英国のデータ保護規制当局は、サウス・ヨークシャー警察(SYP)が警察官のボディカメラから96,000件の証拠を削除したことを受けて、同警察を戒告しました。
情報コミッショナー事務局(ICO)は、バックアップ、記録管理、データ管理に関連する複数の不備を指摘しました。
2023年5月のITアップグレード後、警察官がボディカメラ映像(BWV)をアップロード・保存していた中央集約型デジタル証拠管理システム(DEMS)がデータ処理に苦戦し始めました。その結果、データは警察のアプリケーションサーバーのローカルディスクに保存されることになりました。
しかし、2023年8月7日、SYPのITマネージャーが大量のファイルが欠落していることを発見し、その数は合計96,174件に上りました。その後の調査で、同年7月26日に「大量のデータ削除」が発生していたことが判明しました。この日は、第三者がローカルストレージから「ストレージグリッド」プラットフォームへのデータ移行作業を行っていた日でした。
警察のデータ漏洩についてさらに読む:ICO、データミスでロンドン警視庁を戒告
「SYPは削除がどのように発生したかについて明確な説明はできていませんが、データ(BWV映像)は誤ってストレージグリッドから削除されたと考えていると説明しています」とICOは述べました。
このうち95,033件のBWV映像はすでにストレージグリッドから新しいシステム(デジタルアセット管理システム)にコピーされていましたが、SYPの記録管理の不備により、コピーされていないまま削除されたファイルの正確な数を確認できないと付け加えました。
バックアップソリューションにもさらなる問題があり、2019年から問題が認識されていたにもかかわらず解決されなかったため、代替手段がありませんでした。
警察が失ったデータは126件の刑事事件に関連していましたが、直接影響を受けたのは3件のみでした。このうち1件だけが、BWV映像があれば初回の裁判に進んだ可能性があるとICOは判断しました。
それでも、この事件は「詳細な方針と手順を整備しておくこと」の重要性を浮き彫りにしていると、ICO捜査責任者のサリー・アン・プール氏は指摘しました。
「私たちを守る警察やサービスが、保有する個人情報も適切に保護することを人々は当然期待しています」と彼女は付け加えました。
「この事件から学ぶべきことは多くあり、警察やサービス、またこの種の技術を利用する他の組織にも、潜在的な欠陥がないか確認し、改善を図ることを強く勧めます。」
ICOの勧告内容
戒告の一環として、規制当局はSYPに対し、以下を推奨しました:
- 十分なストレージバックアップソリューションと、失われたBWV映像を復元するプロセスを確保すること
- SYPのITシステムに第三者がアクセスする際は引き続き監督を行うこと
- SYPのITシステム上で個人情報を処理する際の第三者の役割と責任を明確に定義すること
- 第三者にITシステムへのアクセスを許可する前に、セキュリティへの影響と管理要件を判断するリスク評価を完了すること
- すべての記録を明確かつ識別可能な方法でマーキングすること
翻訳元: https://www.infosecurity-magazine.com/news/south-yorkshire-police-deletes/