2010年10月02日()この日の詳細

■1夢色パティシエール[book] このエントリーをはてなブックマークに追加

ミスター味っ子 とか 将太の寿司 の女の子編と言う感じだな。精霊がかわいらしくてよろしい。

詳細はこの日の詳細から

2010年10月05日(火)この日の詳細

■1 シリーズ・クロールとDoSの違いと業務妨害罪と(23) - 「コピペ図書館」疑惑と問題[http://www.nantoka.com/~kei/diary/?20100928S1][LibraHack][電子自治体][セキュリティ][個人情報] このエントリーをはてなブックマークに追加

相模原テンプレートこの事件。関心を持つ人それぞれが、自らの思いで参加して、非常に多くの事が明らかになってきています。
新聞報道や図書館、市役所が出す公式コメントを待つだけでなく、本当に普通の人たちが、考え、情報を寄せ集め、まさに普通の人々によるジャーナリズムが、ネットという手段によって実現している状況になっています。
もちろん、参加している人の思いは様々でしょう。罪もない人が20日間勾留されたという事実にただ憤りを感じる人。そこにいたのは自分だったかも知れないという思いを持つ人。これを機会に警察の捜査のあり方が変わっていくことに期待を持つ人。業者の問題を明らかにしたい人。自治体の発注のあり方の見直しを期待する人…。
参加している人の、動機や思いは様々です。この事件は非常に多くの問題点を浮き彫りにした事件ですから、各方面に、その問題点の見直しのきっかけになればと思う人があるでしょう。また、いくつかの問題点が解決されれば、同じような事件は繰り返されないでしょう。
この様に、動機は色々ありますが、色々な思いを持った人が、まずは事実関係を明らかにしたいと考え、様々な方法で取材を積み重ねた結果、事件の背景が相当に明らかにされてきました。
例えば、この記事の冒頭に掲げた図。 相模原テンプレート[http://www26.atwiki.jp/librahack?cmd=upload&act=open&pageid=30&file=%E7%9B%B8%E6%A8%A1%E5%8E%9F%E3%83%86%E3%83%B3%E3%83%97%E3%83%AC%E3%83%BC%E3%83%88%E9%96%A2%E4%BF%82%E5%9B%B3.pdf] と言われるもので、 コピペ導入疑惑追跡[http://www26.atwiki.jp/librahack/pages/30.html#id_7a34c3f2 MELIL/CS] を裏付けるためにまとめられた資料の一部です。
これは大変な労作であり、Twitterのハッシュタグを中心にした、多くの方の努力が無ければでき上がらなかったものだと思います。

MDISによるコピペ図書館[http://www26.atwiki.jp/librahack/pages/30.html]:

この話。 ASP版MELIL/CS導入図書館リスト[http://www.nantoka.com/~kei/diary/?20100721S1] を書いた時に、htmlソース内のJavaScript関数、jfSubmitがいくつかのパターンに分類されることから、 図書館間でコピーして流用しているのではないか という疑惑を持っていました。
その後、htmlソースをもう少し詳しく調べて
HTMLソースの修正のやり方等から推測すると、「パッケージ→A図書館、パッケージ→B図書館」では無く、「パッケージ→A図書館→B図書館」という形で変化してきている様です。で、バラバラになったものに、さらにバラバラなパッチを手で当てると。 #LibraHack
とか、
察するに、テンプレートでの分離とかそんなことは行われていなくて、現場現場でASPソースの検索条件の追加削除やHTML書き換えを行っているのだと思います。カスタマイズ部分を追い出す仕組みとか、パッケージとしての設計や実装がなされていないように思えます。 #LibraHack
ということを推察したり、さらに、それが相当数のファイルに及んで、また、複数の図書館間でコピーの痕跡が見つかることから、
@mabow 「パッケージ」と言いつつ、導入済みのものを丸ごとコピーして展開して、そこの分のカスタマイズを足して…って言うのを繰り返していて、カスタマイズでの修正部分もうまく分離できないし、差分でパッチの適用もできないという状態になってたりしませんかね。 #LibraHack
と、導入のやり方に対しても、ずいぶんいい加減なものでは無いかという疑問を感じるようになりました。
「パッケージ」を元にして「カスタマイズ」を行う場合、ある図書館に「パッケージ」の導入手順に従って、 インストールを行った後で、その図書館ごとのカスタマイズを加えていくのが普通 のやり方です。 こういう方法を取る限り、 ある図書館向けの変更が、他の図書館にもそのまま残されることはない はずです。
ところが、htmlソースや、その他の方法で観察されるコードの端々に、他の図書館での変更履歴が現れるのです。 こういうことから、 ある図書館での作業結果を持ち出して、他の図書館の導入作業の起点にしている のではないかということを強く疑っていたのです。
しかしながら、残念ながら、当時はこれらの疑惑には決定的な証拠がありませんでした。

疑惑の立証:

その後、探索を進めた結果、
なんだこりゃ? さがみはら市 子どもページ http://bit.ly/coGMYY のミラー? http://bit.ly/bhja28 #LibraHack
を探し当てることができました。 相模原の図書館のページのコピーが、丸ごと篠栗町の図書館から発見された わけです。 これをきっかけとして、本当に多くの方たちが、各地の図書館に隠されたページを掘り当てた結果、 合成写真かの様なコピペの例[http://gutei.cocolog-nifty.com/hibikore/2010/09/mdis-af2c.html] や、 系統樹が掛けるほどのコピペの実態[http://www26.atwiki.jp/librahack/pages/30.html] が明らかになっていきました。
これらの例から、これらの図書館システムの導入が パッケージからの導入、カスタマイズというものではなく、図書館間のコピペを繰り返しながら導入されてきた ということが明らかになりました。

弊社図書館システムにおける個人情報の混入及び流出について(お詫び)[http://www.mdis.co.jp/news/press/2010/0928.html]:

とすると、
岡崎市立中央図書館様のシステム調整・試験を行った際、プログラムライブラリの修正結果を元のプログラムライブラリに反映させました。
岡崎市立中央図書館様の個人情報データが残存していることに気付かず、製品版として、他の図書館様に納入しておりました。
弊社図書館システムにおける個人情報の混入及び流出について(お詫び)という事象は、氷山の一角に過ぎないのではないでしょうか。
まっとうな手順で各地の図書館に導入を行っていれば、 図書館からファイルを外部に持ち出すことはそもそもあり得ません。 さらに、ここまで見てきたように、 ある図書館からファイル一式を持ち出して、他の図書館にコピーする という事が、一般的に行われていたことが明らかです。
これらのコピーの持ち出しは、当然ですが、私が入手した限りの作業報告書には記載されていません。 自治体や図書館の許可を得ずに無断で行われた ものでしょうし *1 、だとすると、記録も残されていないでしょう。
既に、各地の図書館のコピペの痕跡は、外から見える範囲については削除されましたが、今回発覚した以外の混入や流出が無かったことは検証したのでしょうか。
Anonymous FTPによって、外部からアクセスできるようになっていたために、 たまたま、ある図書館のシステムが露出した 。その図書館には、 たまたま、他の図書館の個人情報ファイルがあった
この様に、 偶然に偶然が重なって、発覚したのが今回の混入と流出です。他にはないと考えるのは、相当に楽観的 である様に思います。
*1: とても許可するとは思えません。

詳細はこの日の詳細から

2010年10月14日(木)この日の詳細

■1 Web日記12周年[http://www.nantoka.com/~kei/diary/19981014.html][hns] このエントリーをはてなブックマークに追加

ある方[http://twitter.com/#!/makiuna] に教えて頂いて、今日がこの日記を公開し始めて12周年にあたるという事を知りました。
何となく前世紀からやっている気はしていましたし、
blogが一般的になったときに、「mesh抜きでは日本におけるblog草創期を語れない」と言われるようなサイトにしていきたいですね。(言いすぎ?)
とか言う話を懐かしく思い出したりしたので、確かに結構古かったのですね。
この機会に、この日記がどういうシステムで送り出されているか、簡単にご紹介しておきます。これまで裏方でこの日記を支えてきたシステムと作者の皆様に感謝です。
まずは、 HyperNikkiSystem[http://www.h14m.org/] です。この日記システムの骨格はhnsで、これを色々と改造しながらこの日記システムが動いております。
検索には、 Hyper Estraier[http://fallabs.com/hyperestraier/] を使用しています。記事を書き込むたびにインデクサが動いて、全文検索対象になる仕組みです。
さらに、Twitterでのつぶやきも自作スクリプトで取り込んで、これも「今日のつぶやき」として定期的に検索対象としています。
ある程度記事数が増えた頃から、関連記事の紹介が役に立ち初めまして、この記事にも「関連記事」が表示されていると思いますが、この仕組みをご紹介します。
通常の hns[http://www.h14m.org/] は、書き込んだ記事を日記ファイルとして保存しますが、この日記ではちょっとした改造が加えられていて、書き込んだ記事は記事単位で PostgreSQL[http://www.postgresql.org/] で構築されたデータベースに投入されるようになっています。
この際に、記事中のリンク先や、記事タイトルからのリンク先を抽出し、同じリンク先を含んでいる記事や、リンクが向き合っている記事については、関連記事として抽出し、表示をします。
さらに、 GETAssoc[http://getassoc.cs.nii.ac.jp/] の連想検索機能を用いて、類似のキーワードを含む記事を抽出しています。
ということで、これらの様々なプロダクトに支えられながら、また、読者の皆様の反応を支えに、これまで公開を続けてきました。
日記、mixi、Twitterと、非常にプライバシーを含むものを本名でインターネットに公開するということを12年続けてきて、トラブルらしいトラブルが無かったのも、間接的ではあるかも知れませんが、読者の皆様のおかげだと思っています。
私は、ライフログを実践することを一つのテーマとしております。そういう意味では、ライフログ実践家を名乗っても良いのではないかと言う気がします。
ライフログを誰もが安心して実践できるようにするためには、逆に、プライバシーが尊重される必要があります。
これだけ、私生活をダダ漏れさせながら、プライバシーを重要だと主張する。その一見、矛盾した主張の背景は、そういうことなのです。
12周年を機に、日々お世話になっている道具と、読者の方へのお礼と、ライフログとプライバシーに関する思いと、まとまらないながら述べさせて頂きました。
ありがとうございます。よろしくおねがいします。

この記事に頂いたコメント

Re: Web日記12周年 by 芋    2010/10/14 23:19
12年続けるって どういう力でしょう。 凄い力ですね。 石橋を叩いて渡るって 言...

詳細はこの日の詳細から

2010年10月20日(水)この日の詳細

■1読んだ本[Book] このエントリーをはてなブックマークに追加

このところ読んだ本をまとめてエントリー。

[文庫]回帰線に吼ゆ (徳間文庫)[http://www.amazon.co.jp/%E5%9B%9E%E5%B8%B0%E7%B7%9A%E3%81%AB%E5%90%BC%E3%82%86-%E5%BE%B3%E9%96%93%E6%96%87%E5%BA%AB-%E8%A5%BF%E6%9D%91-%E5%AF%BF%E8%A1%8C/dp/4198912130%3FSubscriptionId%3DAKIAIYKMKBZLJ3Y55SZA%26tag%3Dws%26linkCode%3Dxm2%26camp%3D2025%26creative%3D165953%26creativeASIN%3D4198912130]:

[文庫]国語入試問題必勝法 (講談社文庫)[http://www.amazon.co.jp/%E5%9B%BD%E8%AA%9E%E5%85%A5%E8%A9%A6%E5%95%8F%E9%A1%8C%E5%BF%85%E5%8B%9D%E6%B3%95-%E8%AC%9B%E8%AB%87%E7%A4%BE%E6%96%87%E5%BA%AB-%E6%B8%85%E6%B0%B4-%E7%BE%A9%E7%AF%84/dp/4061847740%3FSubscriptionId%3DAKIAIYKMKBZLJ3Y55SZA%26tag%3Dws%26linkCode%3Dxm2%26camp%3D2025%26creative%3D165953%26creativeASIN%3D4061847740]:

いくらなんでも「法則」は無茶だけれども、「問題文を先に読む」のは現代国語の必勝法だとは思う。「作者がどう考えたか」ではなく、「作者がどう考えたかと出題者は考えたか」の問題であることも事実なので、出題者は、必ず明確な論理で説明できる正解を用意している筈ではある。
そうやって考えると、実は、現国は論理の問題。

[文庫]会社泥棒 (光文社文庫)[http://www.amazon.co.jp/%E4%BC%9A%E7%A4%BE%E6%B3%A5%E6%A3%92-%E5%85%89%E6%96%87%E7%A4%BE%E6%96%87%E5%BA%AB-%E6%B8%85%E6%B0%B4-%E4%B8%80%E8%A1%8C/dp/4334735185%3FSubscriptionId%3DAKIAIYKMKBZLJ3Y55SZA%26tag%3Dws%26linkCode%3Dxm2%26camp%3D2025%26creative%3D165953%26creativeASIN%3D4334735185]:

[文庫]セカンド・ワイフ (集英社文庫)[http://www.amazon.co.jp/%E3%82%BB%E3%82%AB%E3%83%B3%E3%83%89%E3%83%BB%E3%83%AF%E3%82%A4%E3%83%95-%E9%9B%86%E8%8B%B1%E7%A4%BE%E6%96%87%E5%BA%AB-%E5%90%89%E6%9D%91-%E9%81%94%E4%B9%9F/dp/4087477517%3FSubscriptionId%3DAKIAIYKMKBZLJ3Y55SZA%26tag%3Dws%26linkCode%3Dxm2%26camp%3D2025%26creative%3D165953%26creativeASIN%3D4087477517]:

[文庫]君のしぐさに恋をした―上級マナー講座 (PHP文庫)[http://www.amazon.co.jp/%E5%90%9B%E3%81%AE%E3%81%97%E3%81%90%E3%81%95%E3%81%AB%E6%81%8B%E3%82%92%E3%81%97%E3%81%9F%E2%80%95%E4%B8%8A%E7%B4%9A%E3%83%9E%E3%83%8A%E3%83%BC%E8%AC%9B%E5%BA%A7-PHP%E6%96%87%E5%BA%AB-%E4%B8%AD%E8%B0%B7-%E5%BD%B0%E5%AE%8F/dp/4569572073%3FSubscriptionId%3DAKIAIYKMKBZLJ3Y55SZA%26tag%3Dws%26linkCode%3Dxm2%26camp%3D2025%26creative%3D165953%26creativeASIN%3D4569572073]:

詳細はこの日の詳細から

2010年10月23日()この日の詳細

■1 シリーズ・クロールとDoSの違いと業務妨害罪と(24) - 「コピペ図書館」は個人情報をコピペしたか[http://www.nantoka.com/~kei/diary/?20101005S1][LibraHack][電子自治体][セキュリティ][個人情報] このエントリーをはてなブックマークに追加

弊社図書館システムにおける個人情報の混入及び流出について(お詫び)このシリーズ。もはや、クロールとDoSの問題を離れて、個人情報を含むデータの杜撰な扱い。その結果としての個人情報漏洩。自治体のIT発注の問題。それに対する業者の姿勢と、止まるところを知らない広がりを見せつつあります。ただ、これらの事件が発覚したきっかけは、やはり岡崎市立中央図書館でのこの問題でしたから、シリーズ名はこのままで進めます。
弊社図書館システムにおける個人情報の流出について(お詫び)「ひどいシステムは三菱の図書館システムだけではない」 と、三菱を擁護している *1 のか、飛行機に搭乗するのを怖がらせようとしている *2 のか良く分からない発言をされる方がいますが、今回の件に関しては、 ひどいシステムを作ったことよりも、その後の対応に問題があって、三菱電機インフォメーションシステムズは、その姿勢を未だに改めていません。 この点において、三菱電機インフォメーションシステムズが他の業者とは一線を画して批判されるのは致し方ないと考えています。
さて、岡崎市と中野区からの個人情報漏洩について、三菱電機インフォメーションシステムズは、
岡崎市立中央図書館様のシステム調整・試験を行った際、プログラムライブラリの修正結果を元のプログラムライブラリに反映させました。
岡崎市立中央図書館様の個人情報データが残存していることに気付かず、製品版として、他の図書館様に納入しておりました。
その後の調査により、更に中野区立図書館様(2名分)の個人情報が、ダウンロードされた情報に含まれていることが判明いたしましたので、お知らせいたします。
(中略)
ダウンロードされたデータの確認は全て完了しており、今回判明したもの以外に混入した個人情報はございません。
と説明しています。
  1. 図書館システムの現地での修正結果を持ち帰り、プログラムライブラリに反映していた。
  2. ライブラリに反映する際の個人情報の除去にミスがあって、製品に残存した。
  3. 納品先の運用に問題があり、プログラムライブラリが流出し、結果、プログラムライブラリに残存していた個人情報が流出した。
ということの様です。
修正結果を持ち帰り、プログラムライブラリに反映 することが、多くの図書館で行われていたことを、既に、 「コピペ図書館」疑惑と問題[http://www.nantoka.com/~kei/diary/?20101005S1] で明らかにしました。
これらの作業を行った際に、 個人情報が含まれる可能性がある、業務データのプログラムライブラリへの反映 を行ったとすれば、これらの業務データの提供元となった図書館の個人情報は同じように漏洩する危険があった ということになります。
文書プロパティえびの市と篠栗町に導入された時点で、プログラムライブラリに反映されていたのが岡崎市と中野区由来の個人情報を含むファイルだったために、今回、岡崎市と中野区の個人情報が流出した訳ですが、異なる時期に導入された他の図書館の運用に問題があれば、また、違った自治体の個人情報が流出していたのかも知れません。
左に掲げた表は、えびの市と篠栗町から流出したファイル群の中の、Office文書のプロパティをまとめたものです *3
この中の、作成者や最終保存者として現れるユーザー名をまとめると以下の様になります。
MSY, libokz-pu, MDIS, nara, pa4269-1, pa4269-2, sharp, アルファシステム株式会社, 稲沢市立図書館, 貝塚市役所, 株式会社 タックポート, 三菱電機システムウェア, 渋谷区図書館, 渋谷区立図書館, 生駒市図書館, 西SP3, 太宰府市民図書館, 府中市立図書館
このユーザー名と、 MELIL/CS導入図書館一覧[http://www26.atwiki.jp/librahack/pages/19.html] から、プログラムライブラリに業務データが取り込まれたと思われる自治体を調べると以下の様になります。
  • 東京都渋谷区 (渋谷区図書館, 渋谷区立図書館)
  • 愛知県稲沢市 (稲沢市立図書館)
  • 大阪府貝塚市 (貝塚市役所)
  • 奈良県広陵町 or 奈良県大和郡山市 (nara)
  • 奈良県生駒市 (生駒市図書館)
  • 広島県府中市 (府中市立図書館)
  • 福岡県太宰府市 (太宰府市民図書館)
これらの自治体の図書館の中には、現在MELIL/CSを使用していない自治体もある様ですが、自治体住民の個人情報を守る立場から、
  1. 利用者の個人情報が適切に取り扱われたのか
  2. プログラムライブラリに組み込まれた場合、そのプログラムライブラリが配布された図書館においても、その後のライフサイクルにおいて、プログラムライブラリが外部に漏洩することなく取り扱われたか
を確認する必要があるでしょう。
ここでは、えびの市と篠栗町から流出したOffice文書のプロパティから、上記の自治体をリストアップしましたが、 MDISによるコピペ図書館[http://www26.atwiki.jp/librahack/pages/30.html] で明らかにされている様に、これ以外の図書館でも、少なくとも素材のコピーが行われていたことが明らかにされています。
もはや、 個人情報漏洩問題は、岡崎市と中野区だけの問題ではなく、過去と現在のMELIL/CS導入館全ての問題 と言って良いと思います。
三菱電機インフォメーションシステムズは、
弊社は現在、流出原因となった製品への個人情報混入等の詳細について、各図書館様のご了解を得て現地調査を進めており、調査結果を各図書館様にご報告するとともに、再発防止策につき改めて公表する予定です。
としていますが、 事実関係の調査を流出当事者に任せていては、自治体の個人情報保護に対する姿勢が疑われます。 既に、 図書館問題研究会[http://www.jca.apc.org/tomonken/] が、 MELIL/CS導入図書館の利用者情報等の漏洩に関する緊急要請[http://tomonken-weekly.seesaa.net/article/165517226.html] をしている通り、自治体独自の主体的な調査が行われることを強く望みますし、関連の図書館の利用者の方は、事実解明を強く要求して良いと思います。
*1: 「どの業者もひどい図書館システムを作っている」
*2: 「三菱は図書館システム以外にもひどいシステムを作っている」
*3: イニシャルや個人名と思われる名称をマスクしています。

詳細はこの日の詳細から