アカウント名:
パスワード:
リリースの要約「情報流出についてお詫びします。今後、流出しないようちゃんと検査します」
http://www.mdis.co.jp/news/press/2010/1130.html [mdis.co.jp]
弊社図書館システムに生じた問題について(お詫び)2010年11月30日弊社が納入した図書館システムのホームページが、2010年3月から5月にかけて、つながらない、又はつながりにくくなるというアクセス障害が岡崎市立図書館で発生いたしました。この図書館システムについては7月に障害対策を施しましたが、9月になって、この図書館利用者の個人情報が、他の図書館システムからインターネットを通じて流出していたことが判明し、その内容と対応を9月28日に公表いたしました。弊社は事態を重く受け止め、弊社図書館システムをご採用いただいている図書館の調査を進めたところ、流出した個人情報が他にもあり、弊社図書館システムの製品化作業の手順に不備があったとの結論に至りました。このほど、アクセス障害対策を必要とする図書館システムの改修が完了し、個人情報流出についても調査が終了して、対応の目処が立ちましたので、生じた問題の原因と再発防止策についてご報告いたします。弊社はシステムインテグレーターとしての責務を十分に果たせていなかったことを深く反省しております。生じた問題の根本原因は弊社にあると認識し、再発防止策を講じて信頼回復に努めてまいります。ご導入いただいた図書館および図書館利用の皆様には、長期にわたりご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げます。弊社図書館システムのホームページアクセス障害について1.アクセス障害の概要弊社図書館システムのインターネット接続は、利用者が図書館のホームページの画面から操作することを想定した仕様となっており、岡崎市立図書館には2005年に納入しました。2010年3月中旬から5月中旬にかけて、新着図書情報をプログラムを使って取得する機械的なアクセスがありました。このプログラムは、図書館が提供するホームページから蔵書データベースに直接アクセスする方式で、人がホームページの画面から操作する頻度を超えるアクセスが機械的に繰り返されました。この頻度の高い機械的なアクセスが行われた際、他の利用者がホームページを利用するとつながりにくい、または、つながらないというアクセス障害が発生いたしました。2.原因及び処置状況弊社図書館システムのインターネット接続方式は、1回のホームページアクセスに対して10分間、データベースとの接続を維持する仕様となっていました。今回の頻度の高い機械的アクセスにより、データベースの同時接続数が設定値を超えたため、アクセス障害が発生したものです。障害発生の連絡を受け、弊社は他の利用者へのサービスを優先し、この機械的なアクセスを回避する種々の処置を講じましたが、完全な回避はできませんでした。その後6月に、他の図書館でも、頻度の高い機械的なアクセスが見られたため、弊社は同じ仕様の図書館システムで同様のアクセス障害が発生する可能性があると判断し、接続方式を従来の一定時間維持する方式からアクセスの都度、接続する方式に改めることといたしました。新しい接続方式は、6月末より改良開発を行い、対象となる28の図書館の改修を7月から順次実施し、11月15日に完了しております。3.システムインテグレーターとしての責任弊社は図書館システムにおいて、以下の責務を果たすことができていなかったと認識しております。1.今回のアクセス障害が発生した際、弊社はシステム解析や性能調査による原因の究明を行わず、図書館への説明も不十分でした。また、障害情報を開発部門で分析し対策を講じることを怠りました。この結果、3月中旬の障害発生後、これを解消する6月末の提案を行うまで約3ヵ月間、障害の可能性が続いてしまいました。2.個々の図書館のカスタマイズや保守を、顧客に対応するシステムエンジニアに任せており、情報が拠点に分散していたため、根本的な分析と改修に時間を要しました。4.再発防止策1.障害報告とその解決の迅速化顧客に対応するシステムエンジニア部門は、障害の発生を迅速に図書館システム開発部門に連絡するとともに品質保証部門との情報共有を徹底します。現場での適切な初動処置と、開発部門での真の原因分析により、解決の迅速化を図ります。2.製品管理の強化各拠点に分散している障害情報や技術情報を図書館システム開発部門に集約し、製品管理を強化します。弊社は、以上の再発防止策を講じるとともに、図書館システムの社会的な位置付けを十分に認識して、インターネットを含めた利用環境の変化や進化するIT技術へ対応した、より信頼性の高いシステム作りに努めてまいります。弊社図書館システムにおける個人情報流出について1.個人情報流出の概要弊社の図書館システムを仕入れ、図書館に販売している九州地区のパートナー会社のサーバから図書館利用者の個人情報が2010年8月上旬にインターネットを通じて外部に流出しました。流出した個人情報は、氏名、生年月日、住所、電話番号、図書名等が組み合わさったもので、流出件数は3図書館分の約3,000名です。2.流出の原因と処置1.原因弊社は、図書館システムの改良開発を行う際、最新機能の試験などを導入先図書館の動作環境で行う場合があり、作業後にはプログラムを自社に持ち帰ることがありました。その際、個人情報が含まれていることに気付かず、プログラムと一緒に持ち帰り、プログラムの一部を弊社の製品マスターに登録しました。この作業は2000年から2010年7月までの間、弊社の各拠点で行われており、図書館システム出荷の時点でも製品マスターの中に個人情報があることを認識していませんでした。この結果、弊社図書館システムを採用いただいた殆どの図書館に他の図書館の個人情報が存在するという事態になりました。弊社図書館システムは、図書館へ直接販売する他にパートナー会社へ仕切り販売する形態があります。弊社は上記の個人情報が含まれていることを認識せず、パートナー会社へ図書館システムを販売し、かつ、パートナー会社がサーバを誰でもアクセスできる状態(アノニマス設定)に誤って設定していたことから、第三者にプログラムおよびデータをダウンロードされ、そこに含まれていた個人情報が流出しました。プログラムがダウンロードされたことは8月上旬に認識しておりましたが、個人情報流出について、弊社の確認が不十分であったことから流出情報の確定まで約4ヶ月を要する事態となりました。2.処置パートナー会社のサーバの流出経路は、既に、8月4日に閉鎖しており、新たな流出はありません。ダウンロードされた個人情報は、各図書館と連携し、データの削除および保全に努めております。各図書館システムに存在する他館の個人情報は、通常の図書館業務メニューでは閲覧や複写などの操作を行うことはできず、また、インターネットからアクセスできない領域に格納されています。今回、弊社の図書館システムを採用いただいている全図書館を対象に他館の個人情報の有無について調査を実施しました。その結果を各図書館へご報告し、弊社は各図書館のご了解を得て11月19日までに全て削除しております。また、これらの個人情報は外部へ流出していないことも確認しました。3.再発防止策1.個人情報を取り扱い、かつ、インターネットに接続されるシステムは、管理基準を高め、審査を厳格化します。2.出荷の際、個人情報が存在していないことを、検索ツールやクロスチェックで確認する検査を徹底します。3.図書館システム事業部門の製品マスターを開発部門で一元管理し、作業標準も見直します。4.問題が生じた場合は、個人情報を扱うシステムの品質・セキュリティーの専門家を参画させ、迅速な解決と情報共有を図ります。5.図書館システムをパートナー会社に販売する際、セキュリティーに関するガイドラインを提示し、万全を期します。
弊社図書館システムに生じた問題について(お詫び)2010年11月30日
弊社が納入した図書館システムのホームページが、2010年3月から5月にかけて、つながらない、又はつながりにくくなるというアクセス障害が岡崎市立図書館で発生いたしました。
この図書館システムについては7月に障害対策を施しましたが、9月になって、この図書館利用者の個人情報が、他の図書館システムからインターネットを通じて流出していたことが判明し、その内容と対応を9月28日に公表いたしました。
弊社は事態を重く受け止め、弊社図書館システムをご採用いただいている図書館の調査を進めたところ、流出した個人情報が他にもあり、弊社図書館システムの製品化作業の手順に不備があったとの結論に至りました。
このほど、アクセス障害対策を必要とする図書館システムの改修が完了し、個人情報流出についても調査が終了して、対応の目処が立ちましたので、生じた問題の原因と再発防止策についてご報告いたします。
弊社はシステムインテグレーターとしての責務を十分に果たせていなかったことを深く反省しております。生じた問題の根本原因は弊社にあると認識し、再発防止策を講じて信頼回復に努めてまいります。
ご導入いただいた図書館および図書館利用の皆様には、長期にわたりご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げます。
弊社図書館システムのホームページアクセス障害について1.アクセス障害の概要弊社図書館システムのインターネット接続は、利用者が図書館のホームページの画面から操作することを想定した仕様となっており、岡崎市立図書館には2005年に納入しました。
2010年3月中旬から5月中旬にかけて、新着図書情報をプログラムを使って取得する機械的なアクセスがありました。
このプログラムは、図書館が提供するホームページから蔵書データベースに直接アクセスする方式で、人がホームページの画面から操作する頻度を超えるアクセスが機械的に繰り返されました。
この頻度の高い機械的なアクセスが行われた際、他の利用者がホームページを利用するとつながりにくい、または、つながらないというアクセス障害が発生いたしました。
2.原因及び処置状況弊社図書館システムのインターネット接続方式は、1回のホームページアクセスに対して10分間、データベースとの接続を維持する仕様となっていました。
今回の頻度の高い機械的アクセスにより、データベースの同時接続数が設定値を超えたため、アクセス障害が発生したものです。
障害発生の連絡を受け、弊社は他の利用者へのサービスを優先し、この機械的なアクセスを回避する種々の処置を講じましたが、完全な回避はできませんでした。
その後6月に、他の図書館でも、頻度の高い機械的なアクセスが見られたため、弊社は同じ仕様の図書館システムで同様のアクセス障害が発生する可能性があると判断し、接続方式を従来の一定時間維持する方式からアクセスの都度、接続する方式に改めることといたしました。
新しい接続方式は、6月末より改良開発を行い、対象となる28の図書館の改修を7月から順次実施し、11月15日に完了しております。
3.システムインテグレーターとしての責任弊社は図書館システムにおいて、以下の責務を果たすことができていなかったと認識しております。
1.今回のアクセス障害が発生した際、弊社はシステム解析や性能調査による原因の究明を行わず、図書館への説明も不十分でした。また、障害情報を開発部門で分析し対策を講じることを怠りました。この結果、3月中旬の障害発生後、これを解消する6月末の提案を行うまで約3ヵ月間、障害の可能性が続いてしまいました。2.個々の図書館のカスタマイズや保守を、顧客に対応するシステムエンジニアに任せており、情報が拠点に分散していたため、根本的な分析と改修に時間を要しました。4.再発防止策1.障害報告とその解決の迅速化顧客に対応するシステムエンジニア部門は、障害の発生を迅速に図書館システム開発部門に連絡するとともに品質保証部門との情報共有を徹底します。現場での適切な初動処置と、開発部門での真の原因分析により、解決の迅速化を図ります。2.製品管理の強化各拠点に分散している障害情報や技術情報を図書館システム開発部門に集約し、製品管理を強化します。弊社は、以上の再発防止策を講じるとともに、図書館システムの社会的な位置付けを十分に認識して、インターネットを含めた利用環境の変化や進化するIT技術へ対応した、より信頼性の高いシステム作りに努めてまいります。
弊社図書館システムにおける個人情報流出について1.個人情報流出の概要弊社の図書館システムを仕入れ、図書館に販売している九州地区のパートナー会社のサーバから図書館利用者の個人情報が2010年8月上旬にインターネットを通じて外部に流出しました。
流出した個人情報は、氏名、生年月日、住所、電話番号、図書名等が組み合わさったもので、流出件数は3図書館分の約3,000名です。
2.流出の原因と処置1.原因弊社は、図書館システムの改良開発を行う際、最新機能の試験などを導入先図書館の動作環境で行う場合があり、作業後にはプログラムを自社に持ち帰ることがありました。その際、個人情報が含まれていることに気付かず、プログラムと一緒に持ち帰り、プログラムの一部を弊社の製品マスターに登録しました。この作業は2000年から2010年7月までの間、弊社の各拠点で行われており、図書館システム出荷の時点でも製品マスターの中に個人情報があることを認識していませんでした。この結果、弊社図書館システムを採用いただいた殆どの図書館に他の図書館の個人情報が存在するという事態になりました。
弊社図書館システムは、図書館へ直接販売する他にパートナー会社へ仕切り販売する形態があります。弊社は上記の個人情報が含まれていることを認識せず、パートナー会社へ図書館システムを販売し、かつ、パートナー会社がサーバを誰でもアクセスできる状態(アノニマス設定)に誤って設定していたことから、第三者にプログラムおよびデータをダウンロードされ、そこに含まれていた個人情報が流出しました。
プログラムがダウンロードされたことは8月上旬に認識しておりましたが、個人情報流出について、弊社の確認が不十分であったことから流出情報の確定まで約4ヶ月を要する事態となりました。
2.処置パートナー会社のサーバの流出経路は、既に、8月4日に閉鎖しており、新たな流出はありません。ダウンロードされた個人情報は、各図書館と連携し、データの削除および保全に努めております。
各図書館システムに存在する他館の個人情報は、通常の図書館業務メニューでは閲覧や複写などの操作を行うことはできず、また、インターネットからアクセスできない領域に格納されています。
今回、弊社の図書館システムを採用いただいている全図書館を対象に他館の個人情報の有無について調査を実施しました。その結果を各図書館へご報告し、弊社は各図書館のご了解を得て11月19日までに全て削除しております。
また、これらの個人情報は外部へ流出していないことも確認しました。
3.再発防止策1.個人情報を取り扱い、かつ、インターネットに接続されるシステムは、管理基準を高め、審査を厳格化します。2.出荷の際、個人情報が存在していないことを、検索ツールやクロスチェックで確認する検査を徹底します。3.図書館システム事業部門の製品マスターを開発部門で一元管理し、作業標準も見直します。4.問題が生じた場合は、個人情報を扱うシステムの品質・セキュリティーの専門家を参画させ、迅速な解決と情報共有を図ります。5.図書館システムをパートナー会社に販売する際、セキュリティーに関するガイドラインを提示し、万全を期します。
プレスリリースの中「3.システムインテグレーターとしての責任」は、製品に生じた障害を把握できなかった(原因究明が不十分だった)、システムエンジニアに任せていたので障害の情報が拠点ごとに分散していてとりまとめることが出来なかったので責任があるという説明ですが、なにか主体性がない。あと、「責任」という表題をつけて、中の文章を読むと「責務(を果たすことができなかった)」という、責任というよりも役割や義務の履行にウエイトを置いた言葉に言い換えており、他者(社)に突き放した説明の仕方とあわせて、責任を限定したり、責任を取ることを回避する意図があるのではないかと疑わせます。
言葉尻をとらえていうのもどうかとおもいましたが、ちょっと、気になりました。
システムインテグレータなんだったら、問題を起こしたシステムエンジニアにどうケジメつけさせたのかってのを明記してくれないとね。ぶっちゃけシステムインテグレータってそういうヤクザみたいな仕事でしょ。それができていないならシステムインテグレータとしてゴミ認定されて文句言えないね。
読売より転載
図書館システム、さらに3千人の情報流出判明 [yomiuri.co.jp]
三菱電機の子会社「三菱電機インフォメーションシステムズ」(東京)が全国の公立図書館に納入した図書館システムでトラブルが相次いでいる問題で、同社は30日、記者会見し、3つの図書館の利用者、計約3000人の個人情報がインターネット上に流出したことを新たに明らかにし、謝罪した。
流出したのは、宮崎県えびの市の2761人、愛知県岡崎市の159人、東京都中野区の51人の氏名や電話番号、借りた図書名など。流出したデータを数人がダウンロードしたことが確認されたという。
また、岡崎市の図
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
謝罪してないし、全然反省してない (スコア:2, 参考になる)
リリースの要約
「情報流出についてお詫びします。今後、流出しないようちゃんと検査します」
http://www.mdis.co.jp/news/press/2010/1130.html [mdis.co.jp]
Re:謝罪してないし、全然反省してない (スコア:1)
プレスリリースの中「3.システムインテグレーターとしての責任」は、製品に生じた障害を把握できなかった(原因究明が不十分だった)、システムエンジニアに任せていたので障害の情報が拠点ごとに分散していてとりまとめることが出来なかったので責任があるという説明ですが、なにか主体性がない。
あと、「責任」という表題をつけて、中の文章を読むと「責務(を果たすことができなかった)」という、責任というよりも役割や義務の履行にウエイトを置いた言葉に言い換えており、他者(社)に突き放した説明の仕方とあわせて、責任を限定したり、責任を取ることを回避する意図があるのではないかと疑わせます。
言葉尻をとらえていうのもどうかとおもいましたが、ちょっと、気になりました。
Re: (スコア:0)
システムインテグレータなんだったら、問題を起こしたシステムエンジニアにどうケジメつけさせたのかってのを明記してくれないとね。ぶっちゃけシステムインテグレータってそういうヤクザみたいな仕事でしょ。それができていないならシステムインテグレータとしてゴミ認定されて文句言えないね。
Re: (スコア:0)
あとlibrahack氏が逮捕された原因はウチじゃないよ」ということですね。
企業として責任の範囲をはっきりさせるのはわかりますが、道義的責任は免れないんじゃないかなぁと。
Re: (スコア:0)
読売より転載
図書館システム、さらに3千人の情報流出判明 [yomiuri.co.jp]
三菱電機の子会社「三菱電機インフォメーションシステムズ」(東京)が全国の公立図書館に納入した図書館システムでトラブルが相次いでいる問題で、同社は30日、記者会見し、3つの図書館の利用者、計約3000人の個人情報がインターネット上に流出したことを新たに明らかにし、謝罪した。
流出したのは、宮崎県えびの市の2761人、愛知県岡崎市の159人、東京都中野区の51人の氏名や電話番号、借りた図書名など。流出したデータを数人がダウンロードしたことが確認されたという。
また、岡崎市の図
Re: (スコア:0)
音声データもないから正確かどうかはわかりませんが、この内容の通りだとすると
> 「図書館ユーザーの一人としてご不便をおかけした点をお詫びいたします。
> 「逮捕については我々が関知するところではない。不便をかけたという意味でSI屋として申し訳ないと思っている」
もう何と言うか。謝罪って何だっけ。