリティが人々やプロセス、政策の策定、要件の定義、アーキテクチャに「浸透している」としたうえで、多くの事柄、特に技術とプロシージャの管理を認定標準に基づき正式に保証することを勧告している。このほか、物理的／電子メディアの安全な破棄手順の規定や、生産システムのヘルプデスク・スタッフ全員にセキュリティ面の明確な助言を与えることなどが記されている。

　さらに、Deloitteは、すべてのシステムとプロシージャが整備された時点で2億2,400万ユーロの指針を見直すことを提言している。

　ContactPointは、英国政府が掲げる児童サービス改善計画「Every Child Matters（すべての児童は大切）」の一環として、2008年9月または10月に運用が開始される予定だ。同データベースには、氏名、住所、性別、生年月日、英国在住の18歳未満の全児童を識別する固有番号、両親、学校、開業医の連絡先住所といった、詳細な個人情報が登録される。加えて、児童が学校や社会福祉事業によって評価されたかどうかも記録されるが、この項目の具体的情報は登録されない。

英国政府が運営するContactPointのWebサイト

　英国政府が運営するContactPointのWebサイトには、ContactPointへのアクセスは「業務上必要とする人間に限られ、厳重なセキュリティ管理の対象となる」と書かれている。具体的には、医療、教育、少年裁判、ソーシャル・ケア、ボランティア組織に勤務する者などが公認ユーザーとなる。

　児童・青少年・家族担当国務次官のケビン・ブレナン（Kevin Brennan）氏は同報告書の結論を認め、政府がそれらに取り組んでいくと述べた。「独立系のセキュリティ専門家が、システムの開発中と実装前にContactPointの設計と実装の見直しを行う。セキュリティはむろん運用中に精査される」（Brennan氏）。加えて同氏は、セキュリティ・トークンとパスワードによる全ユーザー向けの2要素認証など、具体的な措置についても言及した。

(Siobhan Chapman／Computerworld英国版)