米国 GAO 自らのプライバシープログラムを改善し、データ保護の強化をしなければならない by GAOの内部監査部門

こんにちは、丸山満彦です。

米国のGAOは議会の指示で行政府を監視する役割を担っているわけですが、連邦政府のFISMAの対象にもなっています。そして、またGAO自身にも内部監査部門 (Office of Inspector General: OIG) があります。。。ということで、GAOのOIGが、GAOのプライバシー・プログラムに対する改善ポイントとして、次の2つを上げていますね。。。

• インシデント対応時の影響評価 (PII)
• プライバシートレーニング

日本の政府にには内部監査部門がないですよね。。。ということで、日本の会計検査院にも内部監査部門はないので、こういう話が出てくることはないですね。。。

 

● Oversight.Gov

・2022.03.31 Information Security: Privacy Program Improvements Could Enhance GAO Efforts to Protect Data and Systems

 

● U.S. Government Accountability Office

・2022.03.31 Information Security:Privacy Program Improvements Could Enhance GAO Efforts to Protect Data and Systems

 

Information Security:Privacy Program Improvements Could Enhance GAO Efforts to Protect Data and Systems	情報セキュリティ：プライバシープログラムの改善により、データとシステムを保護するGAOの取り組みを強化することが可能
OIG-22-2	OIG-22-2
Fast Facts	ファストファクト
GAO relies extensively on information systems and technology to fulfill its mission and support needs.	GAOは、そのミッションとサポートの必要性を満たすために、情報システムと技術に幅広く依存しています。
We assessed GAO's efforts to protect its information systems and data against 5 key metrics established for Inspectors General to use when evaluating agency information security.	私たちは、GAOの情報システムとデータの保護に対する取り組みを、検査官が機関の情報セキュリティを評価する際に使用するために確立された5つの主要な指標に照らして評価しました。
While GAO has taken steps to protect sensitive information and prevent data exfiltration, it could improve its privacy program by:	GAOは、機密情報を保護し、データの流出を防止するための措置を講じていますが、プライバシー・プログラムを次のように改善することができまあす。・
・assessing impact to individuals and the organization during incident response	・インシデント対応時に個人及び組織への影響を評価する。
・better defining privacy training for people who have greater access to personally identifiable information	・個人を特定できる情報にアクセスする機会が多い人たちのためのプライバシートレーニングをより明確にする。
We made 2 recommendations to address these issues.	これらの問題を解決するために、2つの提言を行いました。
Highlights	ハイライト
Objective	目的
This report presents the OIG’s Fiscal Year (FY) 2021 assessment of the effectiveness of GAO’s information security program in relation to selected Federal Information Security Modernization Act of 2014 (FISMA) requirements.	本報告書は、2014年連邦情報セキュリティ近代化法（FISMA）要件に関連するGAOの情報セキュリティプログラムの有効性に関するOIGの2021会計年度（FY）評価を示すものです。
What OIG Found	OIGが発見したこと
We assessed GAO’s information systems against selected FY 2021 Inspector General (IG) FISMA reporting metrics, and found certain aspects pertaining to management of data protection and privacy have opportunities for improvement. While GAO has taken steps to protect sensitive information and prevent data exfiltration, opportunities exist to improve its privacy program in the areas of incident response and training for people with specific roles.	私たちは、選択した2021年度監察総監（IG）FISMA報告指標に対してGAOの情報システムを評価し、データ保護とプライバシーの管理に関する特定の側面に改善の機会があることを見出しました。GAOは機密情報を保護し、データの流出を防ぐための措置を講じていますが、インシデント対応と特定の役割を担う人々へのトレーニングの分野で、プライバシープログラムを改善する機会が存在します。
GAO’s Incident Response plan does not contain all the recommended elements for addressing incidents involving Personally Identifiable Information (PII). Specifically, the current GAO incident response procedures do not contain documented procedures for assessing the potential damage to organizations and individuals resulting from the loss of PII.	GAOのインシデント対応計画には、個人識別情報（PII）を含むインシデントに対処するための推奨要素がすべて含まれていません。特に、現在のGAOのインシデント対応手順には、PIIの損失から生じる組織と個人への潜在的な損害を評価するための文書化された手順が含まれていません。
All GAO employees and contractors receive privacy training annually, as part of a mandatory course on security and privacy awareness. However, we found that training for personnel with role-specific responsibility for PII has not been consistently implemented.	GAOの全職員と契約社員は、セキュリティとプライバシー意識に関する必須コースの一部として、毎年プライバシー・トレーニングを受けています。しかし、PIIに対して特定の役割を担う職員に対するトレーニングは、一貫して実施されていないことがわかりました。
What OIG Recommends	OIGの推奨事項
We recommend that the Comptroller General direct the Chief Administrative Officer to direct the appropriate office(s) to (1) define and implement policies and procedures for incident response that align with NIST guidance for assessing privacy impact incidents and (2) define and implement policies and procedures for role-based privacy training which (a) identify who must regularly take the training, and (b) ensure annual compliance with such training. GAO agreed with the recommendations and outlined planned actions to address them.	私たちは、GAO院長に対し、（1）プライバシーへの影響を評価するためのNISTガイダンスに沿ったインシデント対応の方針と手順を定義し実施すること、（2）役割ベースのプライバシートレーニングの方針と手順を定義し実施し、（a）トレーニングを定期的に受けるべき人を特定し、（b）そのトレーニングが毎年確実に遵守されることを指示するよう勧告します。GAOは勧告に同意し、それらに対処するための計画的な行動を概説しました。

 

・[PDF] Highlights

 

・[PDF] Full Report