英国のデータ保護規制当局は、サウス・ヨークシャー警察(SYP)が警察官のボディカメラから証拠9万6000件を削除したことを受け、同警察を譴責した。
情報コミッショナー・オフィス(ICO)は、バックアップ、記録管理、データ管理に関する複数の不備を指摘した。
2023年5月のITアップグレード後、警察官がボディ装着型映像(BWV)をアップロードして保存していた集中型のデジタル証拠管理(DEMS)システムがデータ処理に支障を来し始めた。その結果、データは同警察のアプリケーションサーバー上のローカルディスクに保存されていた。
しかし、2023年8月7日、SYPのITマネージャーが合計96,174件にのぼる多数のファイル欠落を確認した。その後の調査で、その年の7月26日に「データの大量削除」が発生していたことが判明した。この日は、第三者がローカルストレージから「Storage Grid」プラットフォームへデータ転送作業を行っていた日である。
警察のデータ侵害に関する記事を読む: ICO、データ不備でメトロポリタン警察を譴責
「SYPは削除がどのように発生したのかについて決定的な説明を提供できていない。しかしSYPは、データ(BWV映像)が誤ってStorage Gridから削除されたと考えていると説明している」とICOは述べた。
当該BWV映像のうち95,033件はすでにStorage Gridから新システム(デジタル資産管理システム)へコピーされていたものの、SYPの記録管理が不十分なため、コピーが作成されないまま削除されたファイルが正確に何件あるのか確認できないと、同庁は付け加えた。
さらに、2019年から把握されていたにもかかわらず解決されていなかったバックアップソリューションの問題により、代替措置が存在しなかった。
警察が失ったデータは126件の刑事事件に関連していたが、直接影響を受けたのは3件のみだった。この3件のうち、BWVが利用可能であれば初回の法廷審理に進んだ可能性があるのは1件だけだと、ICOは判断した。
それでもこの事案は、重要な証拠を失うリスクを未然に防ぐために「詳細な方針と手順を整備しておく」ことの重要性を浮き彫りにしていると、ICO調査部門責任者のサリー・アン・プールは主張した。
「私たちを守る警察組織やサービスが、保有する個人情報も守ることに対して、人々が高い期待を抱くのは当然です」と彼女は付け加えた。
「この事案から学べることは多く、こうした種類の技術を利用する警察組織やサービス、そして他の組織にも、潜在的な欠陥が見つかった箇所を点検し、改善することを促します」
ICO、勧告内容を提示
譴責の一環として、規制当局はSYPに対し勧告 した:
- 失われたBWV映像を復元するための十分なストレージバックアップソリューションとプロセスを確保する
- SYPのITシステムにアクセスする際、第三者の作業を引き続き監督する
- SYPのITシステム上で保有される個人情報を処理する際の第三者の役割と責任を定義する
- 第三者にITシステムへのアクセスを許可する前に、セキュリティ上の影響と必要な管理要件を判断するためのリスク評価を完了する
- すべての記録が明確で識別可能な方法でマーキングされていることを確保する
翻訳元: https://www.infosecurity-magazine.com/news/south-yorkshire-police-deletes/
