英国のデータ保護規制当局は、英国軍と関係のある数千人のアフガニスタン人の命を危険にさらした国防省での漏洩について、調査を開始しないことを決定しました。
国防省は、2022年2月に発生し、8億5,000万ポンド以上の損失が見込まれる偶発的なデータ漏洩の責任を負っていました。この漏洩の証拠は、2023年8月に課された政府のスーパーインジャンクションが解除された今年7月になって初めて明らかになりました。
国家監査局(NAO)の報告書 [PDF]によると、国防省がデータ漏洩に最初に気づいたのは2023年8月で、データセットに含まれる10人の個人情報がFacebookに投稿されたことがきっかけでした。
今週、議員に対して、政府のデータ保護を監督する情報コミッショナーのジョン・エドワーズ氏は、国防省の担当者と面会した後、過去の漏洩について調査を開始しないことを決定したと述べました。
「これらのセッションでは、機密性のためにメモを取ることができませんでした。そのため、同僚が追加措置を取らない決定を下し、私にそれを伝えたとき、私たちはすぐに記録しませんでした。スーパーインジャンクションが解除された後になって初めて、正式な決定を記録し、システムに入力しました」と彼は述べました。
下院科学・イノベーション・技術委員会に出席したエドワーズ氏は、スーパーインジャンクションがメモの作成や調査を妨げたことは否定しました。「単に情報システムが機密資料の保存や意味のある決定を下すことを非常に困難にしているだけです。」
彼は、スーパーインジャンクションが解除された後、情報コミッショナー事務局(ICO)—科学・イノベーション・技術省(DSIT)傘下の非省庁組織—が利用可能な情報を再検討し、元の決定を疑う理由はないと判断したと述べました。
漏洩したスプレッドシートには、アフガン再定住計画の申請者の氏名や連絡先など、33,345行のデータが含まれていました。この計画は、2021年8月の英米軍撤退後にタリバンの報復の危険にさらされた人々のためのものです。文書には申請者の家族に関する情報も含まれていました。
NAOによると、担当者は正当な業務目的で外部関係者と限定的なデータセットを共有していると考えていました。しかし、スプレッドシートには送信者がすぐには見えない追加データが含まれていました。
「それは隠しセルに含まれていました」とエドワーズ氏は述べました。「その人は限られた情報を共有する正当な必要がありましたが、意図した以上の情報を誤って共有してしまいました。」
エドワーズ氏は議員に対し、ICOが調査を行わなかったのは、国防省の対応を妨げる可能性があったからだと述べました。
「私の事務所は、予想通り、詳細が明らかになるにつれて通知を受けていました。国防省がどのように対応しているかの詳細も提供され、私たちは彼らの対応に満足していました。組織が漏洩を認識した際には、直ちに根本原因を突き止め、問題を是正し、影響を受けた可能性のある人々の安全を確保する必要がありますが、今回は非常に深刻でした。ICOが調査に入ると、実際には妨げになることがあります。」
当時、ICOは2021年9月に発生した別の事件にも対応していました。英国のアフガン移転支援政策(ARAP)は、アフガニスタンで英国政府のために働いた市民の移転を担当する部門ですが、メール受信者をBCCに入れ忘れ、アフガン通訳者を危険にさらしました。2023年末に調査が終了した後、同部門に35万ポンドの罰金を科しました。
情報コミッショナーは、機密情報を含む事件を調査する能力はあるが、アフガンデータ漏洩の場合は、部門に十分な審査済みスタッフがいないためリソース面で課題があったと述べました。
「正式な調査という意味で追加措置を取らないという決定でした。それは何もしないという決定ではありません」と彼は述べました。
スーパーインジャンクションが解除された直後、ICOは内閣府に対し、公共部門のデータ保護を改善するための共同の取り組みが「十分に機能していない」と書簡を送りました。
DSITおよび内閣府との合同委員会で、エドワーズ氏は年末までに基準を引き上げる計画があると述べました。
委員長のデイム・チ・オンウラ氏は、委員会が内閣府を率いるランカスター公爵領大臣を公聴会に招待したと述べました。別の閣僚が出席する予定でしたが、その日程はまだ決まっていません。
「長い準備期間とさらなる遅延にもかかわらず、政府が閣僚をセッションに派遣しなかったことを非常に遺憾に思います」と彼女は述べました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/22/ico_afghan_leak_probe/
