パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

図書館システムのMDIS、岡崎市に契約解除される」記事へのコメント

  • 最近飽きちゃったので #Librahack の追っかけはしていませんでしたが、久しぶりにググったら同じシステムを使う中野区立図書館でも情報流出したニュース [asahi.com]が出ていますね。

    中野区の図書館システムに係る個人情報の流出について [tokyo-nakano.lg.jp]

    中野区の図書館システムに2003年現在で登録されていた区民2名分の個人情報が、最近、他の自治体の図書館システム内に混入していたこと、及び九州にある自治体の図書館のシステムを介して、外部に流出していたということが判明しました。
     原因は、2003年にシステム開発を行った際、三菱電機インフォメーションシステムズ株式会社が自社の作業用パソコンを持ち込みテスト作業を行い、テスト完了後、パソコンを持ち帰ったが、この時、データ消去が完全に行われずにプログラムデータの中に個人情報2名分が残存してしまったものです。
     このシステム開発にあたっては、中野区の個人情報保護条例によって、委託業者にも個人情報保護や漏洩防止の義務が課せられており、またこの契約においても個人情報に関する規定が定められているところです。しかし、開発業者が中野区の個人情報をプログラム内に残したまま、そのパソコンを使って、その後に同じシステムを導入した自治体のシステム構築を行ったため、他の自治体のシステム内に混入しました。

    弊社図書館システムにおける個人情報の流出について(お詫び) [mdis.co.jp]

    2010年10月15日

    弊社が開発した図書館システムに図書館利用者様の個人情報が混入、流出し、弊社のパートナー会社が販売、納入したシステムから159名分の個人情報がインターネットを通じダウンロードされた件について9月28日に発表いたしました。

    その後の調査により、更に中野区立図書館様(2名分)の個人情報が、ダウンロードされた情報に含まれていることが判明いたしましたので、お知らせいたします。

    (中略)

    ダウンロードされたデータの確認は全て完了しており、今回判明したもの以外に混入した個人情報はございません。

    なお、弊社は現在、流出原因となった製品への個人情報混入等の詳細について、各図書館様のご了解を得て現地調査を進めており、調査結果を各図書館様にご報告するとともに、再発防止策につき改めて公表する予定です。

    Web ページに対する高頻度アクセス [srad.jp]が取り上げられた後、これほどまで広範囲に一図書館システムの裏側が噴出するとは開発元の MDIS も思っていなかったんじゃないかな。

    こんな話 [srad.jp]もありましたから、いっそ三菱図書館システムMELIL/CS [mdis.co.jp]をオープンソースにしたら、現状よりましなものが出来そうw

    --
    モデレータは基本役立たずなの気にしてないよ
  • たりき氏 [twitter.com]による説明動画ゆっくりわかる岡崎市立中央図書館事件 [nicovideo.jp](音声はミュートにした方がいいかもw)によれば

    問題点2 図書館[14:30-14:45付近]
    ■被害届を出す前に、警察から「処罰を求めるなら出してください」と説明を受けたうえで、組織として利用者を告発した
    ■被害届の提出前に、一部個人情報を警察に渡している

    問題点6 合法性と行為の問題[16:17-16:57]
    ■Librahack氏のクローラは、プログラムとしても合法であり、その使用についても合法であった
     ■2009年7月公布、2010年4月施行の改正国立国会図書館法で定められたクロール頻度に一致
     ■サーバが止まったのは、セッションでDBアクセスを掴んだまま、タイムアウトまで解放しないという構造上の欠陥が主原因

    簡潔にまとめるとこんな感じなのに、岡崎市立中央図書館は警察に逮捕させた一利用者に未だ謝罪なしというのはおかしくないだろうか。

    --
    モデレータは基本役立たずなの気にしてないよ
    • by masakun (31656) on 2010年10月16日 11時01分 (#1841495) 日記

      今まとめサイトを見ていたら岡崎市立中央図書館事件の概要スライド [atwiki.jp]に高画質版が。

      --
      モデレータは基本役立たずなの気にしてないよ
      親コメント
    • by Anonymous Coward

      > 簡潔にまとめるとこんな感じなのに、岡崎市立中央図書館は警察に逮捕させた
      > 一利用者に未だ謝罪なしというのはおかしくないだろうか。

      主観的ながら私も岡崎市立図書館がおかしい、謝罪すべきだと思っています。
      なにをすれば彼の組織を屈服させることができるのか、どなたか知恵を授けてください。

      • by Anonymous Coward on 2010年10月16日 18時37分 (#1841725)

        市のことなら議会を動かせば普通に対応してくれます。市長に頼むか、議員に頼むか、区長に頼むか。ニッチでも金かからない案件なら普通にやってくれますし、そこそこ予算かかる案件でも市として重要だなと皆が思う案件なら結構動いてくれますよ。

        あと重要なのは頭に血が登っていないこと。なにをすれば彼の組織を屈服させることができるのかというレベルの話を持っていかない事だと思います。

        親コメント
      • 屈服させるより、同じミスを繰り返さないようにするために、
        1. 現状でやるべきこと
        2. 問題点はなんだったのか
        3. 今後どうすれば改善されるか
        考えてもらえるように誘導できたほうがいいのでは?

        親コメント
        • 参考までに、各種ニュースからすると、以下の通りです。

          >1. 現状でやるべきこと

          電話(0564-23-3111)連絡せずにアクセスした人がいて、ダウンしたタイミングなら、告訴する。

          >2. 問題点はなんだったのか

          相手が電話(0564-23-3111)連絡せずにアクセスしたこと。

          >3.今後どうすれば改善されるか

          徹底して告訴する。

          ...今の所、こういう回答が岡崎市の図書館館長さんがしているわけです。
          ここから、

          >1. 現状でやるべきこと

          徹底した調査と、図書館側に非があれば、適宜謝罪すること。
          しかし、現状前述の通りなので、彼らは自分らがまったく非が無い=同様事象に同じ
          ことをするでしょう。一切の謝意がない現状は、この状況が続いているわけです。

          >2. 問題点はなんだったのか

          図書館の担当者がなにが間違っていたかを真摯に考えて、問題点を自分らで考えないことには、
          どうせ役人ですから、まったく同じ事でない限り、是正はないでしょう。
          MDISさんから変えたので、次回同様があっても、彼らは同じ行動しかとれません。

          >3. 今後どうすれば改善されるか

          自分で考えて、ちゃんとした事を判断できる程度の知能と知識を得るべきなのですが、
          所詮は、役人さんですから無理な状況です。
          改善のためには、「電話(0564-23-3111)連絡してからアクセスしてくれ」みたいな
          世迷い言を垂れ流す馬鹿を懲戒免職にする。
          また、それに同調した担当者も同じく馘首し、人員を全員入れ替える
          といった手段が適切ではないか?と思います。

          親コメント
          • >3. 今後どうすれば改善されるか
            3.1 搦め手
            元暗い人がつぶやいていたのですが、図書館長の職にあるような幹部の再就職がゆるがない限りトップが何かやり方を変えることはない
            ということなので、図書館側が刑事告訴をしたのは間違いであることを認めてlibrahack氏の名誉回復を速やかに行うことなしでは
            再就職の機会を与えないように市側、議会に働きかける。
            上司のアクションと部下への指示が変われば上を向いて仕事している連中も改めるでしょう。

            // QRコード画像 [twimg.com]に変わったので今は暗くない人と言い直したほうがいいのですかねえ。

            親コメント
          • 人を入れ替えても改善する保証は無いでしょう。
            岡崎市図書館の中の人の対応を見る限り、無知による(恥ずべき)失敗でしょう。
            正しい知識を得れば自然と妥当な対応が取れるようになると思われ…思いたい。できるよね?>岡崎市図書館の中の人
            岡崎市図書館の中の人は、情報リテラシー教育の重要性を示す典型的な事例を作ってくださったのだから、この状況をむしろ利用してほしい。

            # 売り込みをかける人とかいないのか?金になるとおもうんだが。他の組織に対しても。
            # 全国に報道されるくらいの不祥事なんだから予算も下りやすいと思うよ。

            親コメント
            • >人を入れ替えても改善する保証は無いでしょう。

              ま、何をしても改善する保証はないだろうな。
              改善するための基本線として、今の「告発は間違っていなかった」と
              言い張った連中、つまり全職員を馘首/更迭することで、後任も少しは
              考えると思うけどね。

              岡崎市にはそういった人がいるのか?もしかしたら?という不安もあるけどね。

              >正しい知識を得れば自然と妥当な対応が取れるようになると思われ…思いたい。できるよね?>岡崎市図書館の中の人

              無理じゃないかなぁ?電話で問い合わせたところ、
              無理っぽそうでしたよ。

              親コメント
      • >なにをすれば彼の組織を屈服させることができるのか、どなたか知恵を授けてください。

        「屈服」させるのではなくて、きちんと「理解」してもらわないと駄目なんじゃないスカね。
        啓蒙っていうんでしょうか、そういう活動をしないとこの先似たようなケースがまた起きる気がします。
        #わたしもセキュリティのこととか正しく詳しく「理解」しきれていないけど・・・

        親コメント
  • MDISが責任を取った? (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2010年10月16日 16時47分 (#1841658)

    MDISはこれで責任を取らされた形となったが、

    MDISは単に契約解除されただけで、責任を取ったとは言い難いと思いますが、
    タレコミ子はこれで責任を取ったと考えているのでしょうか?

    タレコミ者としてはこれで決着というのはいかがなものかと考えている。

    誰が「これで決着」などと言っているのでしょうか?

    • Re:MDISが責任を取った? (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2010年10月16日 16時50分 (#1841662)
      館長っ!これではますます騒ぎが大きくなってしまいます
      親コメント
    • by xan (25964) on 2010年10月16日 20時51分 (#1841778) 日記

      >MDISは単に契約解除されただけで、責任を取ったとは言い難いと思いますが、
      >タレコミ子はこれで責任を取ったと考えているのでしょうか?

      発生した費用の負担もMDISに求めるということなので、そもそも“契約解除されただけ”、ではないですね。

      というか、MDISは市に対して契約に基づいた責任があるだけではないでしょうか。外野が口出しするような話でもないと思うけど。

      再発防止という意味では原因を追及すべきだけど、ここで書かれた“責任”とは対象が違いますよね。

      親コメント
    • by Anonymous Coward

      librahack氏の名誉回復がなされない限り決着なんてないのでは。
      それ以外に決着なんてないと思う。

      未だに前科付きなんて法治国家が聞いてあきれる。
      そら米軍だって犯罪者であっても引渡したくないと考えるよ。
      国より党を優先する連中がのさばっているようでは当分厳しい気がしますが。
      # 放置国家とか下らないレス付けないように。

      • by Anonymous Coward

        日本の政党政治史はかじった程度ですが、党より国を優先する政党って一瞬なりと存在したんですか?

        • >党より国を優先する政党って一瞬なりと存在したんですか?
          少なくとも,一昨年の麻生政権はそーなんじゃないかと。
          まあ,「生き残りたい」自民党のもろもろの人たちが見苦しかったので,
          政党全体としてはアレだったかもしれませんね。

          親コメント
        • by Anonymous Coward

          昔はいたとおもいますよ。実際、日本は発展できましたし。
          ただここ30〜40年くらいは皆無と言っていいみたいですが。

    • by Anonymous Coward

      タレコミ子ではありません。

      > MDISは単に契約解除されただけで、責任を取ったとは言い難いと思いますが、
      > タレコミ子はこれで責任を取ったと考えているのでしょうか?

      そういうことが多々あります。少なくとも日本では。

      > 誰が「これで決着」などと言っているのでしょうか?

      社会的にはそう見えます。少なくとも日本では。

      でも、キチンと社会責任を果たして貰いたいですよね。

  • 実名報道 (スコア:3, 興味深い)

    by Anonymous Coward on 2010年10月16日 19時51分 (#1841749)
    確かこのLibrahack氏の事件は逮捕後、実名報道されていましたよね?
    『逮捕=有罪ではない』という考えの国民がどれほどいるのだろうか?

    俺は、実名報道は行き過ぎだった思う。

    でも、Librahack氏は無罪とはなっていない為、誰も謝罪などしないのだろうな。
  • ネット (スコア:3, 興味深い)

    by Anonymous Coward on 2010年10月16日 20時37分 (#1841772)
    ネットが無ければ、ネームバリューの力で
    三菱側とお役所側の言い分だけが通ってただろうと思うと
    恐いもんがありますねえ。

    図書館1つと契約切られたって、
    一般的なネームバリューとしての「三菱」があるから
    痛くもかゆくもないんでしょうな。
    あるいは、ほとぼりが冷めた頃に再契約とか。
    • Re:ネット (スコア:3, おもしろおかしい)

      by Anonymous Coward on 2010年10月16日 22時07分 (#1841813)

      >ネットが無ければ、
      ネットが無ければ、そもそも起こらなかった事件だという気がしなくも無いです。

      親コメント
  • 怖いから聞きたくないけど。
  • by houji-tea (31727) on 2010年10月16日 20時30分 (#1841767) 日記
    岡崎市立図書館の責任ってなんだ

    ITの知識がなかったこと?
    WEBアクセスの常識がなかったこと?
    ISPに通報すれば対処してくれることを知らなかったこと?

    知識をもった担当者を抱えているところのほうが圧倒的に少ないと思うな
    取締り側の審査体制が問題なだけで
    岡崎市立図書館に責任なんぞまったくないと思うが違うのか

    だいたい1万アクセス/日ぐらいあるWEBサイトの管理者でも同じ奴から毎秒永遠とアクセスされたら
    サービスに影響もなくても不審に思うだろ
    岡崎市立図書館のWEBなんか1000アクセス/日もないんじゃないの?
    そんなサイトに毎秒アクセスしたらDDOSと間違えられるかもしれんと想像できないIT技術者も
    それはそれでどうなんだ?
    • by Anonymous Coward on 2010年10月16日 20時33分 (#1841769)

      なにか間違えた対応をしたあとの改め方を知らないことでは?

      親コメント
    • by bero (5057) on 2010年10月17日 16時01分 (#1842080) 日記

      あなたはWEBサイトを管理した経験がありませんね?
      そういうアクセスは普通にありますよ。各検索エンジンの自動収集ロボットから。
      マイナーなサイトでも検索エンジンにヒットするのは、マイナーなサイトにも収集にきてるおかげ。

      MDISではロボットを全てはじくことで対処していたようですが、
      高木氏の指摘 [takagi-hiromitsu.jp]によると、
      今年4月1日から「国会図書館のロボットが収集に行くから対応しとけ」という法律ができたらしいので、
      単にはじくのではなく、少なくとも国会図書館のロボットのアクセスに耐えられるだけの対応は必要だったはず。

      それと、知識がないから責任がないというのはどうか。
      例えば法的な問題なら、担当者に知識がなければ行政庁内弁護士なり顧問弁護士?なり知識のある人に聞くはず。
      仮に嘘を教えるような弁護士がいて、それに基づいて施策したとしたら、対外的にはその施策について、内部的にはそのような弁護士に任命したことについて、やっぱり責任を追求されるんじゃないかな

      親コメント
    • by firewheel (31280) on 2010年10月16日 22時14分 (#1841818)

      >だいたい1万アクセス/日ぐらいあるWEBサイトの管理者でも同じ奴から毎秒永遠とアクセスされたら
      >サービスに影響もなくても不審に思うだろ

      奇妙には思っても、不審には思わんと思う。
      仮に思ったとしても、「奇妙に思う」のと「犯罪と断定して被害届を出す」とでは雲泥の差。

      >知識をもった担当者を抱えているところのほうが圧倒的に少ないと思うな

      知識がないくせに、素人判断だけで、どうやって犯罪と断定したの?
      無知ならばこそ、まずは専門家に相談するのが筋。

      その手順をすっぽかすのは図書館側の勝手だが、
      それで発生した損害についても図書館側の自己責任であるべき。

      親コメント
    • by Anonymous Coward on 2010年10月17日 0時15分 (#1841865)

      MELIL/CSの欠陥でセッションが開放されなくなるのに、不正アクセスであるかのように偽ったのはMDIS。
      保守をしてたのもアクセス解析をしたのも警察に提出するログを渡したのもMDIS。

      しかし警察に相談し、その後不正大量アクセスとして訴えたのは、あくまでも図書館の判断。
      仮に、MDISに騙されたのであれば、そのように発表すれば批判されることも無かった筈。
      だがそうしなかった以上、騙されたわけでも唆されたわけでもなく自らの判断で訴えたか、あるいはMDISのせいにすれば損失を被るような何らかの依存関係があったということだ。

      どちらにしても無実の人間を訴え、MELIL/CSの欠陥だとわかった後も何の謝罪もせず、それどころかいまだに正当化ばかりを繰り返している事の責任は重大だと思う。

      親コメント
    • >岡崎市立図書館に責任なんぞまったくないと思うが違うのか

      何の責任かにより変わりますが、情報流出の責任なら、流出元の管理者(正確には入力元か)ではないでしょうか。文字通り管理者ですから。管理能力がないのに管理者をやった責任…だったらなおさら図書館にあるように思えます。

      業者への責任追及なんかは内側でやってもらえば良いだけの話です。

      親コメント
    • 通常のアクセスでダウンするような、
      MDISのシステムを採用した事が過ちであったわけだから、
      MDISと契約解除したことによって、
      図書館としての責任は果たしたといえるのでは?
      親コメント
    • 「まともな」「それなりに業界の事情を把握している」エンジニアなら
      200 を返すコンテンツにアクセスするようなリクエストは毎秒あっても不信には思わない
      個人でクローラ作ってる人なんていくらでもいるだろうし

      403や404、500を返すようなリクエストなら不審に思うべきでしょうけど
      親コメント
    • >だいたい1万アクセス/日ぐらいあるWEBサイトの管理者でも同じ奴から毎秒永遠とアクセスされたら
      >サービスに影響もなくても不審に思うだろ
      おもわないよ。

      >そんなサイトに毎秒アクセスしたらDDOSと間違えられるかもしれんと想像できないIT技術者も
      同じやつからのアクセスをDDOSと間違えるような管理者は管理者になる域に達していないことは間違いない。

      親コメント
  • 警察も検察もやりたい放題では法治国家とは言えぬ
  • 新しい図書館でしたし、
    蔵書も多くて駐車場もそれなりにあり、
    地方都市の図書館都市ては非常に便利でした。

    # あんなのやこんなのを借りたのが公開されてたりしたらどうしよう・・・
    --
    答えはある。それを見つける能力が無いだけだ。

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...