2010年10月23日() << 前の日記 | 次の日記 >>
これまでの10月23日 編集

■1 シリーズ・クロールとDoSの違いと業務妨害罪と(24) - 「コピペ図書館」は個人情報をコピペしたか[http://www.nantoka.com/~kei/diary/?20101005S1][LibraHack][電子自治体][セキュリティ][個人情報] このエントリーをはてなブックマークに追加

弊社図書館システムにおける個人情報の混入及び流出について(お詫び)このシリーズ。もはや、クロールとDoSの問題を離れて、個人情報を含むデータの杜撰な扱い。その結果としての個人情報漏洩。自治体のIT発注の問題。それに対する業者の姿勢と、止まるところを知らない広がりを見せつつあります。ただ、これらの事件が発覚したきっかけは、やはり岡崎市立中央図書館でのこの問題でしたから、シリーズ名はこのままで進めます。
弊社図書館システムにおける個人情報の流出について(お詫び)「ひどいシステムは三菱の図書館システムだけではない」 と、三菱を擁護している *1 のか、飛行機に搭乗するのを怖がらせようとしている *2 のか良く分からない発言をされる方がいますが、今回の件に関しては、 ひどいシステムを作ったことよりも、その後の対応に問題があって、三菱電機インフォメーションシステムズは、その姿勢を未だに改めていません。 この点において、三菱電機インフォメーションシステムズが他の業者とは一線を画して批判されるのは致し方ないと考えています。
さて、岡崎市と中野区からの個人情報漏洩について、三菱電機インフォメーションシステムズは、
岡崎市立中央図書館様のシステム調整・試験を行った際、プログラムライブラリの修正結果を元のプログラムライブラリに反映させました。
岡崎市立中央図書館様の個人情報データが残存していることに気付かず、製品版として、他の図書館様に納入しておりました。
その後の調査により、更に中野区立図書館様(2名分)の個人情報が、ダウンロードされた情報に含まれていることが判明いたしましたので、お知らせいたします。
(中略)
ダウンロードされたデータの確認は全て完了しており、今回判明したもの以外に混入した個人情報はございません。
と説明しています。
  1. 図書館システムの現地での修正結果を持ち帰り、プログラムライブラリに反映していた。
  2. ライブラリに反映する際の個人情報の除去にミスがあって、製品に残存した。
  3. 納品先の運用に問題があり、プログラムライブラリが流出し、結果、プログラムライブラリに残存していた個人情報が流出した。
ということの様です。
修正結果を持ち帰り、プログラムライブラリに反映 することが、多くの図書館で行われていたことを、既に、 「コピペ図書館」疑惑と問題[http://www.nantoka.com/~kei/diary/?20101005S1] で明らかにしました。
これらの作業を行った際に、 個人情報が含まれる可能性がある、業務データのプログラムライブラリへの反映 を行ったとすれば、これらの業務データの提供元となった図書館の個人情報は同じように漏洩する危険があった ということになります。
文書プロパティえびの市と篠栗町に導入された時点で、プログラムライブラリに反映されていたのが岡崎市と中野区由来の個人情報を含むファイルだったために、今回、岡崎市と中野区の個人情報が流出した訳ですが、異なる時期に導入された他の図書館の運用に問題があれば、また、違った自治体の個人情報が流出していたのかも知れません。
左に掲げた表は、えびの市と篠栗町から流出したファイル群の中の、Office文書のプロパティをまとめたものです *3
この中の、作成者や最終保存者として現れるユーザー名をまとめると以下の様になります。
MSY, libokz-pu, MDIS, nara, pa4269-1, pa4269-2, sharp, アルファシステム株式会社, 稲沢市立図書館, 貝塚市役所, 株式会社 タックポート, 三菱電機システムウェア, 渋谷区図書館, 渋谷区立図書館, 生駒市図書館, 西SP3, 太宰府市民図書館, 府中市立図書館
このユーザー名と、 MELIL/CS導入図書館一覧[http://www26.atwiki.jp/librahack/pages/19.html] から、プログラムライブラリに業務データが取り込まれたと思われる自治体を調べると以下の様になります。
  • 東京都渋谷区 (渋谷区図書館, 渋谷区立図書館)
  • 愛知県稲沢市 (稲沢市立図書館)
  • 大阪府貝塚市 (貝塚市役所)
  • 奈良県広陵町 or 奈良県大和郡山市 (nara)
  • 奈良県生駒市 (生駒市図書館)
  • 広島県府中市 (府中市立図書館)
  • 福岡県太宰府市 (太宰府市民図書館)
これらの自治体の図書館の中には、現在MELIL/CSを使用していない自治体もある様ですが、自治体住民の個人情報を守る立場から、
  1. 利用者の個人情報が適切に取り扱われたのか
  2. プログラムライブラリに組み込まれた場合、そのプログラムライブラリが配布された図書館においても、その後のライフサイクルにおいて、プログラムライブラリが外部に漏洩することなく取り扱われたか
を確認する必要があるでしょう。
ここでは、えびの市と篠栗町から流出したOffice文書のプロパティから、上記の自治体をリストアップしましたが、 MDISによるコピペ図書館[http://www26.atwiki.jp/librahack/pages/30.html] で明らかにされている様に、これ以外の図書館でも、少なくとも素材のコピーが行われていたことが明らかにされています。
もはや、 個人情報漏洩問題は、岡崎市と中野区だけの問題ではなく、過去と現在のMELIL/CS導入館全ての問題 と言って良いと思います。
三菱電機インフォメーションシステムズは、
弊社は現在、流出原因となった製品への個人情報混入等の詳細について、各図書館様のご了解を得て現地調査を進めており、調査結果を各図書館様にご報告するとともに、再発防止策につき改めて公表する予定です。
としていますが、 事実関係の調査を流出当事者に任せていては、自治体の個人情報保護に対する姿勢が疑われます。 既に、 図書館問題研究会[http://www.jca.apc.org/tomonken/] が、 MELIL/CS導入図書館の利用者情報等の漏洩に関する緊急要請[http://tomonken-weekly.seesaa.net/article/165517226.html] をしている通り、自治体独自の主体的な調査が行われることを強く望みますし、関連の図書館の利用者の方は、事実解明を強く要求して良いと思います。
*1: 「どの業者もひどい図書館システムを作っている」
*2: 「三菱は図書館システム以外にもひどいシステムを作っている」
*3: イニシャルや個人名と思われる名称をマスクしています。

■ 関連記事

今日のつぶやき

以上、1 日分です。

指定日の日記を表示

前月 2010年10月 翌月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project