［米国］
コネチカット州知事、10万6,000人分の情報紛失を受け緊急対策を指示

機密データ保護対策とともに、侵害発生の早期通知体制を整備へ

（2007年09月04日）

　米国コネチカット州のジョディ・レル知事が、行政当局のラップトップ・コンピュータが盗まれ、同州の納税者およそ10万6,000人分のデータを紛失する事件が発生したのを受け、機密データを保護するための新たな管理手法を導入するよう関連機関に指示したことが先週末に明らかになった。

　知事の指示に基づき、コネチカット州のCIOは、9月7日までにラップトップ・コンピュータ・セキュリティ・ポリシーと関連する州職員向けのガイドラインを整備するという。

米国コネチカット州のジョディ・レル知事

　新たなポリシーは、機密データをラップトップ・マシンに保存する行為を監視・制限するとともに、VPNをはじめとするデータ・アクセス機能や持ち運びのための安全なツールの利用拡大を行政機関に求める内容になる見通しだ。

　新ポリシーでは、データ侵害通知のためのガイドラインも定められることになっており、ラップトップの盗難や紛失などがあった場合、州の情報技術局に速やかに通知するよう各機関に求める内容が盛り込まれる。

　レル知事はまた、ITグループに対して、行政機関で使用する暗号化ツールの選定と導入を急ぐようにも指示している。

　これらの措置は、コネチカット州歳入局（DRS）が先週、納税者10万6,000人以上の個人情報の入ったラップトップを紛失したことを公表したのを受けて打ち出された。先週末には、この問題に関する3本目の報告書が提出され、機密データの入ったラップトップを単に紛失したのではなく、盗まれたという事実が明らかになった。

　DRSの公式声明では、事件の状況や盗まれた時期などに関する情報をほとんど明らかにされていない。これまでに明らかになったのは、盗まれたラップトップがパスワードで保護されていることと、納税者の社会保障番号や名前などの詳細な個人情報が入っていることだけだ。

　DRSは同声明の中で、「今のところ、いずれかのデータにアクセスがあったかどうか判断できる情報は何もない。これまでにDRSが講じたすべての措置は、予防的なものである」と説明している。

　レル知事が出したデータ保護対策に関する声明によると、DRSが今回の事件で影響を受ける人々に通知を出し始めたのは、紛失後11日も経ってからのことだったという。

　DRSは、適切な法執行機関に届け出るとともに、影響を受けるすべての人に通知する作業を行っていると説明している。また、盗まれたリストの中に自分の名前があるかどうかを納税者自身が確認できるWebサイトを立ち上げたほか、デビックス・アイデンティティ・プロテクション・ネットワーク（デビックス）と契約し、影響を受けるすべての人々に信用監視サービスを提供しているという。

　一方、盗まれたラップトップのデータが暗号化されていたかどうかという点については何の情報も提供されていない。この点について、セキュリティ問題に詳しいアナリストは、データ侵害に関する通知の中で暗号化について言及されていない場合、暗号技術を使ってデータを保護していなかった可能性が高いと指摘している。

　先週は、コネチカット州の事件を含め、同様の3件の事件が報道された。AT&T（現在はSBCの傘下に入っている）は8月30日、同社が契約しているコンサルタントの自動車から、現在の従業員と元従業員（人数不明）の暗号化されていない個人情報の入ったラップトップが盗まれたことを認めた。

　またメリーランド州でも、保護対策の講じられていない環境局のラップトップが盗難される事件が発生した。これは、同州の4つの機関から何らかのライセンスを受けた人の個人情報が入っているコンピュータが盗まれたという事件だが、AT&Tの事件と同様、影響を受ける人の数などは明らかにされていない。

(ジャイクマール・ビジャヤン／Computerworld オンライン米国版)