スコットランド警察は、性的暴力で告訴した同僚に女性警察官のスマートフォンの全内容を共有したという重大なデータ保護違反により、66,000ポンドの罰金を科せられ、訓告を受けました。
2021年初頭の数か月間に及んだこのインシデントは、内部の警察官不正行為調査に遡ります。
情報コミッショナー事務所(ICO)は処罰通知書の多くの詳細を黒塗りにしていますが、該当する被害者はその後、BBCの報道で匿名性に関する権利を放棄しました。
ICOによると、警察はその被害者のスマートフォンから、彼女と調査対象の「第三者」の間のテキストメッセージをダウンロードするためにデバイスを取得しました。
しかし、デバイスの全内容が抽出されたのは、調査に「関連性と釣り合いがある」と見なされ、「データ対象者にできるだけ早くデバイスを返却する利益」のためでした。
ICOによる警察機関への罰金に関する詳細:サウスヨークシャー警察が96,000件のデジタル証拠を削除。
この対応はICOによって「過度で不公正」であると判断されましたが、2番目のインシデントは警察による更に悪質なエラーを伴っていました。
医療記録、私的な写真、友人・家族の連絡先を含むとされるスマートフォンデータは、誤って調査対象の警察官に渡されてしまいました。
ICOによると、スコットランド警察はまた、データ保護法のこれらの重大な違反について、必要な72時間以内に報告することにも失敗しました。
実際のところ、警察の警察官である被害者は、2022年6月にスコットランス警察連盟(SPF)からこのインシデントについて最初に通知されたとBBCに語りました。
彼女はその後、スコットランド警察が誤って開示した情報のコピーを提供することを拒否したことについてICOに苦情を申し立てました。ICOはその後、2023年5月に調査を開始しました。
人的コストの計上
ICOは結論付けたところ、スコットランド警察は以下のことに失敗していました:
- データセキュリティを確保するための「適切な組織的および技術的措置」を実施すること
- 個人情報の共有を調査に厳密に必要な範囲に最小化すること
- 機密情報を取り扱うスタッフが明確なガイダンスと手順に従っていることを確保すること
- 72時間以内に違反を報告すること
調査責任者のサリー・アン・プール氏は、このケースが不十分なデータ保護による「壊滅的な結果」を浮き彫りにしていると述べました。
「スコットランド警察は、助けを求めてきた人の個人情報を保護する義務を果たしませんでした。その代わりに、第三者に極めて機密性の高い情報を開示することにより、その人をさらなるリスクと苦痛にさらしてしまいました」と彼女は主張しました。
「人々は、組織が自分の個人情報を注意深く、公正かつ敬意を持って扱うことができると信頼できるべきです。組織がそうすることに失敗した場合、私たちから強制措置を受けることになります。」
このケースの被害者は、PTSDと診断されたと報じられています。
別の警察の失敗
個人データの誤った取り扱いに関する警察の過去の例には、北アイルランド警察サービス(PSNI)が含まれており、監視および情報収集を行っているスタッフを含むスタッフの個人詳細を含むスプレッドシートをオンラインで漏洩したため、750,000ポンドの罰金が科せられました。
別のケースでは、ロンドン警視庁は、レコード管理の不備により組織犯罪グループに関連する重要なデータベースに不正確な情報が保存されたことにより、訓告で済みました。
スコットランド警察のケースの中心となっている強盗事件の調査は現在も進行中とのことであり、被告警察官はまだ起訴されていません。ICOは、公共部門へのアプローチに沿って、78,750ポンドの罰金を引き下げたと述べました。
違反は意図的ではなく過失的なものであり、スコットランド警察による以前の違反はなかったことに注目しました。また、スマートフォンデータ抽出に対する警察の手法は、当時英国の警察サービス間で「一般的な慣行を反映していた」と主張しました。
翻訳元: https://www.infosecurity-magazine.com/news/police-scotland-fined-sharing/
