« 米国 SEC長官の上院での証言(2) 投資家はサイバーセキュリティに関する情報を企業に求めている | Main | 英国 ICO(データ保護局)がデータフローに関するG7会議を開催した理由 »

2021.09.21

国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

こんにちは、丸山満彦です。

米国連邦政府の国務省のOIGがセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要という報告書を公開していますね。。。

内容の不備というよりも、プロセス管理の不備というところですかね。。。

 

U.S. Department of State  - Office of Inspector General

・2021.09.17 [PDF] Management Assistance Report: Process To Report Department of State Security Clearance Data to the Office of the Director of National Intelligence Needs Improvement

20210921-54556

 

Summary of Review   レビューの概要  
During an Audit of the Integrity and Use of Security Clearance Data Reported to the Office of the Director of National Intelligence (ODNI), which is ongoing and being conducted jointly with the Inspector General of the Intelligence Community, the Office of Inspector General (OIG) identified deficiencies in the Department of State’s (Department) reporting of security clearance data to ODNI.[1] The reporting of security clearance data is required by the Intelligence Authorization Act for FY 2010, codified at 50 U.S. Code § 3104, and the National Defense Authorization Act for FY 2018, codified at 10 U.S. Code § 1564 note.[2] To comply with the legislation, ODNI requires each Intelligence Community element to submit quarterly and annual assessments of Timeliness Data and National Security Metrics.[3]  国家情報長官室(ODNI)に報告されたセキュリティ・クリアランス・データの整合性と利用に関する監査(現在進行中で、情報コミュニティの監察官と共同で実施されている)において、監察官室(OIG)は、国務省(Department)のODNIへのセキュリティ・クリアランス・データの報告に不備があることを確認しました。[1]セキュリティクリアランスデータの報告は、50 U.S. Code § 3104で成文化されている2010年度の情報認可法と、10 U.S. Code § 1564注で成文化されている2018年度の国防認可法によって求められています。[2]この法律を遵守するために、ODNIは各情報コミュニティの要素に、「適時性データ」と「国家安全保障指標」の四半期および年次評価を提出するよう求めています。 [3]
The Timeliness Data reporting requirement is meant to identify the processing time of personnel security clearances at each phase of the process (initiation, investigation, and adjudication), by clearance level, for both initial investigations and periodic reinvestigations during the prior fiscal year for Government and contractor employees. The National Security Metrics reporting requirements include, among other things, identifying the timeliness for each phase of the security clearance process; number of completed or pending cases that took longer than 1 year; number of individuals enrolled in continuous evaluation; adjudicative reporting requirements for denied, revoked, and appealed cases; and reciprocity reporting requirements. Once ODNI collects the information from each agency, it prepares an annual report to Congress, in accordance with the Intelligence Authorization Act for FY 2010, codified at 50 U.S. Code § 3104, and the National Defense Authorization Act for FY 2018, codified at 10 U.S. Code § 1564 note. The Bureau of Diplomatic Security (DS) is responsible for the Department’s security clearance investigations.  適時性データの報告要件は、前年の会計年度において、政府および請負業者の従業員を対象とした初回調査と定期的な再調査の両方について、クリアランスレベル別に、プロセスの各段階(開始、調査、裁定)における人員のセキュリティクリアランスの処理時間を特定することを目的としています。国家安全保障指標の報告要件には、特に、セキュリティ・クリアランス・プロセスの各段階における適時性の特定、1年以上かかった完了または保留案件の数、継続的評価に登録された個人の数、拒否された案件、取り消された案件、上訴された案件の裁定報告要件、および互恵的報告要件が含まれます。ODNIは、各機関から情報を収集すると、50 U.S.コード§3104で成文化されている2010年度の情報認可法と、10 U.S.コード§1564注で成文化されている2018年度の国防認可法に基づいて、議会への年次報告書を作成します。外交安全局(DS)は、本省のセキュリティクリアランス調査を担当しています。 
OIG found that the Department’s methodology for collecting and reporting FY 2019 quarterly and annual Timeliness Data and National Security Metrics did not meet ODNI requirements. Specifically, to report Timeliness Data, OIG found that DS collected a random sample of security clearance cases for the quarter and reported the average for each quarterly submission to ODNI for the initiation phase, which is not reflective of the true timeframe for completing the initiation phase for all security clearances because it involves an average timeframe of the sample of cases selected. With respect to the National Security Metrics, OIG found that in FY 2019, DS did not submit the required quarterly reporting to ODNI because the process to provide all of the information on a quarterly basis was considered too cumbersome due to the manual nature of collecting and organizing the data. OIG also found that of the two reporting requirements (Timeliness Data and National Security Metrics), DS had outdated standard operating procedures to guide the collection and reporting process for Timeliness Data and had not developed standard operating procedures for collecting and reporting National Security Metrics. Moreover, DS told OIG that there was only one official responsible for collecting and reporting security clearance data to ODNI.  OIGは、2019年度の四半期および年次の「適時性データ」と「国家安全保障指標」を収集・報告するための省の手法がODNIの要件を満たしていないことを発見しました。具体的には、適時性データを報告するために、OIGは、DSが四半期のセキュリティクリアランス事例の無作為なサンプルを収集し、ODNIに提出した各四半期の開始段階の平均値を報告していることを発見しましたが、これは選択した事例のサンプルの平均的な時間枠を含むため、すべてのセキュリティクリアランスの開始段階を完了するための真の時間枠を反映していません。国家安全保障指標に関して、OIGは、2019年度、DSがODNIに必要な四半期報告書を提出しなかったことを明らかにしました。その理由は、四半期ごとにすべての情報を提供するプロセスは、データの収集と整理が手作業であるため、あまりにも煩雑であると考えられたからです。またOIGは、2つの報告要件(適時性データと国家安全保障指標)のうち、DSは適時性データの収集と報告プロセスを示す標準作業手順書が古く、国家安全保障指標の収集と報告のための標準作業手順書を作成していないことを発見しました。さらに、DSはOIGに対し、セキュリティクリアランスデータの収集とODNIへの報告を担当する職員は1人しかいないと述べました。 
The FY 2019 reporting deficiencies occurred, in part, because the case management system DS used to maintain all of the Department’s security clearance data in FY 2019 did not have the capability to produce the exact data required for ODNI reporting. For example, the case management system used in FY 2019 could not connect to and extract the initiation phase timeframe data that were maintained on a separate IT system. As a result, DS selected a random sample of security clearance cases for the quarter and reported the average for each quarterly submission to ODNI. However, this methodology is not reflective of the true timeframe for completing the initiation phase for all security clearances because it involves a random sample. Consequently, OIG was unable to recreate the data that DS reported to ODNI for FY 2019 to verify that the information submitted was accurate. It is important to note that the limitations of the case management system used in FY 2019 were recently addressed. Specifically, in January 2021, DS implemented a new case management system that can directly connect to and access the initiation phase data to complete the Timeliness Data reporting requirements. However, OIG found that additional system modifications to the new case management system are needed to fully meet ODNI reporting requirements for the National Security Metrics.   2019年度の報告の不備は、2019年度に部局のすべてのセキュリティクリアランスデータを維持するために使用したケース管理システムDSが、ODNIの報告に必要な正確なデータを作成する機能を持たなかったことが原因のひとつです。例えば、2019年度に使用した案件管理システムは、別のITシステムで管理されていた開始段階の時間枠データに接続して抽出することができませんでした。その結果、DSは四半期のセキュリティクリアランス案件をランダムに選択し、ODNIへの各四半期の提出物の平均値を報告しました。しかし、この方法は無作為のサンプルを用いているため、すべてのセキュリティ・クリアランスの開始段階を完了するための真の時間枠を反映していません。その結果、OIGは、DSが2019年度にODNIに報告したデータを再現して、提出された情報が正確であることを確認することができませんでした。なお、2019年度に使用された症例管理システムの限界は、最近になって対処されたことが重要です。具体的には、DSは2021年1月に、開始段階のデータに直接接続してアクセスできる新しいケース管理システムを導入し、適時性データの報告要件を完了させた。しかし、OIGは、国家安全保障指標に関するODNIの報告要件を完全に満たすためには、新しい症例管理システムに対する追加のシステム修正が必要であることを発見しました。  
Until DS makes the necessary modifications to the case management system to respond to all reporting requirements, establishes requisite internal controls to guide the reporting process to ODNI, and adequately resources the process with staff and supervisory support to fulfill the reporting requirements, the Department will not have assurance that the data reported to ODNI, and subsequently to Congress, are accurate and reliable. OIG therefore made three recommendations to address the deficiencies identified in this report. On the basis of DS’s response to a draft of this report, OIG considers all three recommendations resolved, pending further action. A synopsis of DS’s comments on the recommendations offered and OIG’s reply follow each recommendation in the Results section of this report. DS’s response to a draft of this report is reprinted in its entirety in Appendix A.  DSがすべての報告要件に対応するために事例管理システムに必要な変更を加え、ODNIへの報告プロセスを導くために必要な内部統制を確立し、報告要件を満たすためにスタッフと監督者のサポートでプロセスを適切に支援するまでは、DSはODNIに報告されたデータ、続いて議会に報告されたデータが正確で信頼できるものであることを保証できません。そこでOIGは、本報告書で指摘された欠陥に対処するため、3つの提言を行った。本報告書の草稿に対するDSの回答に基づき、OIGは3つの勧告すべてが解決され、今後の対応が保留されていると考えています。提言に対するDSのコメントとOIGの回答の概要は、本報告書の「結果」セクションの各提言の後に記載されています。本報告書の草稿に対するDSの回答は、その全文を附属書Aに掲載しています。
[1] The objectives of the ongoing audit are to determine whether: (1) Intelligence Community elements accurately capture, document, and report required security clearance processing timeliness information; (2) Intelligence Community elements calculate processing timeliness in a consistent manner; (3) the Security Executive Agent accurately compiles and reports data provided by Intelligence Community elements, as required; and (4) the Security Executive Agent uses Timeliness Data to address the security clearance backlog and inform security clearance-related policy decisions. This audit is currently delayed as a result of the COVID-19 pandemic.  [1] 現在行われている監査の目的は、以下の点を確認することです。(1) 情報コミュニティの要素が、必要なセキュリティ・クリアランス処理の適時性情報を正確に把握し、文書化し、報告しているか、(2) 情報コミュニティの要素が、一貫した方法で処理の適時性を計算しているか、(3) セキュリティ担当執行官が、情報コミュニティの要素から提供されたデータを必要に応じて正確に集計し、報告しているか、(4) セキュリティ担当執行官が、適時性データを、セキュリティ・クリアランスのバックログに対処し、セキュリティ・クリアランス関連の政策決定に役立てているか、を判断することを目的としている。この監査は、COVID-19 パンデミックの結果、現在延期されている。 
[2] See 10 U.S. Code § 1564 note, Background and Security Investigations for Department of Defense Personnel, (k)(1).   [2] 10 U.S. Code § 1564 note, 背景 and Security Investigations for Department of Defense Personnel, (k)(1)を参照。  
[3] ODNI developed its reporting requirements based on the data reported to Congress as detailed in 50 U.S. Code  § 3104 and 10 U.S. Code § 1564 note, Background and Security Investigations for Department of Defense Personnel.  [3] ODNIは、50 U.S.コード§3104と10 U.S.コード§1564注「国防省職員の身元調査とセキュリティ調査」で詳述されているように、議会に報告されたデータに基づいて、その報告要件を作成した。 

 

 

・仮訳 [DOCX]

|

« 米国 SEC長官の上院での証言(2) 投資家はサイバーセキュリティに関する情報を企業に求めている | Main | 英国 ICO(データ保護局)がデータフローに関するG7会議を開催した理由 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 SEC長官の上院での証言(2) 投資家はサイバーセキュリティに関する情報を企業に求めている | Main | 英国 ICO(データ保護局)がデータフローに関するG7会議を開催した理由 »