パスワードを忘れた? アカウント作成
258739 submission
情報漏洩

クローラ事件で話題の岡崎市立中央図書館、今度は利用者情報の流出事件 100

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
先日、岡崎市立中央図書館のWebサイトに対しクローラで連続アクセスした男が逮捕される、という事件があったが、毎日新聞によると、この岡崎市立中央図書館で今度は個人情報の流出事件が発覚したそうだ。

流出したのは利用者163人分の名前や年齢、電話番号、借りた本のタイトル、貸出日など。

ソフトを開発した三菱電機インフォメーションシステムズ(東京)によると、同図書館が最初のソフト販売先だった。岡崎市の利用者の個人情報を誤って残したまま、ソフトをほかの全国37の公立図書館に販売してしまったという。宮崎県えびの市と福岡県篠栗町の図書館のホームページ(HP)から、岡崎市の個人情報がダウンロードされたことが確認された。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by masakun (31656) on 2010年09月28日 13時55分 (#1831484) 日記

    rxk14007の日記 [srad.jp]にもコメントしましたが、たりき氏のつぶやき [twitter.com]によりますと

    @HiromitsuTakagi 微妙に数合わないですけど,えびの経由で岡崎の個人情報(氏名と電話番号)のリストを得ました。えびののデータの Melil\work にある MZ1100_WORK.mdb を開くと159名分印刷されます。

    で、福岡県篠栗町の図書館サイトにも同一データがあったこととのこと。利用者の人数が毎日の報道と異なるものの、こんな形で三菱図書館システムMELIL/CS [mdis.co.jp]に岡崎市の個人情報がもれなくオマケされていたのは確認されているそうで・・・

    ここまで書いて、ふと見ると
    たりき氏のつぶやき [twitter.com]

    (>´A`)> ィャァァァァァァァァァァァ 1800人分見つけてしもたああああああ

    さらに被害が拡大しそうな予感。

  • 天罰覿面 (スコア:4, 興味深い)

    by saitoh (10803) on 2010年09月28日 21時39分 (#1831771)
    これって結局、クローラ事件の余波なんだよね。 クローラー事件で、buggyなシステムで無実のヒトが20日間(だったっけ?)勾留された元凶でありながら無傷で済みそうだったMDIS。岡崎図書館の今冬のリプレースでも、またぞろ随意契約で再採用されそうになっていた。

    ところが、これを契機に多くの人がよってたかってMDISのシステムの分析を初めて、データベースコネクションの溢れだという欠陥の真相が念力でバッグで指摘された。でさらに解析は続けられ、同じMDISのシステムを使っている他の図書館のWEBとの比較なんかをしてたら、「個人情報ごと流用」が見つかったと。 その話題がツイッターの#librahackで流れてたのが先々週だったとおもう。指摘されるつどWEBを書き換えてコピペの痕跡を消してたみたいだけど、ついに観念して記者会見を開いたのが今日、と。

    さすがに岡崎図書館も損害賠償とか入札資格停止とかいいだしたみたい。 なんつーか、開発チームがアホなだけでなくて、導入運用部隊もタコで、自分で撒いた種、そのものですな。

    • by saitoh (10803) on 2010年09月29日 10時00分 (#1831948)
      そこがお役人のずるいところと言うか。徹底的に自分の手は動かさずに外注にするのは、中途半端に管理能力を持って関与してるとトラブったときに自分に累が及ぶから。金だけ出して丸投げしてるのは、責任も丸投げするためですな。
      親コメント
  • by NOBAX (21937) on 2010年09月28日 15時36分 (#1831548)
    三菱電機インフォメーションシステムズが自分で開発するとは思えない。
    元請けがやるのは、会議と外注伝票書くことだけじゃないかな。
    名もない下請けのミスでしょう。
    監理できない三菱の責任は免れませんが、監理能力なんて元々あるわけないしね。
    • by Anonymous Coward on 2010年09月28日 15時50分 (#1831558)

      こういうとき表向きMDISの責任になることで下請け企業は名前を出せない代わりに倒産もしないというのがITゼネコンの存在意義なんだからそれでいいでしょ。ここで下請けに責任を押し付けるようだったらMDISに発注するのは本当に金の無駄以外の何者でもないけど。

      親コメント
      • by Anonymous Coward on 2010年09月28日 16時16分 (#1831578)

        というか、本当にMDIS側の責任だと思うんだが。

        「こういう風に作れ」と言われたら下請けはそれに逆らえない。
        期間、費用、人数、開発者のスキル、さらには仕様変更の回数まで、
        全部元請けの命令で決まるもの。現場の意見は無視される。

        品質はその結果にすぎません。

        親コメント
    • by Anonymous Coward on 2010年09月28日 16時25分 (#1831589)

      というか、下請けが作ったものをどう管理するかはMDISの責任においてすることでしょ?

      親コメント
  • by ikotom (20155) on 2010年09月28日 16時23分 (#1831586)

    http://www.mdis.co.jp/news/press/2010/0928.html [mdis.co.jp]

    1. 経緯
    岡崎市立中央図書館様のシステム調整・試験を行った際、プログラムライブラリの修正結果を元のプログラムライブラリに反映させました。
    岡崎市立中央図書館様の個人情報データが残存していることに気付かず、製品版として、他の図書館様に納入しておりました。

    ということらしい。

    • by saitoh (10803) on 2010年09月28日 21時56分 (#1831780)
      このプレスリリースだと、岡崎→他の全部 という親子関係しか説明されてませんね。 実際は 広陵町/中野区/小田原市/府中市の四箇所が酷似してる、可児市のソースが瑞浪市に転用されている、神奈川県相模原市→静岡県藤枝市→宮崎県日南市→福岡県豊前市→宮崎県えびの市→福岡県篠栗町へとコピーが繰り返されたらしい、とか一杯証拠(たとえば、瑞浪市の図書館システムのトップページに書換え漏れの「可児市」の文字が)がみつかってます。 なので、導入済みシステムを丸ごとコピーして他の新規導入先へ、という行為が通常のインストール手順であったのではないでしょうか。
      親コメント
    • by Anonymous Coward on 2010年09月28日 19時03分 (#1831675)

      お詫びにしては珍しく、総イメージではなく検索エンジンの対象になるテキスト文書だな。後で黒歴史として葬る気が見えないところは評価する。

      親コメント
    • by Anonymous Coward on 2010年09月28日 20時50分 (#1831743)
      なんで納品済みのプログラムをコピーしてきて、
      それを自社のオリジナルへ反映させる必要があったのだろう……。
      (オリジナルは弄らず、運用中のプログラム側のみ弄ってたってこと?)

      それと、この話からすると岡崎市立中央図書館様って、
      ベータテスターか何かだったの?
      親コメント
  • by Anonymous Coward on 2010年09月28日 16時51分 (#1831600)

    岡崎市の公式発表が出ました。が、見出しがとても風変わりです。w

    「図書館利用者情報の流出がありました。」 [aichi.jp]

    • Re:岡崎市の公式発表 (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2010年09月28日 16時54分 (#1831602)

      当事者意識がどこまでも欠落してるんだな。
      こういうバカが居るから「だからコウムインは……」なんて言われるんだろうなあ。

      親コメント
  • 今回は被害者 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2010年09月28日 15時13分 (#1831532)

    今回は三菱の犯行でしょう
    どちらかといえば被害者の側なのにタイトルで名指しされてしまった図書館カワイソス
    データぶっこ抜きを許したのはアホだからでしょうけど、一番悪いのは三菱なんだし

  • by Anonymous Coward on 2010年09月28日 21時52分 (#1831779)

    今日本には千八百位自治体があるそうですけど、
    つつかれてないから表面化してないだけで
    こういう調子のところが他にも結構あるんじゃないですかね。
    みんながみんなてんでんばらばらにシステム開発しているので、
    クオリティが高いところもあれば全然ダメなところも出てくる。

    やることはどこもほとんど同じなんだから、
    国全体、ダメなら県単位でシステム統合すれば良いのにと思う。
    そうすりゃ少なくとも今回のみたいに犯罪レベルに糞なシステムが出来る件数は減るでしょう。
    税金の節約にもつながる筈。

    • > 国全体、ダメなら県単位でシステム統合すれば良いのにと思う。
      > そうすりゃ少なくとも今回のみたいに犯罪レベルに糞なシステムが出来る件数は減るでしょう。
      > 税金の節約にもつながる筈。

      場所によっては、県単位かどうかは別として、いくつかの自治体でシステム統合というか
      SAASとかクラウドとかいう感じのシステムを共用してコトダウンを図るということは
      やり始めている。
      まあ、それで税金が減るかといったらそんなことは全然ないんですが。
      親コメント
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...