中野区立図書館の流出でのやりとり。
# 図書館システムの個人情報漏えいについては、一昨日の臨時の子ども文教委員会で報告あり。提出された資料は以下のURLの文章とほぼ同じ。http://www.city.tokyo-nakano.lg.jp/dept/666000/d011607.html 3:50 AM Oct 21st webから
# 今日お話しを伺った方は直接の所管ではなく細かい点は把握していないので業者への損害賠償についてだけ、「損害が発生した場合にはMDISに損害賠償を求めることとする」としているが、既に損害は発生しているのではないかと質問。 4:10 AM Oct 21st webから
# 業者を選定したのは区なので個人情報の漏えいの責任が区・業者どちらにあるのかは線引きが難しい。情報漏えいがニュースになることによる信頼の喪失についても被害の算定は難しい。区民の方から具体的な訴え等があった場合に賠償請求をするというのが、こうした場合の一般的な考え方であるとのこと。 4:18 AM Oct 21st webから
# 中野区には当然個人情報保護のための条例もありますし、危機管理ガイドラインというものも整備しています。これらの文言を見ると非常に立派なことが書かれていますが、現実に起きていることを見るとどうにも上手く機能していないように感じます。役所は「決まり」には大変厳しいはずなんですが。。。 4:27 AM Oct 21st webから
森たかゆき 中野区議会議員 立憲民主党 (@moritakayuki) | Twitter
なんだかな〜。
未だに嘘をつくMDIS
岡崎図書館事件から相当の期間が経過し、欠陥品で有る事はさまざまWebで証明され、さらには流出事件まで起こしながら、まだ、こんな事を言っている。
MDISは本誌の問い合わせに、「個人情報の流出については、ライブラリ管理などに不十分な点があった」(広報)と責任を認める。一方で、処理性能については「2005年に想定した処理のピークに耐えられるように、設計・構築した。製品に欠陥があるとは考えていない」(同)と回答する。
利用者逮捕に続き個人情報流出 | 日経 xTECH(クロステック)
それにしても此の事件、そもそもの発端は、MDISが自社の製品の欠陥に起因するトラブルを逆手に取って、システムが古い事が原因と偽り、新しいシステムを売り込もうとした事が原因と推定される。つまり、最初から嘘を尽き続けているのだが、未だにやめるつもりはないようだ。
所で、さすがにITPro。以下の内容を記載する事で、本当の原因を明らかにしてから、続く文章で先のMDISの言い分を掲載するという構成にしている。
同社はFTPサーバーを、パスワードなしでアクセス可能な状態にしていた。
-- 中略 --
産業技術総合研究所の高木浩光主任研究員は、「MELIL/CSにはDB接続方式に問題があり、1秒に1〜2回程度という常識的なクロ ーラー(情報自動収集プログラム)からのアクセスにすら耐えられない構造だった」と指摘する。高木氏は次のように続ける。「MELIL/CSにコネクションプーリングなどの適切なDB接続方式が実装されていれば、そもそも事件は起きなかった」。
利用者逮捕に続き個人情報流出 | 日経 xTECH(クロステック)
2010年10月15日
ダウンロードされたデータの確認は全て完了しており、今回判明したもの以外に混入した個人情報はございません。
http://www.mdis.co.jp/news/topics/2010/1015.html
2010年10月20日
弊社は中野区立図書館様から、中野区立図書館様に係わる流出データファイルの再調査(全件完全調査)をご指示いただき、詳細に調査いたしましたところ、中野区立図書館様に係る個人情報が51名分(注)存在し、それ以外にはないことを確認いたしました。
http://www.mdis.co.jp/news/topics/2010/1020.html
# 俺が「全部データ見たけどもう出ないんとちゃう?」みたいなツイートしたからもう出ない判断したとかだったら笑うんだけどな #librahack 3:27 AM Oct 20th V2Cから
# これだね http://twitter.com/Vipper_The_NEET/status/27559322908 17日の段階でえびののデータについて全部調べて出てこない宣言してるわ俺ww #librahack 3:30 AM Oct 20th V2Cから
たりき (@Vipper_The_NEET) | Twitter
# MDISに求めたのは会社として話をするなら会社の体裁で話をしてくれということなので,大丈夫だとは思うが。 #librahack 6:38 PM Oct 19th V2Cから
# お礼とか謝罪とかいらないから会社としてまっとうな文書で交渉してほしいです('A`) メールに署名くらい書けって要求したその返事に署名が無いとかヤメテ #librahack 3:34 AM Oct 20th V2Cから
# 会社として話をしたいならまともなシグネチャつけろよと要求したときの回答にまともなシグネチャがなかったときは怒っていいよね? #librahack 6:12 PM Oct 19th V2Cから
補足
まだ、こんな事を言っているようじゃ、相当彼方此方で突っ込まれるのではと思っていたのですが、しっかり高木氏の所で、取り上げられています。
パネル討論について
取り敢えず、リンク集を作成。
- http://d.hatena.ne.jp/yoshim32/20101015/1287139188
- 10月2日(土)パネル討論会:「岡崎市中央図書館ウェブサーバ事件」から情報化社会を考えるを開催しました - お知らせ
- パネル討論会:「岡崎市中央図書館ウェブサーバ事件」から情報化社会を考える | kozawa のたまに気になること
- http://d.hatena.ne.jp/xiao-2/20101004/1286205872
- 岡崎市立中央図書館事件パネル討論会の個人レビュー by reychan02 - Togetter
- http://gutei.cocolog-nifty.com/hibikore/2010/10/post-d958.html
- 2010-10-02(Sat): パネル討論会「岡崎市中央図書館ウェブサーバ事件」から情報化社会を考えるに参加 - ACADEMIC RESOURCE GUIDE (ARG) - ブログ版
- イベントレポート『パネル討論会:「岡崎市中央図書館ウェブサーバ事件」から情報化社会を考える』 - ライブラリー×ウェブの力を飛躍させるCode4Lib JAPAN
最初にお断りしておきますが、私自身は先の討論会には出席していないので、あくまでもネット上での感想です。又、この種のBlogが総じて分かりくい物が多く、誤認している可能性もありえます。
さて、この事件の肝は以下の2点だ。
- 被害者の方の名誉回復
- このような事件を2度と起こさないように、建設的な方向へ進めるにはどうするのか。
当然、此の為には、
- 事件の原因。
- 関係者がどういう判断を下したのか。
という事を調べないと、どうしょうもないし、これは悪者探しではない。結果として断罪されても致し方ない人物がででくるかもしれないが、それを悪者探しなどと称して臭い物に蓋をしようとするのはいただけないし、事件の内容を知らずに判断する事も出来ない( *1 )。
何れにしろ、こういう討論会を開くのなら
- 詳しい専門家を最低でも1名はオブザーバとして招いて置く(今回は技術と法律が関係するので2名。本当なら法律系は2名必要なので、3名が望ましい。)
- 一般的来場者向けと復習も兼ねて、事件の流れ・背景・原因や、これまでに判明している事等の事前説明を冒頭に行う。
- 参加者には事実誤認が無いように、事前に事件の詳細な資料等を送付して置く。
は必須だ。そして、[ 建設的な方向 ]という事を考慮すれば、法律系の専門家とは弁護士か検事経験者相当だ。もし、学者を呼ぶのなら、出来る限り現実的で、明解で分かりやすい説明の出来る人物を選択すべきであり、当然、分野も直接の専門家となる。所が[ 法 + 哲学 ]だ。一体、何を議論するつもりだったのだろう( *2 )。
これって何かのジョーク? [ 三菱電機 セキュリティー DIGUARD ]
今回の事件、三菱電機本体も無関係ではないのですが...
中野区議会でのやり取り。
# 9月16日に行った私の一般質問の紹介の続き。最後のテーマは、情報システムの調達・運用について。この件は #librahack タグ付きでご報告します。 7:52 AM Oct 4th HootSuiteから
# まずは #librahack 事件と中野区立中央図書館システムについて。質問1.岡崎市と同様の隠せ巣があった場合に備えてのシステム改修は行っているのか。行っているとすれば費用はどうなっているのか。 7:55 AM Oct 4th HootSuiteから
# 回答1.岡崎市の事件を受けて直ちに改修を行った。費用はシステム開発会社の負担である。 #librahack 7:56 AM Oct 4th HootSuiteから
# 質問2.このパッケージシステムは国会図書館法違反との報道もある。中野区ではその原因となる設定が他の自治体と異なっていたようだが、違反状態となっていないのか。回答2.違法状態とはなっていない。 #librahack 7:58 AM Oct 4th HootSuiteから
# 検索が非常に遅くなる不具合もある。東京都公立図書館横断検索で検索すると中野区だけが結果を取得できない場合がある。本来結果取得を出来るようにするべきだが、せめて「検索結果が多すぎるので検索条件を変更してください」等のメッセージが出るようにするべきではないか。 #librahack 8:00 AM Oct 4th HootSuiteから
# あ、さっきのは質問3です。で、それに対する回答3.蔵書検索の不具合は只今システム改修を行っているところである。 #librahack 8:02 AM Oct 4th HootSuiteから
# 質問4.情報システム調達全般について。システムの調達や改修の際に業者の提案内容の妥当性を第三者の視点でチェックする制度はあるのか。あるとすれば機能していると認識しているか。 #librahack 8:10 AM Oct 4th HootSuiteから
# 回答4.調達ガイドラインを整備している。また、IT知識のある民間有識者を非常勤で活用し、毎年度支援の方法等を改善しつつ運用をしており、機能していると考えている。 #librahack 8:11 AM Oct 4th HootSuiteから
# 質問5.情報システムは非常に技術革新の速い世界でもある。運用中のシステムについても、その機能や性能が現在の観点からみて適切かどうかを随時チェックし、問題があれば改善していく仕組みが必要であると思うが、どうか。 #librahack 8:14 AM Oct 4th HootSuiteから
# 回答5.運用中のシステムについても随時評価を行っているが、それは担当部署による自己評価が中心である。今後、技術的観点からのチェックも充実させていきたい。 #librahack 8:16 AM Oct 4th HootSuiteから
# 後は感想など。まず回答1の「費用は業者負担」という部分と回答3の中に「不具合」という単語が出てきたことを考えると、区は一定程度MDISに責任があったことを認めたことになる。次期システムの調達でMDISと随意契約を結ぶという選択肢を選ぶのは困難になったかな。 #librahack 8:26 AM Oct 4th HootSuiteから
# 回答4については、具体的な成果がこの答弁からは見えてこない。ただし、別で調べたところによるとITコストの低減にはある程度成功している様子。その点では一応及第点かな。 #librahack 8:29 AM Oct 4th HootSuiteから
# 回答5について。これは今回のような、「今から見ると問題ありだけど導入時の技術水準では妥当だったんだよ」という言い訳を今後使わせないための布石。提案に対して一応前向きな答弁を頂いたので、あとはそれが実行されるかどうかを監視し続けるしかない。 #librahack 8:32 AM Oct 4th HootSuiteから
# ということで、今回の件はこれで一区切りにして図書館とは地域の知の交流拠点としての前向きな議論をしていきたい。・・・と思ってたところで個人情報漏えい問題発生ですか。未来志向の議論までの道のりは遠いな… #librahack 8:34 AM Oct 4th HootSuiteから
# @Dullahan 私のツイートへのコメントと理解してご返信いたします。おっしゃる通りなのですが、現在自分のホームページの運用方法が定まっていない状態でして…もうちょっとすれば中野区議会の議事録が公開されるはずなので、公開され次第URLをお知らせします。 8:38 AM Oct 4th webから Dullahan宛
# @keikuma ありがとうございます。それ、本来は議員の仕事ですよね。。。私たちの力不足の尻拭いをしていただいているようで申し訳ないです。中野は調達の体制は整っているけれど実運用上に色々と課題があるのかなと認識しています。 8:40 AM Oct 4th webから keikuma宛
# @HiromitsuTakagi 高木様。引き続きお世話になります。前回頂いた情報、大変参考になりました。本来ならばこれからの図書館のあり方について未来志向の議論をしたいと思っていたのですが、そこまでの道のりは遠そうですね。。。 8:43 AM Oct 4th webから HiromitsuTakagi宛
# @Soukaku 改修日は9月6日だったそうです(月曜が休館日)。改修内容は、「今回のような『大量アクセス』があった場合でもサーバーがダウンしないようにした」とだけ聞いています。 8:45 AM Oct 4th webから Soukaku宛
# @gutei コレ、微妙なんですよね。議会で明確に「違法だ」と追求できる状態でもないので。ただ、それは「たまたま」であって他の自治体では違法となっていた、MDISはそういうシステムを作っていた、ということは認識させないといけませんね。 8:49 AM Oct 4th webから gutei宛
# @gutei すいません、これの詳細教えていただけますか?>岡崎みたいに毎日URLが変更され使い辛さが増えるような対処 8:50 AM Oct 4th webから gutei宛
# @biac ご提案ありがとうございます!とりあえずやってみます。 8:51 AM Oct 4th webから biac宛
# @Soukaku そうですね。1秒に1回は大量じゃないよってのは言っておきました。 8:54 AM Oct 4th webから Soukaku宛
森たかゆき 中野区議会議員 立憲民主党 (@moritakayuki) | Twitter
まあ、岡崎図書館のような冤罪事件を起こしているわけでは無いので、責任追求をして追い詰める( *1 )よりは、未来志向で建設的な方向へ持っていこうとしたら、情報流出という事の様子。
補足
方法としては有るハズなので、やっていないのかと思っていたら、一応は行っている様子。ただ、現時点では機能しているとは言い難い感じだ。
IT知識のある民間有識者を非常勤で活用し、毎年度支援の方法等を改善しつつ運用をしており
森たかゆき 中野区議会議員 立憲民主党 (@moritakayuki) | Twitter
*1:元々、議会そのものが、そういう場では無いようにも取れる。
中野区立図書館も流出。
大方予想されていたように、中野区立図書館からも流出していたようですが、
http://mytown.asahi.com/aichi/news.php?k_id=24000001010150006
http://www3.city.tokyo-nakano.lg.jp/tosho/lib_new/kojin_jyouhou20101015.html
http://www.mdis.co.jp/news/topics/2010/1015.html
プログラム・データを誤ってインターネット上に置き、さらに外部からのアクセスを遮断しておかなかったことから、外部から二人のアクセスがあり、このプログラムをダウンロードしたことにより、データが外部に流出して判明しました。
-- 中略 --
(3) 流出した個人情報を保有している二人に対しては、消去するよう強く要請する
中野区立図書館
補足
Twitterを見ると、中野区立図書館はキチンとした対応をしている様子。なので、Webの記載は対外向けなのかも。
# 中野区立図書館から公文書開示の延長通知が来た。えらい丁寧だし,事情をちゃんと説明してくれたし,文書は正式だし(当然中野区長の印が押されて,担当者の連絡先も明記),これが「業務」ってもんだと思ったね。どっかとは大違いだ。 #librahack 8:36 PM Oct 15th V2Cから
# 中野区も図書館主体っぽいけど真面目に対応しようとしてるし削除要請を断る理由なんかないんで書面きたらホイホイ削除するつもりだけど岡崎は何も言ってこないさみしい #librahack 約9時間前 V2Cから
# 中野区はけっこうオロオロしてたのでまあ落ち着きが無い文章になるのも仕方なかろうとは思うがw #librahack 8:37 PM Oct 19th V2Cから
# なんか,中野区は発表された文書とメールとかでやりとりしてる内容で温度差がすごいなあ^^; とりあえず現場は必死な様子なので,少し様子見。 #librahack 10:33 PM Oct 20th V2Cから
たりき (@Vipper_The_NEET) | Twitter
ようやっと動きだした、岡崎市
ようやっと、岡崎市が動きだした様子。注目点は、主体が[ 図書館 ]から[ 岡崎市 ]に変わっている点。
同市はシステム業者に契約打ち切りの方針を伝えた。解約に伴って生じる費用は業者に負担を求める。
-- 中略 --
同市立図書館のシステムはコンピューター約150台などで構成され、主に2005年契約と08年契約の端末があり、5年リースの契約。05年分は今年9月に5年分の契約を結んだが、すべての契約を解除し、別の業者の選定を始める。
新たなシステムの導入は早くても11年末になる予定で、それまでは現行のシステムを使うが、利用料金は払わない。契約解除に伴う違約金の負担も同社に求める。市はこうした費用負担を一連の問題に対する損害賠償ととらえ、応じない場合は法的措置も辞さないとしている。
http://mytown.asahi.com/aichi/news.php?k_id=24000001010150007
それから、
サイバー攻撃をしたとして利用者が業務妨害容疑で逮捕され、起訴猶予処分になる事件があったが、市は「MDISの対応に問題があった。適切に対処していれば防げた」とした。
http://mytown.asahi.com/aichi/news.php?k_id=24000001010150007
補足
改めて良く読むと、ハードの話のみに終始している感じで、ソフトは対象外のように読める。