図書館システムのMDIS、岡崎市に契約解除される 94
ストーリー by kazekiri
そしてうやむやに 部門より
そしてうやむやに 部門より
あるAnonymous Coward 曰く、
asahi.comによると、librahack事件や個人情報流出事件のあった岡崎市立図書館が、MDISに対して契約解除の方針を伝えたようだ。
MDISはこれで責任を取らされた形となったが、岡崎市立図書館の責任はどうなるのだろうか。タレコミ者としてはこれで決着というのはいかがなものかと考えている。
中野区立図書館でも個人情報流出が確認された(2010年10月15日) (スコア:5, 参考になる)
最近飽きちゃったので #Librahack の追っかけはしていませんでしたが、久しぶりにググったら同じシステムを使う中野区立図書館でも情報流出したニュース [asahi.com]が出ていますね。
中野区の図書館システムに係る個人情報の流出について [tokyo-nakano.lg.jp]
弊社図書館システムにおける個人情報の流出について(お詫び) [mdis.co.jp]
Web ページに対する高頻度アクセス [srad.jp]が取り上げられた後、これほどまで広範囲に一図書館システムの裏側が噴出するとは開発元の MDIS も思っていなかったんじゃないかな。
こんな話 [srad.jp]もありましたから、いっそ三菱図書館システムMELIL/CS [mdis.co.jp]をオープンソースにしたら、現状よりましなものが出来そうw
モデレータは基本役立たずなの気にしてないよ
今回判明したもの以外に混入した個人情報はございません(キリッ (スコア:3, 参考になる)
言い切りますか!? 言い切っちゃって大丈夫?
…ほら、出たw
http://twitter.com/Vipper_The_NEET/status/27398538544 [twitter.com]
@Vipper_The_NEET: 「ダウンロードされたデータの確認は全て完了しており、今回判明したもの以外に混入した個人情報はございません。」 おかしいな,たった今えびのの38件を発見したんだけど( ´ー`)y-~~~ (10月15日 10:51 AM)
http://twitter.com/Vipper_The_NEET/statuses/27518029011 [twitter.com]
@Vipper_The_NEET: 【速報】新たに発見した中野区立図書館からの情報流出件数は50件,重複を除くと48名の住所氏名借りた本の書名がありました。ヽ(`д´)ノこれが調査というもんじゃああああ #librahack (10月16日 3:25 PM)
※ 「弊社図書館システムにおける個人情報の流出について(お詫び)」 は近日中に消滅するか「改竄」されると予想されるので、魚拓 http://megalodon.jp/2010-1015-1034-34/www.mdis.co.jp/news/topics/2010/... [megalodon.jp]
Re:今回判明したもの以外に混入した個人情報はございません(キリッ (スコア:1)
>> ダウンロードされたデータの確認は全て完了しており、今回判明したもの以外に混入した個人情報はございません。
ちゃんと補完して読もうぜ。
「ダウンロードされたデータの確認は(分かる分は)全て完了しており(
(いや、ログ取ってないアクセスもあるんだけどそれは判んないでしょ))、
今回判明したもの以外に混入した個人情報は(判る筈も)ございません。
Re:中野区立図書館でも個人情報流出が確認された(2010年10月15日) (スコア:1)
岡崎市立図書館の責任はどうなるのだろうか。 (スコア:4, 参考になる)
たりき氏 [twitter.com]による説明動画ゆっくりわかる岡崎市立中央図書館事件 [nicovideo.jp](音声はミュートにした方がいいかもw)によれば
簡潔にまとめるとこんな感じなのに、岡崎市立中央図書館は警察に逮捕させた一利用者に未だ謝罪なしというのはおかしくないだろうか。
モデレータは基本役立たずなの気にしてないよ
岡崎とMDISのどちらからも個人情報の削除依頼が出ていないらしい (スコア:3, 興味深い)
http://twitter.com/#!/Vipper_The_NEET/status/27336082003 [twitter.com]
http://twitter.com/#!/Vipper_The_NEET/status/27397412731 [twitter.com]
http://twitter.com/#!/Vipper_The_NEET/status/27526326401 [twitter.com]
怖
高画質版があった(汗) (スコア:2, 参考になる)
今まとめサイトを見ていたら岡崎市立中央図書館事件の概要スライド [atwiki.jp]に高画質版が。
モデレータは基本役立たずなの気にしてないよ
Re:高画質版があった(汗) (スコア:1, 参考になる)
ニコニコ動画向けに作ったので,煽り分大目にニコニコでよくあるネタを入れました。
音声合成(ゆっくり声/SofTalk)でナレーションつけた段階でそうなる方向に・・・
Re: (スコア:0)
> 簡潔にまとめるとこんな感じなのに、岡崎市立中央図書館は警察に逮捕させた
> 一利用者に未だ謝罪なしというのはおかしくないだろうか。
主観的ながら私も岡崎市立図書館がおかしい、謝罪すべきだと思っています。
なにをすれば彼の組織を屈服させることができるのか、どなたか知恵を授けてください。
Re:岡崎市立図書館の責任はどうなるのだろうか。 (スコア:2, 参考になる)
市のことなら議会を動かせば普通に対応してくれます。市長に頼むか、議員に頼むか、区長に頼むか。ニッチでも金かからない案件なら普通にやってくれますし、そこそこ予算かかる案件でも市として重要だなと皆が思う案件なら結構動いてくれますよ。
あと重要なのは頭に血が登っていないこと。なにをすれば彼の組織を屈服させることができるのかというレベルの話を持っていかない事だと思います。
Re:岡崎市立図書館の責任はどうなるのだろうか。 (スコア:1)
屈服させるより、同じミスを繰り返さないようにするために、
1. 現状でやるべきこと
2. 問題点はなんだったのか
3. 今後どうすれば改善されるか
考えてもらえるように誘導できたほうがいいのでは?
Re:岡崎市立図書館の責任はどうなるのだろうか。 (スコア:1, 参考になる)
参考までに、各種ニュースからすると、以下の通りです。
>1. 現状でやるべきこと
電話(0564-23-3111)連絡せずにアクセスした人がいて、ダウンしたタイミングなら、告訴する。
>2. 問題点はなんだったのか
相手が電話(0564-23-3111)連絡せずにアクセスしたこと。
>3.今後どうすれば改善されるか
徹底して告訴する。
...今の所、こういう回答が岡崎市の図書館館長さんがしているわけです。
ここから、
>1. 現状でやるべきこと
徹底した調査と、図書館側に非があれば、適宜謝罪すること。
しかし、現状前述の通りなので、彼らは自分らがまったく非が無い=同様事象に同じ
ことをするでしょう。一切の謝意がない現状は、この状況が続いているわけです。
>2. 問題点はなんだったのか
図書館の担当者がなにが間違っていたかを真摯に考えて、問題点を自分らで考えないことには、
どうせ役人ですから、まったく同じ事でない限り、是正はないでしょう。
MDISさんから変えたので、次回同様があっても、彼らは同じ行動しかとれません。
>3. 今後どうすれば改善されるか
自分で考えて、ちゃんとした事を判断できる程度の知能と知識を得るべきなのですが、
所詮は、役人さんですから無理な状況です。
改善のためには、「電話(0564-23-3111)連絡してからアクセスしてくれ」みたいな
世迷い言を垂れ流す馬鹿を懲戒免職にする。
また、それに同調した担当者も同じく馘首し、人員を全員入れ替える
といった手段が適切ではないか?と思います。
Re:岡崎市立図書館の責任はどうなるのだろうか。 (スコア:2, 興味深い)
>3. 今後どうすれば改善されるか
3.1 搦め手
元暗い人がつぶやいていたのですが、図書館長の職にあるような幹部の再就職がゆるがない限りトップが何かやり方を変えることはない
ということなので、図書館側が刑事告訴をしたのは間違いであることを認めてlibrahack氏の名誉回復を速やかに行うことなしでは
再就職の機会を与えないように市側、議会に働きかける。
上司のアクションと部下への指示が変われば上を向いて仕事している連中も改めるでしょう。
// QRコード画像 [twimg.com]に変わったので今は暗くない人と言い直したほうがいいのですかねえ。
Re:岡崎市立図書館の責任はどうなるのだろうか。 (スコア:1)
人を入れ替えても改善する保証は無いでしょう。
岡崎市図書館の中の人の対応を見る限り、無知による(恥ずべき)失敗でしょう。
正しい知識を得れば自然と妥当な対応が取れるようになると思われ…思いたい。できるよね?>岡崎市図書館の中の人
岡崎市図書館の中の人は、情報リテラシー教育の重要性を示す典型的な事例を作ってくださったのだから、この状況をむしろ利用してほしい。
# 売り込みをかける人とかいないのか?金になるとおもうんだが。他の組織に対しても。
# 全国に報道されるくらいの不祥事なんだから予算も下りやすいと思うよ。
Re:岡崎市立図書館の責任はどうなるのだろうか。 (スコア:1)
>人を入れ替えても改善する保証は無いでしょう。
ま、何をしても改善する保証はないだろうな。
改善するための基本線として、今の「告発は間違っていなかった」と
言い張った連中、つまり全職員を馘首/更迭することで、後任も少しは
考えると思うけどね。
岡崎市にはそういった人がいるのか?もしかしたら?という不安もあるけどね。
>正しい知識を得れば自然と妥当な対応が取れるようになると思われ…思いたい。できるよね?>岡崎市図書館の中の人
無理じゃないかなぁ?電話で問い合わせたところ、
無理っぽそうでしたよ。
Re:岡崎市立図書館の責任はどうなるのだろうか。 (スコア:1)
>なにをすれば彼の組織を屈服させることができるのか、どなたか知恵を授けてください。
「屈服」させるのではなくて、きちんと「理解」してもらわないと駄目なんじゃないスカね。
啓蒙っていうんでしょうか、そういう活動をしないとこの先似たようなケースがまた起きる気がします。
#わたしもセキュリティのこととか正しく詳しく「理解」しきれていないけど・・・
MDISが責任を取った? (スコア:3, すばらしい洞察)
MDISは単に契約解除されただけで、責任を取ったとは言い難いと思いますが、
タレコミ子はこれで責任を取ったと考えているのでしょうか?
誰が「これで決着」などと言っているのでしょうか?
Re:MDISが責任を取った? (スコア:2, おもしろおかしい)
Re:MDISが責任を取った? (スコア:1)
>MDISは単に契約解除されただけで、責任を取ったとは言い難いと思いますが、
>タレコミ子はこれで責任を取ったと考えているのでしょうか?
発生した費用の負担もMDISに求めるということなので、そもそも“契約解除されただけ”、ではないですね。
というか、MDISは市に対して契約に基づいた責任があるだけではないでしょうか。外野が口出しするような話でもないと思うけど。
再発防止という意味では原因を追及すべきだけど、ここで書かれた“責任”とは対象が違いますよね。
Re: (スコア:0)
librahack氏の名誉回復がなされない限り決着なんてないのでは。
それ以外に決着なんてないと思う。
未だに前科付きなんて法治国家が聞いてあきれる。
そら米軍だって犯罪者であっても引渡したくないと考えるよ。
国より党を優先する連中がのさばっているようでは当分厳しい気がしますが。
# 放置国家とか下らないレス付けないように。
Re: (スコア:0)
日本の政党政治史はかじった程度ですが、党より国を優先する政党って一瞬なりと存在したんですか?
Re:MDISが責任を取った? (スコア:2)
>党より国を優先する政党って一瞬なりと存在したんですか?
少なくとも,一昨年の麻生政権はそーなんじゃないかと。
まあ,「生き残りたい」自民党のもろもろの人たちが見苦しかったので,
政党全体としてはアレだったかもしれませんね。
Re: (スコア:0)
昔はいたとおもいますよ。実際、日本は発展できましたし。
ただここ30〜40年くらいは皆無と言っていいみたいですが。
Re: (スコア:0)
タレコミ子ではありません。
> MDISは単に契約解除されただけで、責任を取ったとは言い難いと思いますが、
> タレコミ子はこれで責任を取ったと考えているのでしょうか?
そういうことが多々あります。少なくとも日本では。
> 誰が「これで決着」などと言っているのでしょうか?
社会的にはそう見えます。少なくとも日本では。
でも、キチンと社会責任を果たして貰いたいですよね。
実名報道 (スコア:3, 興味深い)
『逮捕=有罪ではない』という考えの国民がどれほどいるのだろうか?
俺は、実名報道は行き過ぎだった思う。
でも、Librahack氏は無罪とはなっていない為、誰も謝罪などしないのだろうな。
ネット (スコア:3, 興味深い)
三菱側とお役所側の言い分だけが通ってただろうと思うと
恐いもんがありますねえ。
図書館1つと契約切られたって、
一般的なネームバリューとしての「三菱」があるから
痛くもかゆくもないんでしょうな。
あるいは、ほとぼりが冷めた頃に再契約とか。
Re:ネット (スコア:3, おもしろおかしい)
>ネットが無ければ、
ネットが無ければ、そもそも起こらなかった事件だという気がしなくも無いです。
MDISの開発責任者さんは、どうなったのでしょう・・・ (スコア:2)
Re:MDISの開発責任者さんは、どうなったのでしょう・・・ (スコア:2)
あるいは要件定義までで、
その後は、外注、孫外注で誰が開発責任者かよく分からない
といったところじゃないでしょうかね。
当然、成果物の試験とか、検収なんかは適当にやったとか、書類上だけとか
そもそも内部統制が全然働いていないといったあたりが
MDISに限らず、日本のベンダーの実力だと思いますが。
Re: (スコア:0)
リコール隠しなんて、SIビジネスだけに限らないよ。 [jst.go.jp]
それは内部統制がどうのというより、企業体質の問題なんだよね。
Re:MDISの開発責任者さんは、どうなったのでしょう・・・ (スコア:1, 興味深い)
なんかすごいこと書かれてますね。
Re:MDISの開発責任者さんは、どうなったのでしょう・・・ (スコア:1)
そもそも開発責任者がMDISの社員であるとは限らないわけで。
「開発が終わった段階で開発者は全員契約終了。或いはリーマンショックで派遣切り。
今ではMDISには開発に関わった者は一人も残っておらず、バグを修正しようにも手も
足も出ません」
ということも良くあるよね。
Re:MDISの開発責任者さんは、どうなったのでしょう・・・ (スコア:2, すばらしい洞察)
その下で実際に開発に従事したのが全員外注であったとしても
Re: (スコア:0)
> MDISの製品として出す以上、責任者はMDISの人間でしょ
建前としてはね。
開発責任者の名刺だけはMDISだけど実際は外注とか、そんなに珍しい話でもない。
しかし真の責任者はMDISの経営者なんだから、経営者だけは責任を免れることは
できないでしょう。あくまで建前では。
Re: (スコア:0)
世の中には瑕疵担保責任ってのがあってだなあ。。。
ただ、法的に追求される責任ってのは素人が想像するのと比較するとかなり限定
されるんで、実質的にはあんまり損害賠償請求できないんだろうな。
ええと、いかにして一年間ばっくれるかを結構考えていた立場な時期もあったので、ああ、そうですねよくないですね。。。。
Re:MDISの開発責任者さんは、どうなったのでしょう・・・ (スコア:1, 興味深い)
逃げ切りました [mdis.co.jp]
Re:MDISの開発責任者さんは、どうなったのでしょう・・・ (スコア:1)
岡崎市立図書館の責任ってなんだ (スコア:1, 興味深い)
ITの知識がなかったこと?
WEBアクセスの常識がなかったこと?
ISPに通報すれば対処してくれることを知らなかったこと?
知識をもった担当者を抱えているところのほうが圧倒的に少ないと思うな
取締り側の審査体制が問題なだけで
岡崎市立図書館に責任なんぞまったくないと思うが違うのか
だいたい1万アクセス/日ぐらいあるWEBサイトの管理者でも同じ奴から毎秒永遠とアクセスされたら
サービスに影響もなくても不審に思うだろ
岡崎市立図書館のWEBなんか1000アクセス/日もないんじゃないの?
そんなサイトに毎秒アクセスしたらDDOSと間違えられるかもしれんと想像できないIT技術者も
それはそれでどうなんだ?
Re:岡崎市立図書館の責任ってなんだ (スコア:5, すばらしい洞察)
なにか間違えた対応をしたあとの改め方を知らないことでは?
Re:岡崎市立図書館の責任ってなんだ (スコア:5, 興味深い)
あなたはWEBサイトを管理した経験がありませんね?
そういうアクセスは普通にありますよ。各検索エンジンの自動収集ロボットから。
マイナーなサイトでも検索エンジンにヒットするのは、マイナーなサイトにも収集にきてるおかげ。
MDISではロボットを全てはじくことで対処していたようですが、
高木氏の指摘 [takagi-hiromitsu.jp]によると、
今年4月1日から「国会図書館のロボットが収集に行くから対応しとけ」という法律ができたらしいので、
単にはじくのではなく、少なくとも国会図書館のロボットのアクセスに耐えられるだけの対応は必要だったはず。
それと、知識がないから責任がないというのはどうか。
例えば法的な問題なら、担当者に知識がなければ行政庁内弁護士なり顧問弁護士?なり知識のある人に聞くはず。
仮に嘘を教えるような弁護士がいて、それに基づいて施策したとしたら、対外的にはその施策について、内部的にはそのような弁護士に任命したことについて、やっぱり責任を追求されるんじゃないかな
Re:岡崎市立図書館の責任ってなんだ (スコア:3, すばらしい洞察)
>だいたい1万アクセス/日ぐらいあるWEBサイトの管理者でも同じ奴から毎秒永遠とアクセスされたら
>サービスに影響もなくても不審に思うだろ
奇妙には思っても、不審には思わんと思う。
仮に思ったとしても、「奇妙に思う」のと「犯罪と断定して被害届を出す」とでは雲泥の差。
>知識をもった担当者を抱えているところのほうが圧倒的に少ないと思うな
知識がないくせに、素人判断だけで、どうやって犯罪と断定したの?
無知ならばこそ、まずは専門家に相談するのが筋。
その手順をすっぽかすのは図書館側の勝手だが、
それで発生した損害についても図書館側の自己責任であるべき。
Re:岡崎市立図書館の責任ってなんだ (スコア:1, すばらしい洞察)
>一般人にとっちゃ、警察やMDISが「専門家」に当たるんじゃまいか。
警察はITの専門家ではないし、図書館も「犯人」探しと処罰を求めて相談している。
>適切に対応するにはどうすべきなんだろうな、と悩んでしまう。
・記録を残す 業者とのやり取りはもちろん、トラブルの経緯もその場でメモをとる。相手任せにしてはいけない。
・癒着しない リベートや接待、付け届けも断る。疑問があれば納得いく回答を要求するために、馴れ合ってはいけない。
・間違いは正す 自分達の行動に間違いがあればまず謝罪し、その上で騙されていたなら業者の責任を追求する。
世間ではこのくらいの事は守らなけいと不適切な対応と言われる。
図書館は社会通念上不適切な対応をしているのだから同情の余地は無い。
>弱者が搾取されるのは仕方のないことなのかな?
Librahack氏のことなら弱者だが搾取はされていない筈。
岡崎市民は納税者として搾取されているが弱者ではない筈。
図書館は弱者では無いし、搾取の片棒を担いでいる。
Re:岡崎市立図書館の責任ってなんだ (スコア:2, すばらしい洞察)
MELIL/CSの欠陥でセッションが開放されなくなるのに、不正アクセスであるかのように偽ったのはMDIS。
保守をしてたのもアクセス解析をしたのも警察に提出するログを渡したのもMDIS。
しかし警察に相談し、その後不正大量アクセスとして訴えたのは、あくまでも図書館の判断。
仮に、MDISに騙されたのであれば、そのように発表すれば批判されることも無かった筈。
だがそうしなかった以上、騙されたわけでも唆されたわけでもなく自らの判断で訴えたか、あるいはMDISのせいにすれば損失を被るような何らかの依存関係があったということだ。
どちらにしても無実の人間を訴え、MELIL/CSの欠陥だとわかった後も何の謝罪もせず、それどころかいまだに正当化ばかりを繰り返している事の責任は重大だと思う。
Re:岡崎市立図書館の責任ってなんだ (スコア:1)
>岡崎市立図書館に責任なんぞまったくないと思うが違うのか
何の責任かにより変わりますが、情報流出の責任なら、流出元の管理者(正確には入力元か)ではないでしょうか。文字通り管理者ですから。管理能力がないのに管理者をやった責任…だったらなおさら図書館にあるように思えます。
業者への責任追及なんかは内側でやってもらえば良いだけの話です。
Re:岡崎市立図書館の責任ってなんだ (スコア:1)
個人情報流出事件はその通り
Re:岡崎市立図書館の責任ってなんだ (スコア:1)
MDISのシステムを採用した事が過ちであったわけだから、
MDISと契約解除したことによって、
図書館としての責任は果たしたといえるのでは?
Re:岡崎市立図書館の責任ってなんだ (スコア:1)
200 を返すコンテンツにアクセスするようなリクエストは毎秒あっても不信には思わない
個人でクローラ作ってる人なんていくらでもいるだろうし
403や404、500を返すようなリクエストなら不審に思うべきでしょうけど
Re:岡崎市立図書館の責任ってなんだ (スコア:1)
>だいたい1万アクセス/日ぐらいあるWEBサイトの管理者でも同じ奴から毎秒永遠とアクセスされたら
>サービスに影響もなくても不審に思うだろ
おもわないよ。
>そんなサイトに毎秒アクセスしたらDDOSと間違えられるかもしれんと想像できないIT技術者も
同じやつからのアクセスをDDOSと間違えるような管理者は管理者になる域に達していないことは間違いない。
そろそろ警察が責任を取れる体制が必要 (スコア:1)
去年まで岡崎市立図書館のユーザーでした (スコア:1)
蔵書も多くて駐車場もそれなりにあり、
地方都市の図書館都市ては非常に便利でした。
# あんなのやこんなのを借りたのが公開されてたりしたらどうしよう・・・
答えはある。それを見つける能力が無いだけだ。