コンテンツにスキップ

カジノサイト CFATS がパンチを効かせる

ミーガン・ゲイツ著
2015 年 7 月 1 日

印刷問題:2015 年 7 月

化学施設テロ対策基準 (CFATS) プログラムは、少々厳しいスタートを切りました。最初の 5 年間、施設敷地のセキュリティ計画は 1 つも承認されず、米国土安全保障省 (DHS) への会計年度の資金を通じてのみ承認されました。リング上の最初の数ラウンドでは、CFATS はかろうじてベルに到達することができました。

しかし、2010 年から 2015 年に早送りすると、CFATS はプログラムを合理化する取り組み、利害関係者への働きかけに重点を置くこと、議会による 4 年間の承認によって活性化し、8 年目を迎えたプログラムにとって大きな勝利となりました。セキュリティ管理者は、CFATS を監督する DHS のインフラストラクチャ セキュリティ コンプライアンス部門のディレクターである David Wulf 氏にインタビューし、これらの取り組みと民間セキュリティへの影響について話し合いました。 

「これによりプログラムの足場が安定するため、最も優秀な人材を採用し維持し続けるためのプログラムの将来計画を立てることができます」とウルフ氏は言います。 「また、これにより、セキュリティに対する CFATS 関連の投資を検討している業界関係者にとって、当然の規制上の確実性がもたらされ、このプログラムが本当に存続するという確信が得られました。」

2007 年に認可された CFATS は、高リスクの化学施設を特定して規制し、これらの化学物質に関連するリスクを軽減するための安全対策が講じられていることを確認します。施設は層 (1 から 4) に分割されており、施設のセキュリティ脆弱性を特定するセキュリティ脆弱性評価を準備し、特定された 18 のリスクベースのパフォーマンス基準を満たす対策を含むサイト セキュリティ計画を開発および実装する必要があります。

化学メーカーから漁業、刑務所に至るまで、米国内の約 3,400 の施設が CFATS 規制の対象となります。 「CFATS 規制対象施設の世界は非常に広範囲かつ多様です」とウルフ氏は言います。 「これは、人々が通常考える化学施設をはるかに超えたものです。」

CFATS は最近、議会による CFATS 法の可決により大きな後押しを受けました。このプログラムをさらに 4 年間認可するだけでなく、DHS 職員と規制対象施設の両方のコンプライアンス プロセスをさらに合理化するための新しい側面もプログラムに導入します。

CFATS 法の可決による主な新たな展開の 1 つは、Tier 3 および Tier 4 施設向けの迅速承認プログラムの創設です。 

伝統的に、CFATS 承認プログラムでは、規制対象施設にサイトのセキュリティ計画をプログラムに提出することが求められています。次に、CFATS は認可と呼ばれる計画をレビューし、認可検査を完了します。これにより、CFATS の検査官が施設を訪問し、利害関係者と会い、非規範的なガイダンスを通じて対処する必要がある 18 のリスクベースのパフォーマンス基準をサイトがどのように満たせるかを議論できるようになります。 

その後、施設は、その施設の固有の特性に最適に対処するサイトのセキュリティ計画を作成します。その計画は承認を求めて CFATS に提出され、施設はその計画を実施し、CFATS は計画が規制を満たしていることを確認するためのコンプライアンス検査を実施します。 

しかし、迅速な承認により、施設は承認に向けた迅速なトラックに乗せられます。 「これは実は、現在は引退しているトム・コバーン上院議員(共和党、オクラホマ州)の発案によるもので、彼は承認を待っている現場警備計画の残務をより迅速に解決する手段を私たちに提供できる方法を模索していました」とウルフ氏は説明する。 

プログラムの資格を得るために、Tier 3 および Tier 4 施設は、CFATS が概説した方法を使用してリスクベースの基準をどのように満たすかを示すサイトセキュリティ計画を提出します。これらの方法が CFATS ガイドラインから逸脱していない場合、施設は自動的に承認され、承認検査プロセスをバイパスしてコンプライアンス サイクルに入ります。

たとえば、CFATS 規制の施設では、境界のセキュリティに対処し、テロ攻撃を阻止、発見、遅らせるための対策を講じる必要があります。通常の承認プロセスでは、施設はこのリスクに対処するためにさまざまな措置を選択できます。 「施設が迅速な承認を行いたい場合は、基本的に『同意します。少なくとも 8 フィートのフェンスを設置します』と言わなければなりません」とウルフ氏は説明します。

リスクベースの基準に対処するために施設が使用できる具体的なオプションは、プログラムが今夏連邦公報およびオンラインで発表する予定のガイダンスにリストされる予定です。これらは、プログラムの存続期間を通じて DHS と関係者によって学んだベスト プラクティスを使用して開発されたとウルフ氏は付け加えています。

CFATS 法の可決に伴い、このプログラムは情報収集要求に対する管理予算局 (OMB) の承認も求めています。承認されれば、従業員がテロリストと関係があるかどうかの確認を義務付ける基準の部分を遵守するための3つの異なる方法が施設に与えられることになる。 

選択肢の 1 つは、高リスクの化学施設およびその化学薬品保管場所に付き添いなしでアクセスできる個人の個人識別情報を施設が DHS に提出できるようにすることです。これらの個人には、施設の制限エリアにアクセスできる従業員や請負業者が含まれます。その後、その情報はテロリスト検査データベースと照合して精査され、施設はそれらの個人のアクセスを許可することができます。

2 番目のオプションでは、施設が既存の検査プログラムを活用し、個人の運輸労働者識別資格 (TWIC) カードや商用運転免許証の危険物推奨事項を検査するために、限られた量の情報を DHS に提出することができます。このオプションは「基本的に、既存の認証情報が継続的に有効であることを検証して、認証情報が偽造されていないか期限切れでないことを確認します」とウルフ氏は付け加えました。

CFATSが利用可能にしたいと考えている最後のオプションは、電子審査オプションです。これにより、施設は追加情報をCFATSに提出することなく、TWICカードリーダーなどの電子審査技術を利用できるようになる。 「基本的に、施設がそのように選択すれば、人々は基本的に目視検査による精査に頼ることができるようになり、人々はTWICカードやその他の資格情報をフラッシュパスとして使用できるようになります」とウルフ氏は言う。

DHS は OMB から承認を得たら、すでに承認されたセキュリティ計画を受け取っている施設から始めて、段階的にコンプライアンスのためのオプションを展開する予定です。

CFATS はまた、さまざまなプログラム プロセスを合理化する取り組みを継続しており、過去数年間で 1,700 以上のサイトセキュリティ計画を承認することで大幅な進歩を遂げました。これは、ほぼすべての規制対象施設のほぼ中間点です。

検査官が現場に到着する前に施設でより多くの予備作業を行うことで、検査プロセスを合理化することに特に取り組んでいます。 「施設と検査官の間では電話での会話や電話会議が行われ、リスクベースのパフォーマンス基準の多くが検討され、検査前にどのようなことに注意することが重要であるかが明確になります」とウルフ氏は付け加えた。 

CFATS は、このプログラムで規制されている複数の施設を有する企業に対して、より企業に優しいアプローチも取っています。 「規制対象人口の 3 分の 1 以上が、複数の施設を運営する企業の一部である施設で構成されています」とウルフ氏は説明します。 「そのため、企業が複数の CFATS 施設を持っている場合、当社の部門内に企業の連絡窓口を割り当てるオプションを提供しています。」

その連絡窓口は企業レベルで会社と協力して、検査スケジュールの効率性を検討し、会社のすべての施設に適用されるセキュリティ ポリシーを検討します。これにより、検査官は現場に入るときに企業のセキュリティ ポリシーを把握できるようになり、検査と現場のセキュリティ計画の承認プロセスがより迅速に進むようになります。

さらに、CFATS は、ヘルプ デスクなどのサービスを通じて規制対象施設にコンプライアンス支援を提供し続けているため、施設のセキュリティ計画は「孤立した状態で」開発されることはありません、とウルフ氏は付け加えました。 「本社のセキュリティ専門家である当社の検査官が対応可能です。当社の検査官は、コンプライアンス支援訪問と呼ばれる現場訪問を行い、非規範的なリスクベースのパフォーマンス基準を満たすためのさまざまなオプションを検討する施設と協力します。」

この種の「フルサービス」支援は CFATS プログラムの重要な部分であり、これが CFATS プログラムが過去数年間で大きな進歩を遂げることができた理由の 1 つです。 「規制対象業界の利害関係者コミュニティから得た賛同は、当社がこれまでの進歩を遂げることができた大きな部分を占めています」とウルフ氏は言います。 「そして、コンプライアンス支援を優先事項として促進し、重点を置き続けることが、今後も確かに重要になるでしょう。」 

ウルフ氏は、CFATS がこの夏までに少なくとも 2,000 件のサイト セキュリティ計画を承認し、今後数年以内にサイト セキュリティ計画の承認が完了すると楽観的だと述べています。 

「私たちは今後 1 年半以内に、サイトセキュリティ計画の承認のバックログを乗り越え、プログラムを定期的なコンプライアンス検査活動のサイクルに入れることに興奮しています」とウルフ氏は説明します。 「本質的に、それは、サイトのセキュリティ計画がすでに承認されている施設を定期的に検査するために外出することを意味します。」

 

arrow_upward