岡崎図書館事件と流出事件
リンク漏れがあったので、リンク。
- http://mainichi.jp/area/aichi/news/20101005ddlk23040172000c.html
- #librahack 中日新聞の記事 先ず上半分です
- #librahack 中日新聞の記事 下側です
柴田紘一市長は4日の会見で「市としても遺憾で、業者の責任を明確にして厳正に対応したい」と述べた。
http://mainichi.jp/area/aichi/news/20101005ddlk23040172000c.html
柴田紘一市長は4日の定例会見で「市へ直接の情報提供と早期の対応が有れば(逮捕は)防げたのでは。システム開発者なら当然予見できた事態だ」と、業者に苦言を呈した。( *1 )
- 中略 -
柴田市長は「MDISの対応に問題があった。逮捕までに到ったことは大変残念」
中日新聞
社長は「申し訳ない。出来るだけの対応をする」と頭を下げたという。
中日新聞
163人分の個人情報が外部に流出した問題で、図書館とソフト開発業者の三菱電機インフォメーションシステムズ(東京)が、163人におわび文を郵送した。
http://mainichi.jp/area/aichi/news/20101005ddlk23040172000c.html
えびの市民図書館、お詫び文を掲載
えびの市の図書館が、今回の流出問題のお詫び文を掲載している。岡崎市の告知( *1 )と比較すると、歴然とした差が有るのは誰の目にも明らかだろう。
まずはタイトル。えびの市は[ お詫び ]と明確に記載しているのに対し、岡崎市は[ 図書館利用者情報の流出について ]と他人事のようなタイトル。さらに、えびの市は冒頭に[ えびの市教育委員会 ]と記載することで、責任の所在を明確にしてるのに対し、岡崎市は[ 岡崎市立中央図書館 ]と、一般職員も含んだような不明確な記載な上に最後に記述。
次に内容だが、えびの市は冒頭で、
大切な情報が流出しました事に対しまして、深くお詫び申し上げます。
平成22年9月28日の個人情報流出についてのお詫び(えびの市)
利用者情報に含まれていた方々をはじめとする図書館利用者や市民の皆様には多大なご迷惑ご心配をお掛けすることとなりましたことをお詫び申し上げます。
図書館利用者情報の流出について(岡崎市)
又、今後についてだが、えびの市は
市教育委員会として、早急な原因解明に努めるとともに、業者をはじめとして、なぜこのような事が起こったのかを詳細に調査しているところであります。
私どもも図書館利用者の皆様の納得のいく形での調査をおこなっており、さらにこの情報が拡散しないように慎重に取り組んでおります。
平成22年9月28日の個人情報流出についてのお詫び(えびの市)
今後このようなことが決して起こらないよう、情報管理を徹底していきたいと考えております。
図書館利用者情報の流出について(岡崎市)
一体、岡崎市というのはどういう所なのか?
*1:とても詫び文とは言えない内容
岡崎市立中央図書館の次は、えびの市図書館
え〜と、今回は時間が無いので、とりあえずリンクだけ。
- 高木浩光@自宅の日記
- セキュリティ | So-net (ソネット)
- http://mainichi.jp/area/miyazaki/news/20100930ddlk45040708000c.html
相変わらず、毎日はレベルが低い。[ 裏を取っているのか? ]と。朝日新聞の方はWebには、まだ公開されていない様子。
それにしても、パスワードの入力が面倒ならagent起動しておけばいいじゃん、というか、それ程じゃないだろうと。大体、んな所にFTPサーバなんか設定していたら、パスワード以前に、それ自体がセキュリティホールになりかねない。しかも、sshも使用していないのかと。多分、自分たちのコンピュータにも、パスワードは設定していないんじゃなかいと。
もう、なんとういうか、やっている事が素人よりも酷い。ハッキリ言って、学生に毛が生えた程度のレベルで仕事をしていたとしか思えない。ついでに言うと、Windowsしか使った事が無いのは、ほぼ確実。プロなら、Windows以外で、基本を覚えるべき。というか、Windowsでプロは育たない。で、個人レベルだと、windowsでパスワードを設定している人は、滅多に見かけない。なので、そのノリで仕事もしていたのかと。まあ、そう言う意味では、windowsは結構罪深い。
岡崎図書館事件、次は情報漏れ
もはや言葉も有りません。
- http://www.asahi.com/national/update/0928/NGY201009280007.html
- http://sankei.jp.msn.com/affairs/crime/100928/crm1009281413024-n1.htm
- http://www.chunichi.co.jp/s/article/2010092890152647.html
- http://headlines.yahoo.co.jp/hl?a=20100928-00000035-mai-soci
- http://www.yomiuri.co.jp/national/news/20100929-OYT1T00219.htm
- セキュリティ | So-net (ソネット)
- http://tokai-tv.com/news/fnn-tokai/ondemand/20100928/20100928_03.html
- 【セキュリティ ニュース】複数図書館に販売した図書館システムに個人情報が残存 - 三菱電機関係会社(1ページ目 / 全1ページ):Security NEXT
詳しい説明は、以下のblogに記載されていますが、普通は、差分だけの更新。データまで吸い上げるのは、有り得ません。
なので、産経新聞に記載されているように、まるごとコピーしたのかと。同社は岡崎市に納入したシステムのプログラムを原本として保存。そのコピーを全国の37公立図書館に販売
http://sankei.jp.msn.com/affairs/crime/100928/crm1009281413024-n1.htm
今月22日、同社のソフトを導入している別の図書館の職員が偶然見つけ、発覚。同社は「岡崎市立図書館に施した最新の不具合対策を、本社にあるプログラムに反映させる際、不必要なデータまで吸い上げてしまった」と説明している。
http://www.asahi.com/national/update/0928/NGY201009280007.html
それにしても、岡崎図書館もMDISも早々に謝った方が、リスク管理的に有利なハズなのに、何故沈黙するのかと私自身も以下のような
どうも、両者共に何らかの理由で、抜き差しならない状態に陥っているのかも知れない。
岡崎市立中央図書館とMDIS - Darkwood’s Blog
岡崎市立中央図書館事件のパネル討論会in名古屋
岡崎図書館事件での図書館側の事情の考察。
MDISや警察については、なんとなく見えてきたが、図書館側の事情については依然として不明だ。そのような点では以下のような視点もあるし、過去にも以下のような事件があるようだ。
私自身も、所で、何故か図書館の利用としての視点が見られないが、本好きの本読みとしては、被害者の方の図書館の利用形態( *1 )には、違和感を感じるが、いかがだろうか。
1 : ソフトの話ではない、本の借り方の話。
岡崎図書館事件 - Darkwood’s Blog
同じように、図書館職員の方も釈然としないものを感じていた可能性は、あるかも知れない。何しろ、新刊が入るや否や来館し、速攻で借りていくのだ、お年寄りよりも、子供よりも( *1 )、経済的弱者よりもだ。そして、前回記載したように( こちら )、岡崎市立中央図書館では、図書館職員が発言しにくい雰囲気が有ったとしたらどうだろうか。そのような状況下で、誤った判断を下そうしている上層部に、敢えて意見を言うだろうか。しかも、警察は被害届けを受理しないか、せいぜいが問題の利用者を注意するくらいだろうと、常識的には考えられるのにだ( *2 )。
明らかに不当な逮捕に対して、被害者自身が異をとなえないのも、さすがに、自らの借用姿勢に問題が有ると気づいたからなのかもしれない。
まあ、根拠があるわけでなく、所詮は推測にすぎない。が、図書館上層部と図書館職員の方は別に考えたほうが良いかもしれない。
@whimitsu librahack氏がプログラムを実行していた時間について。さくらインターネットのレンタルサーバーを使っていた4月1日までは午後6時からでした。これは、氏がネットの混雑時間帯を午後9時〜11時とみていたことと、… #librahack
kanda_daisuke
2010-08-22 07:42:12
@whimitsu …終業時間の近い午後6時ならばその日入荷した新着図書の情報が更新されているだろうと考えたことによります。なお、プログラムの自動実行をやめた4月2日以降のアクセス時刻はまちまちで、アクセスしていない日もあります。 #librahack
kanda_daisuke
2010-08-22 07:43:25
その問題点とは? RT @kanda_daisuke: ちなみに岡崎図書館は、これは大場館長とは別の職員の方ですが、取材に対して早い段階で「今回のプログラムはアクセス数の多さが問題だったのではない」という点を明確に自分の言葉で話していました。 #librahack
aki0816
2010-08-22 07:34:36
- 中略 -
@biac この件は総務省や日本図書館協会も関心を持っています。そうした方向から自治体・図書館にあるシステムの第三者評価は今後進むのではないかと期待しています。 #libraHack
kanda_daisuke
2010-08-22 21:51:17
- 中略 -
@kanda_daisuke その当人のネット繁忙時間帯予想と、実際に今回の図書館Webで日々発生している繁忙時間帯とは、一致していたのでしょうか? #librahack
whimitsu
2010-08-22 23:51:51
@whimitsu いえ、そもそもlibrahack氏は「最も利用者の少ない時間帯を選んでプログラムを走らせた」わけではありません。岡崎市立図書館のサーバーは、1日1回再起動をしています。いつ、どのくらいの間かは申し上げられません。 #librahack
kanda_daisuke
2010-08-23 21:29:42
@kanda_daisuke #librahack 比較的小さな公立図書館であれば、日々毎日新着図書が大量に収蔵され続ける、というのは考えにくい。自分専用Webサイトを構築しようとして、そこまで一刻を争って新着情報を欲しがるというのも、理解に苦しむところがあります。
whimitsu
2010-08-23 00:08:03
@whimitsu 私はlibrahack氏が受けた様々な苦痛は、ほとんどが必要ないものだったと考えています。21日間にわたって身柄を拘束されたこともそうですし、氏のビジネスに与えた影響もそうです。氏はソフトウェア技術者として起業されていますが、(続) #librahack
kanda_daisuke
2010-08-23 21:34:00
@whimitsu (続)勾留で顧客の対応ができなくなるなどし、月収の約7割にあたる55万円を損失しています。心理的苦痛については言うまでもないでしょう。しかし、whimitsuさんのツイートを読み、取材したある図書館職員に聞いた話を思い出しました。(続) #librahack
kanda_daisuke
2010-08-23 21:35:56
@whimitsu (続)この図書館職員( *3 )はlibrahack氏に同情を寄せた上で、こんなことを教えてくれました。その図書館の常連さんには、お目当ての雑誌がいつ入荷するかを詳細に聞いてくる人がいる。いつ本屋から図書館に配送されるか、その雑誌にバーコードを(続) #librahack
kanda_daisuke
2010-08-23 21:38:32
@whimitsu (続)貼り付けるのにどれくらいの時間がかかるのか、など事細かに聞くそうです。雑誌は新着分が書架に配置されると、バックナンバーを貸し出しできるからです。しかし、図書館というのは本などの資料をタダで読むことだけが目的の場所ではない。 #librahack
kanda_daisuke
2010-08-23 21:40:09
@whimitsu (続)librahack氏は岡崎市立図書館の予約者数を調べ、その人数が少なければ予約し、多ければamazonから買うプログラムを作ろうとしていました。彼の発想は、我先に資料を借りようという部分で、その常連さんの発想に似ている部分が(続) #librahack
kanda_daisuke
2010-08-23 21:42:03
@whimitsu (続)あるのではないかと、その職員の方は言うわけです。その方は図書館職員として、その1点に関してはlibrahack氏には共感できないと話していました。 #Librahack
kanda_daisuke
2010-08-23 21:43:04
- 中略 -
@gutei 図書館が無駄に高いシステムを買わされていないかについては、日本図書館協会がかなり深い危機感を抱いており、機能や性能に関するガイドラインをつくる検討をしています。今後、状況は改善に向かうと期待しています。 #librahack
kanda_daisuke
2010-08-23 21:49:30
- 中略 -
@kanda_daisuke 素朴な疑問なのですが、「システムの仕様」の中に、許容システム負荷に言及する部分ってあったのでしょうか。 #librahack
App__
2010-08-23 21:21:10
@App__ 「仕様書」の中に、許容システム負荷に関する文言は、確認した範囲ではありませんでした。ただし、MDISはそれをきちんと設定しています。セキュリティ上の問題があるので、情報公開請求できるような文書にしていないのだと考えられます。 #librahack
kanda_daisuke
2010-08-23 21:58:51
- 中略 -
@kanda_daisuke 記者さんにお聞きしたい。やはり一般的にクロールやマッシュアップという行為は「神の如きハッカーが行うもの」という程度の認識なのでしょうか? #libraHack [MikuMikuDanceをXBoxで]
WilfremLuminous
2010-08-23 22:21:02
@WilfremLuminous 実は、当初の原稿には「クローラー」という単語も解説付きで入れてあったんです。ところが、それを読んだ複数の記者が、何か得体の知れない恐ろしいものが図書館のデータベースからデータを勝手に漁っている、という印象を受けていました。 #libraHack
kanda_daisuke
2010-08-23 23:06:09
それで「クローラー」という単語は削ったという経緯があります。パソコンを使って実際にプログラムの挙動を説明すると、「なーんだ、そんなことなの? そんなことで逮捕されちゃったの?」とみんな納得していましたが。 #libraHack
kanda_daisuke
2010-08-23 23:07:32
@kanda_daisuke あと、MDISとかのプロのメーカーも、まさかとは思いますが、似た様な認識なのでしょうか。#LibraHack [MikuMikuDanceをXBoxで]
WilfremLuminous
2010-08-23 22:22:37
@WilfremLuminous MDISや取材したほかのメーカーは、クローラーやマッシュアップについて正確に把握していました。だからこそMDISは図書館ソフトウェアを改修したんでしょう。 #libraHack
kanda_daisuke
2010-08-23 23:09:32
- 中略 -
.@kanda_daisuke いつから知っていたのか、わかりますでしょうか? (被害届との前後関係) > 同館長は21日、同市役所で報道陣に対し、「(男性の自作プログラムに)違法性がないことは知っていた #librahack
biac
2010-08-23 22:56:55
@biac いえ、わかりません。岡崎図書館はlibrahack氏のプログラムに違法性があるかないかを判断できる立場にないと思いますが……。 #libraHack
kanda_daisuke
2010-08-23 23:15:47
- 中略 -
@biac 岡崎市立図書館が被害届を出したのは警察の判断を聞いたからです。 #libraHack
kanda_daisuke
2010-08-23 23:30:53
岡崎市中央図書館 librahack 事件を取材した朝日新聞記者さんへの質問と回答まとめ (8月22・23日分) - Togetter
又、先に記載した釈然としない点について、本好きの本読みとして、もう少し明確に記載するなら、
本は借りるものではなく、買って読むものだ。
*1:18才以下を想定。
*2:警察が届けをだすようにただしたのは上層部へのみで、一般職員は知らなかった可能性が考えられる。
*3:どこの図書館なのかは不明。
*4:自分の為だけのソフトまで作り、一刻を争ってだ( クローリングの結果を公開する旨の記載は無い )。その上、無ければアマゾンから購入するソフトも作成予定が有った様子。ならば、最初から購入すべきだし、図書館が何の為にあるのかへ思いを馳せて欲しかった。そして、購入しない事の影響も考慮して欲しかった。
*5:念の為記載するが、図書館を否定していのでは無い。図書館には情報に対する弱者救済と知識の保存という使命が有り、又、私自身、子供の頃は図書館を散々利用している。いずれにしろ、それなりの収入の有る方が、借用の為のソフトを作るなどというのは、どこかおかしくはないだろうか。
岡崎市立中央図書館職員の半分以上は嘱託
岡崎図書館の詳しい情報(後述)を発見した。職員に関する部分だけ引用すると、
- 職員体制平成20年10月まで:16名(うち館長を含め司書は11名)+嘱託18名(うち司書8名)
→平成20年11月より:りぶら総合館長(部長)/図書館長(課長)/司書資格者2/3の職員15名(県より1名)+嘱託16名→直営部分(レファレンス・選書・受け入れ・館外サポート・行事)
- TRC(株式会社図書館流通センター)に業務委託(〜H24年度末):30名/月額:1千万円/業務:貸出・返却のカウンター業務、配架、BM運行(週4回:50の全小学校、団地など)
- 中略 -
■直営+業務委託(窓口)型について■
直営館であるが、「りぶら」総合案内には「派遣」の職員、「市民活動総合支援センター」はNPO団体が受託、図書館窓口は「業務委託」のTRCの職員で毎日の管理運営が行われている。
↓
今後5ヵ年以内に指定管理者制度を導入できるかどうかを考えることになっている。
↑
対象:「りぶら」全館or図書館を除くかどうかが決まる予定。
愛知県内図書館視察(3)岡崎市: 豊橋市議会議員渡辺のりこネット>のりこのコラム/活動記録
- 〜 2008-10 : 16名(司書11名) + 嘱託18名(司書8名)
- 2008-11 〜 : 15名 + 嘱託16名
(男性の自作プログラムに)違法性がないことは知っていたが、図書館に了解を求めることなく、繰り返しアクセスしたことが問題だ( *1 )
http://megalodon.jp/2010-0822-0134-16/www.asahi.com/digital/internet/NGY201008210009.html
そこへもってきて、
- 5ヵ年以内に指定管理者制度を導入できるかどうかを考える
- 「りぶら」全館or図書館を除くかどうかが決まる予定
それにしても、
- BM運行(週4回:50の全小学校、団地など)
- 開館時間:午前9時〜午後9時
- 休館日:水曜日(祝日の場合は開館)/毎月第3金曜日/年末年始/特別整理日
- 仕分け機:16ユニット
- 頂いた資料:パンフレット「Libraりぶら」「中心市街地再活性化拠点整備基本計画H16年3月」「図書館概要H20年度版」
■開館3ヶ月 中心市街地に人が増えた!■
平成20年11月16万人/12月10万人/平成21年1月11万人→合計39万3千人。「りぶら」に図書館があるためにリピーターが多い、また、学生の利用が伸びている。市街地の活性化に大きな影響が出ている。
以下、岡崎市立図書館に関する記載についての抜粋。
■岡崎市立図書館■ 「岡崎市の図書館概要 平成20年度版」
開館:平成20年11月1日
敷地:約25,000?
建築延面積:18,000?地上3階建て<中央図書館8,000?>
1階レファレンスライブラリー(16万冊配架可)/1,855?(閲覧席190席)
2階ポピュラーライブラリー(10万冊配架可)/2,330?(閲覧席430席)
子ども図書館(4万冊配架可)/854?(閲覧席80席)
読書広場/約600?駐車場:300台(駐輪300台)
図書収容能力:100万冊/開館当初60万冊
総事業費:約100億円(「りぶら」全体)
- 予算(H20):6,000万円(資料購入費)/1億4,000万円/ 円(図書館費)/円(教育費)/ 円(一般会計)
- 資料:雑誌500誌/新聞50紙
- OPAC(図書検索パソコン)18台
- インターネット席 20席
- 利用:蔵書629,444冊/貸出1,502,893冊/登録者数133,901人(登録率37.25%)/貸出者数278,850人
- 職員体制平成20年10月まで:16名(うち館長を含め司書は11名)+嘱託18名(うち司書8名)
→平成20年11月より:りぶら総合館長(部長)/図書館長(課長)/司書資格者2/3の職員15名(県より1名)+嘱託16名→直営部分(レファレンス・選書・受け入れ・館外サポート・行事)
- TRC(株式会社図書館流通センター)に業務委託(〜H24年度末):30名/月額:1千万円/業務:貸出・返却のカウンター業務、配架、BM運行(週4回:50の全小学校、団地など)
- 開館時間:午前9時〜午後9時
- 休館日:水曜日(祝日の場合は開館)/毎月第3金曜日/年末年始/特別整理日
- 仕分け機:16ユニット
- 頂いた資料:パンフレット「Libraりぶら」「中心市街地再活性化拠点整備基本計画H16年3月」「図書館概要H20年度版」
■開館3ヶ月 中心市街地に人が増えた!■
平成20年11月16万人/12月10万人/平成21年1月11万人→合計39万3千人。「りぶら」に図書館があるためにリピーターが多い、また、学生の利用が伸びている。市街地の活性化に大きな影響が出ている。■駐車場について■
3時間までは無料。周辺に民間駐車場1,100台を併せて1,400台。→30分100円 <共通駐車券はなし>■直営+業務委託(窓口)型について■
直営館であるが、「りぶら」総合案内には「派遣」の職員、「市民活動総合支援センター」はNPO団体が受託、図書館窓口は「業務委託」のTRCの職員で毎日の管理運営が行われている。
↓
今後5ヵ年以内に指定管理者制度を導入できるかどうかを考えることになっている。
↑
対象:「りぶら」全館or図書館を除くかどうかが決まる予定。
愛知県内図書館視察(3)岡崎市: 豊橋市議会議員渡辺のりこネット>のりこのコラム/活動記録
*1:[ 違法性がない ]のを認識していながら、警察に[ 被害届け ]を出すのは変。さらに、[ 図書館に了解を求めることなく]と続くが、インターネットは[ 了解は不要 ]が原則。[ 了解が必要 ]なら、運営側で[ IDによるログイン等 ]の制限を儲けるのが慣例。というか、そもそも承認制は成り立たない。例えば、人気サイトが承認制にしたらどうなるか考えてみれば良い。世界中から毎日、了解を求める山のような電話とメールが集中... 破綻しますな。