2010年10月23日()<< 前の日記 | 次の日記 >>
この日の詳細

■1 シリーズ・クロールとDoSの違いと業務妨害罪と(24) - 「コピペ図書館」は個人情報をコピペしたか[http://www.nantoka.com/~kei/diary/?20101005S1][LibraHack][電子自治体][セキュリティ][個人情報] このエントリーをはてなブックマークに追加

弊社図書館システムにおける個人情報の混入及び流出について(お詫び)このシリーズ。もはや、クロールとDoSの問題を離れて、個人情報を含むデータの杜撰な扱い。その結果としての個人情報漏洩。自治体のIT発注の問題。それに対する業者の姿勢と、止まるところを知らない広がりを見せつつあります。ただ、これらの事件が発覚したきっかけは、やはり岡崎市立中央図書館でのこの問題でしたから、シリーズ名はこのままで進めます。
弊社図書館システムにおける個人情報の流出について(お詫び)「ひどいシステムは三菱の図書館システムだけではない」 と、三菱を擁護している *1 のか、飛行機に搭乗するのを怖がらせようとしている *2 のか良く分からない発言をされる方がいますが、今回の件に関しては、 ひどいシステムを作ったことよりも、その後の対応に問題があって、三菱電機インフォメーションシステムズは、その姿勢を未だに改めていません。 この点において、三菱電機インフォメーションシステムズが他の業者とは一線を画して批判されるのは致し方ないと考えています。
さて、岡崎市と中野区からの個人情報漏洩について、三菱電機インフォメーションシステムズは、
岡崎市立中央図書館様のシステム調整・試験を行った際、プログラムライブラリの修正結果を元のプログラムライブラリに反映させました。
岡崎市立中央図書館様の個人情報データが残存していることに気付かず、製品版として、他の図書館様に納入しておりました。
その後の調査により、更に中野区立図書館様(2名分)の個人情報が、ダウンロードされた情報に含まれていることが判明いたしましたので、お知らせいたします。
(中略)
ダウンロードされたデータの確認は全て完了しており、今回判明したもの以外に混入した個人情報はございません。
と説明しています。
  1. 図書館システムの現地での修正結果を持ち帰り、プログラムライブラリに反映していた。
  2. ライブラリに反映する際の個人情報の除去にミスがあって、製品に残存した。
  3. 納品先の運用に問題があり、プログラムライブラリが流出し、結果、プログラムライブラリに残存していた個人情報が流出した。
ということの様です。
修正結果を持ち帰り、プログラムライブラリに反映 することが、多くの図書館で行われていたことを、既に、 「コピペ図書館」疑惑と問題[http://www.nantoka.com/~kei/diary/?20101005S1] で明らかにしました。
これらの作業を行った際に、 個人情報が含まれる可能性がある、業務データのプログラムライブラリへの反映 を行ったとすれば、これらの業務データの提供元となった図書館の個人情報は同じように漏洩する危険があった ということになります。
文書プロパティえびの市と篠栗町に導入された時点で、プログラムライブラリに反映されていたのが岡崎市と中野区由来の個人情報を含むファイルだったために、今回、岡崎市と中野区の個人情報が流出した訳ですが、異なる時期に導入された他の図書館の運用に問題があれば、また、違った自治体の個人情報が流出していたのかも知れません。
左に掲げた表は、えびの市と篠栗町から流出したファイル群の中の、Office文書のプロパティをまとめたものです *3
この中の、作成者や最終保存者として現れるユーザー名をまとめると以下の様になります。
MSY, libokz-pu, MDIS, nara, pa4269-1, pa4269-2, sharp, アルファシステム株式会社, 稲沢市立図書館, 貝塚市役所, 株式会社 タックポート, 三菱電機システムウェア, 渋谷区図書館, 渋谷区立図書館, 生駒市図書館, 西SP3, 太宰府市民図書館, 府中市立図書館
このユーザー名と、 MELIL/CS導入図書館一覧[http://www26.atwiki.jp/librahack/pages/19.html] から、プログラムライブラリに業務データが取り込まれたと思われる自治体を調べると以下の様になります。
  • 東京都渋谷区 (渋谷区図書館, 渋谷区立図書館)
  • 愛知県稲沢市 (稲沢市立図書館)
  • 大阪府貝塚市 (貝塚市役所)
  • 奈良県広陵町 or 奈良県大和郡山市 (nara)
  • 奈良県生駒市 (生駒市図書館)
  • 広島県府中市 (府中市立図書館)
  • 福岡県太宰府市 (太宰府市民図書館)
これらの自治体の図書館の中には、現在MELIL/CSを使用していない自治体もある様ですが、自治体住民の個人情報を守る立場から、
  1. 利用者の個人情報が適切に取り扱われたのか
  2. プログラムライブラリに組み込まれた場合、そのプログラムライブラリが配布された図書館においても、その後のライフサイクルにおいて、プログラムライブラリが外部に漏洩することなく取り扱われたか
を確認する必要があるでしょう。
ここでは、えびの市と篠栗町から流出したOffice文書のプロパティから、上記の自治体をリストアップしましたが、 MDISによるコピペ図書館[http://www26.atwiki.jp/librahack/pages/30.html] で明らかにされている様に、これ以外の図書館でも、少なくとも素材のコピーが行われていたことが明らかにされています。
もはや、 個人情報漏洩問題は、岡崎市と中野区だけの問題ではなく、過去と現在のMELIL/CS導入館全ての問題 と言って良いと思います。
三菱電機インフォメーションシステムズは、
弊社は現在、流出原因となった製品への個人情報混入等の詳細について、各図書館様のご了解を得て現地調査を進めており、調査結果を各図書館様にご報告するとともに、再発防止策につき改めて公表する予定です。
としていますが、 事実関係の調査を流出当事者に任せていては、自治体の個人情報保護に対する姿勢が疑われます。 既に、 図書館問題研究会[http://www.jca.apc.org/tomonken/] が、 MELIL/CS導入図書館の利用者情報等の漏洩に関する緊急要請[http://tomonken-weekly.seesaa.net/article/165517226.html] をしている通り、自治体独自の主体的な調査が行われることを強く望みますし、関連の図書館の利用者の方は、事実解明を強く要求して良いと思います。
*1: 「どの業者もひどい図書館システムを作っている」
*2: 「三菱は図書館システム以外にもひどいシステムを作っている」
*3: イニシャルや個人名と思われる名称をマスクしています。

■ 関連記事

詳細はこの日の詳細から

2009年10月23日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1読んだ本[book] このエントリーをはてなブックマークに追加

一気に読んでしまった。 警視庁公安部[http://ja.wikipedia.org/wiki/%E8%AD%A6%E8%A6%96%E5%BA%81%E5%85%AC%E5%AE%89%E9%83%A8] で言うと、外事第二課関係の事件。
主人公の黒田が実践していると言う名刺の整理法は、実務でも役に立つような気がする。

[単行本]公安特命捜査 警視庁情報官2[http://www.amazon.co.jp/%E5%85%AC%E5%AE%89%E7%89%B9%E5%91%BD%E6%8D%9C%E6%9F%BB-%E8%AD%A6%E8%A6%96%E5%BA%81%E6%83%85%E5%A0%B1%E5%AE%982-%E6%BF%B1-%E5%98%89%E4%B9%8B/dp/4062153181%3FSubscriptionId%3DAKIAIYKMKBZLJ3Y55SZA%26tag%3Dws%26linkCode%3Dxm2%26camp%3D2025%26creative%3D165953%26creativeASIN%3D4062153181]:

関連書籍:

公安警察[http://ja.wikipedia.org/wiki/%E5%85%AC%E5%AE%89%E8%AD%A6%E5%AF%9F] 関係の書籍を。 こんなのAmazonとかでチェックしてると、それこそマークされたりするのか知らん。 『ライ麦畑でつかまえて』[http://ja.wikipedia.org/wiki/%E3%83%A9%E3%82%A4%E9%BA%A6%E7%95%91%E3%81%A7%E3%81%A4%E3%81%8B%E3%81%BE%E3%81%88%E3%81%A6] みたいな。

■ 関連記事

詳細はこの日の詳細から

2005年10月23日()<< 前の日記 | 次の日記 >>
この日の詳細

■1出張3日目[おしごと] このエントリーをはてなブックマークに追加

佳境に入ってきました。佳境?
ばんごはんの最後の砦、23時間営業のマックをあてにしていたら、日曜日は23時で閉まるようだ。注意が必要だった。
非常食の 夜食王[http://www.cec-corp.co.jp/shohinshokai.htm] が活躍することになろうとは。ちなみに、ご飯類じゃなくて麺類がどちらか選べと言われればお勧め。

■ 関連記事

詳細はこの日の詳細から

2003年10月23日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1買ってきた本[book]次の記事 >> このエントリーをはてなブックマークに追加

[和書]MySQL徹底入門―ウェブに最適な高速フリー・データベース・サーバー[http://www.amazon.co.jp/exec/obidos/ASIN/4881359770/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]基本から学ぶソフトウェアテスト―テストの「プロ」を目指す人のために[http://www.amazon.co.jp/exec/obidos/ASIN/4822281132/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]管理者になったとき困らない 実践的ソフトウェア開発工程管理[http://www.amazon.co.jp/exec/obidos/ASIN/4774110752/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]情報システム監査の基礎と実践[http://www.amazon.co.jp/exec/obidos/ASIN/4495180118/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

若い頃は、こういうこと勉強しようっていう気が起こらなかったけれども、他の人に良質なプログラム書いてもらうためには勉強しないといけないと思いました。

■ 関連記事

■2 アニメに熱狂する最近の30代たち[http://japanese.chosun.com/site/data/html_dir/2003/10/22/20031022000023.html]<< 前の記事 このエントリーをはてなブックマークに追加

最近「なつかしい」系のものが何にしても流行っている気がする。
テレビ番組もリメークだったり再放送だったり、音楽はリバイバルだったりカバーだったり。 最初は、30代前後の消費世代の私たちにあわせてメディアが戦略を立てているのかと思っていたが、どうも違うらしい。 実体験をしていない若い世代までもが、体験していない筈の時代を懐かしがるのだ。 70年代に少年時代を過ごしてきた私たちと、同じ時代を共有していない筈の10年以上若手の子たちが、同じ番組を懐かしがる。
年を取って死ぬ間際になると、何もかもが懐かしくなると言われているが、この懐古趣味ブームは、日本という国が死に際にあることを暗示しているのではないかと不安でならない。

■ 関連記事

詳細はこの日の詳細から

2002年10月23日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1メモ[セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

■ 関連記事

■2 スタイルシート使用者のためのNetscape Navigator 4.0x対策案[http://www.remus.dti.ne.jp/%7Etakahisa/flm/OWTXML/NN40x.html][CLIP]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

<link rel="STYLESHEET" href="./nn4.css" type="text/css">
<link rel="STYLESHEET" media="screen,print" href="./default.css" type="text/css">
なるほど!

■ 関連記事

■3 寝台急行銀河[http://motoyuki.bsdclub.org/d/d200209c.html#22-3][ぐる]<< 前の記事 このエントリーをはてなブックマークに追加

寝台「急行」ってまだあったんですね。あぁ、また寝台乗りたくなってきたな。
山のようにテープ持ちこんで、固定カメラで車窓風景でも撮りつづけてみたい。

■ 関連記事

詳細はこの日の詳細から

1998年10月23日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1第三者中継と管理者不在の組織 このエントリーをはてなブックマークに追加

第三者中継関連で問い合わせを頂きました。関心を持って頂くのは非常に嬉しいのですが、残念ながら個々の対策のお手伝いまでは手が回らないのです。ある程度の質問にはメールでお答えすることもできますが、出向いて設定ということになりますとどうしても費用が発生してしまいますし、遠方だと出張経費の方が嵩んでしまいます。
そういった訳で、それなりの金額で対策を請け負っても良いという方がいらっしゃいましたら、お知らせ頂ければページ上で告知いたします。
ただ、ちょっと思うことがあるのです。サーバを上げるからには、それくらいの管理者はいなきゃまずいよなぁと。インターネット社会に対してサーバを上げて接続することは(ダイアルアップで接続するよりも)大きな社会的責任を負うことです。メールを受けている場合、自社のサーバがダウンしただけでも送信先の組織には負担を掛けます。クラッキングの踏み台にされるようなことが無い様に十分に配慮するだけの責任が生じる訳です。
インターネットに「プロバイダにお金払って繋ぐ」というのが当たり前になった頃から、責任ある管理者の割合が下がってきた様な気もします。
当社の宣伝になりますが、当初はシステム開発専業で行く予定だったのが、「システム構築からホスティングまでお任せ下さい」と、ホスティングを始めたきっかけはこの辺にあります。専用線の料金負担を考えると、開発のみの方がリスクは低いのです。
ですが、作り上げたシステムをきちんと面倒見てあげたい。裏方は私たちがやりますから、肝心な中身の運営の方に専念して下さい。と、まぁそういうことです。そのためにも、もっともっと優秀な管理者になる様に、がんばらないといけないなと思っています。
UNIX MAGAZINE 11月号
SPAM対策、sendmailインストールがタイムリーで驚いた。syslogの活用法は有用じゃないかなぁ。ファイルロック[http://www.nanet.co.jp/~kei/diary/glossary.html#filelock] のPetersonのアルゴリズムは勉強になった。
Software Design 11月号
MSの広告載ってる割に歯切れが良いです。海外寄稿の記事は特に。

■ 関連記事

詳細はこの日の詳細から

以上、13 日分です。

指定日の日記を表示

前月 2019年12月 翌月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

予定

    ToDo

      link

      keikuma on Twitter

      keikuma Name:前田勝之
      Location:長崎市
      Web:http://www.nantok...
      Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

      サイト内検索

      Google AdSense

      Powered by hns-2.19.9, HyperNikkiSystem Project