たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜


この似顔絵は「似顔絵イラストメーカー(http://illustmaker.abi-station.com/)」で作成しました。せきゅもみ
2003 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 05 | 06 | 07 | 08 | 10 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2011 | 01 | 02 | 03 | 05 | 06 | 07 | 09 | 10 | 11 | 12 |
2012 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 10 | 11 | 12 |
2013 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2014 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2015 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2016 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2017 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 |

サブアカウントで違うこともやっています。http://d.hatena.ne.jp/TRY_DTM_FREE/

ご注意

ここに書いてあることは個人的なメモや感想・妄想なので一切の保証はいたしません。
しかも内容の正確さや公平さも保証しません。書きなぐりにするので読む人によっては不快感を持つ可能性もあります。
そのうえ更新することも保証しないという好き勝手なスペースです。覚悟してご利用ください。

本でました。
表紙イメージ



さいきんいろんなキーワードで検索してくる方がおられますが、ほぼ完全にハズレだと思います。ごめんなさい。
一縷の望みをかけて、上の検索窓から探してみてください。knoppix でデータ救出ネタは存在します。

中韓あたりからの攻撃が観測されています。アドレスブロックを確認して弾いておきましょう。
こちらも参考になります。


Visual Studio 2010 Express Editions ダウンロードへのリンク
Visual Studio 2008 Express Editions ダウンロードへのリンク
Visual Studio 2005 Express Editions ダウンロードへのリンク


2010年09月29日(Wednesday)

[][] 三菱電機インフォメーションシステムズ株式会社の MELIL/CS 導入図書館における情報漏洩に関するさまざま

 

 さて。

 

 私が知りえた情報から,かいつまんで書く前に,おおよその状況を把握しておいてもらいたい。

 まず,前提として,岡崎市立中央図書館は今回の情報漏洩については被害者であること。

 第二に,今回の情報漏洩は二つの事件がひとまとめで扱われていること。

 第三に,この情報漏洩は拡大する可能性が極めて高いこと。

 第四に,親会社である三菱電機が責任を負うべき事件であること。

 

 まず第一に。本事件*1においては,岡崎市立中央図書館は被害者であるということを確認しておきたい。

 手元にある契約書のコピーを参照しよう。次の文言がある。同じ文書は,念力デバッグで活躍した三名の筆頭格,前田氏のblogにもある。

委託者岡崎市を甲とし、受託者三菱電機株式会社中部支社を乙とし、次の条項により契約を締結する。

(中略)

 

(再委託の禁止)

第5条 乙は、甲の承諾を得た場合を除き、自ら個人情報の処理を行うものとし、 第三者にその処理を委託してはならない。

2 乙は、業務の一部を第三者に委任し、又は請け負わせた場合、甲に対して 再委託先の行為について全責任を負うものとする。

(個人情報の保護)

第7条 乙は、この契約による個人情報の取扱いについては、別記 「個人情報取扱特記事項」を守らなければならない。

(目的外使用の禁止)

第8条 乙は、委託業務遂行上甲から提供された資料及びデータ(以下「資料等」という。)を他の用途に使用又は第三者に提供若しくは譲渡してはならない。

(複写及び複製の禁止)

第9条 乙は、甲の承諾なくして資料等を複写又は複製してはならない。

 三菱電機本体の契約違反である。岡崎市立中央図書館は,三菱電機本体の契約違反によって利用者の個人情報を転用され,漏洩された。

 

 転用については,新たに情報を示す必要があるだろう。

 

 私の手元に,「岡崎市立図書館シンコンピュータシステム構築事業 ご提案書」という資料がある。三菱電機株式会社 中部支社名で岡崎市に提案されたもので,平成16年7月7日の日付が入っている。

 この資料をめくると,15ページに「弊社の個人情報保護における社則及び研修」という資料がある。コピー品質がいまひとつのためよく読めないが,1998年11月の事例から2004年2月の事例まで6例を挙げ,三菱電機として「社則・セキュリティポリシー」「ISMSプライバシーマークの取得」「各種セキュリティソリューションの提供」「外注先を含めたコンプライアンスの徹底」の四点をまとめて「三菱電機個人情報保護方針」として,個人情報保護を謳っている。

 

 さて,少し前に戻ると9ページ目に「弊社の環境整備状況」という資料がある。一部引用しておこう。

岡崎市立図書館様向けの専用開発環境を整備いたします。稼動するシステムのミニマムセットを弊社にも保有し,あらゆる試験を行ったうえ高品質なシステムをご提供いたします。

 つまり,岡崎市のシステムメンテナンス用に,「専用の環境を作って」対応する,と謳っているのだ。

 さらに10ページ目では,次のように謳っている。

開発環境を,そのまま保守環境として利用いたします。

障害やトラブル発生に備え,再現環境を社内に保有し,迅速な対応をとることができるよう評価環境を社内に保有します。

データについては弊社テストデータを使用します。

個人情報を含むお客様のデータは使用いたしません。

 大部分は機能説明だが,ここに挙げたいくつかの点において注目すべきだろう。

 

 ひとつは,「三菱電機中部支社」名で契約を取っていること。

 ひとつは,岡崎市立中央図書館用の検証環境を作っていたこと。

 ひとつは,検証環境は開発環境をそのまま転用していたこと。

 ひとつは,検証環境に個人情報が含まれないようにしていたはずであること。

 

 これらがことごとく守られていない。

 契約において定められた内容が反故にされていたことは明らかだ。

 提案書がそのまま採用されたと断定するのは難しいが,提案のとおりであったなら,岡崎市立中央図書館でのメンテナンスは現場ではなく保守用環境で行われ,その結果が岡崎市立中央図書館に反映されていたはずであるが,そうではなかったことが推測される。

 また,開発環境として使っていた岡崎市のミラーが,他の図書館の開発環境に転用されたことが強く疑われる。

 全て,三菱電機が責任を持つべき範囲にあることだ。岡崎市は個人情報漏洩において一方的な被害者にあたる。

 

 

 第二に,今回の事件が二つの事件をひとまとめにして扱われていることに注意しなければならない。

 まず,情報漏洩が起きたのは,「三菱電機インフォメーションシステムズが他の図書館に岡崎ミラーをインストールした」段階で発生していることを認識する必要がある。

 第二に,下請けとなる他社が,これまでに確認されているだけで三箇所,AnonymousFTP を稼動させ,個人情報を漏洩しうる状況に置いていたことを認識する必要がある。

 

 つまり,MDISによる個人情報漏洩と,管理会社による個人情報漏洩の,二つの事件がひとまとめに扱われている。

 

 これらは分離して扱うべきだろう。

 

 

 第三に,この個人情報漏洩は拡大する可能性が極めて高いことを指摘しておかなければならない。

 すでに,http://www26.atwiki.jp/librahack/pages/30.html で一部示してあるが,複数の図書館においてコピー,孫コピーが行われていることを確認している。

 つまり,岡崎で起きた事が他の MELIL/CS 導入図書館でおきていないとは断定できない状況にある。

 特に神奈川県相模原市立図書館は蔵書も多く,利用者も多いことが予測される。また,相模原対応で大きなカスタマイズが行われ,以後しばらくは相模原テンプレートが利用された形跡がある。

 同様に,東京都渋谷区立図書館の利用者情報が全国に散逸した可能性も否定できない。

 今後,調査が進めば,第二第三の情報漏洩が発覚してもおかしくない。

 

 

 第四に,親会社である三菱電機が責任を負うべき事件であることを指摘しておく。

 すでに第一の部分で指摘済みだが,岡崎市立中央図書館の導入,開発,データ移行等について,三菱電機中部支社が受託している。契約書に明記されている通りだ。

 情報漏洩時期の契約に基づき,これらの瑕疵に対して責任を取るべきは三菱電機であるといえる。

 

 

 ところで,MDIS は「岡崎市立中央図書館で実施した最新の対策を本社プログラムライブラリに反映させた際に,不要なデータも同時に吸い上げた」としているが,先のエントリで述べたように,MDIS*2は本社に検証環境を持ち,そこでメンテナンスを実施して,その結果を岡崎市立中央図書館に反映させる,という手順を取っているはずだった。

 

 つまり,岡崎市立中央図書館のデータがMDISに渡るはずがないのだ。

 

 MDIS から岡崎市立中央図書館へのフィードバックはあっても,その逆がない,という保守形態だったはずだ。では,なぜ情報が漏洩したのか?

 

 何らかの理由で,MDIS に岡崎市立中央図書館の個人情報が渡ったはずだ。

 かつ,「岡崎市立中央図書館保守用環境」がそのまま他の図書館の開発環境に転用されたはずだ。

 

 この二点,岡崎市と三菱電機の契約を(手持ちの資料の範囲で)探してみても,これを是とする資料が見つからない。

 

 つまり,MDIS(そして,三菱電機本体)は,少なくとも岡崎市立中央図書館利用者の個人情報漏洩の経緯について,ウソをついていると強く推測することができる。

 

 さて。

 今回,タイヤはいくつ空を飛んでいるんだろうか。*3

 

*1:岡崎市立中央図書館利用者個人情報漏洩事件

*2:移管された後。当時は三菱電機本体が実施していたと思われる

*3:@hayashi_t 氏から次のツッコミを受けたので取り消し:@Vipper_The_NEET MFTBC(三菱ふそうトラック・バス)は扶桑系のルーツは持つものの現在ダイムラーAGの子会社。彼らを #librahack で貶めるのは不当かつ不適切だからblogから消しておくことを強く期待するよ

kozawakozawa 2010/09/29 11:53 ブコメに「契約内で作業上三菱の鯖に個人情報が移ることは示されているので,その時点では漏洩に該当せず,他の図書館にコピーした段階で漏洩。MDIS移管はその後か。」
ちょっと同意できないなと感じてしまった点があるのですが。。。
移行があるかぎり、受託側は何らかの形でデータに触らざるを得ません。「やむを得ず」のケースがあること自体は契約だったか取決めだったかにも言及があったと思います。その時に厳重に取り扱うとなっているはずなので、「どういう手順で取り扱うか」を市と受託側で別箇明確に取り決めるべきで、今回は、開発サーバに入れるところまではOKのルールだったのかもしれませんが、問題になるのは、他の図書館に入れた時点ではなく、そこから「取り出した」時点でルール違反になるのが通常ではないかと。必要外のMDISのどっかのサーバに入ったら、その時点でアウト、もしくはアウトのルールが取り決められていてしかるべき、かと。

TarikiTariki 2010/09/29 12:00 ブコメ無理矢理押し込んだからおかしくなったか('A`)
具体的に「取り出した」のが他の図書館にコピーしたタイミングだろうと思うので,たぶん同じことを言っていると思います。

データ移行時の契約書の文面に従えばMDISのサーバに入った時点でアウトかと思いますが,その後の移管にあわせて何らかの取り決めがあったかもしれず・・・ああもうもっと早く情報公開制度で開示請求かけてればよかった('A`)

NOGjpNOGjp 2010/09/29 14:07 同じくブコメに押し込んだので本意が伝わってないみたいです。

*2に合わせてMDISと書いただけで、三菱本体かMDISかという点を言いたいのではなく
 1.図書館→三菱 の契約目的外のコピー
 2.三菱→全国の図書館への配布
 3.特定図書館でのAnnoymousFTP配布
の順序で起きていた今回の事象の、2,3が起きていなくてもそれはやっぱり情報漏洩でしょう、ということが言いたかったのでした。

suzukissuzukis 2010/09/30 22:49 岡崎市は被害者というのはおかしいです

自治体が外部に業務を委託する場合、両者には契約を守る義務があるのは当然ですが、対外的に重要なのは、自治体には委託先が契約を確実に履行するよう監督する義務があることです。自治体が委託した業務で第三者に損害が発生した場合には自治体がその責任を負わなければならないのはこの義務があるからです

今回の事件で言えば、岡崎市が被害者というのは岡崎市と三菱電機の契約関係に限った話で、対外的には三菱電機が契約を確実に履行するよう監督する義務を怠り個人情報が流出したことになります。したがって、岡崎市は個人情報流出に直接の責任を負う加害者です。

#すいません。なんでか別のエントリにコメントがついてしまいました。そちらのほうは消していただけると助かります

TarikiTariki 2010/10/01 01:35 切り取り方ですね。加害順で並べると

三菱本体(およびMDIS)→岡崎市(図書館)→市民

監督義務については仰る通りだと思います。が,今回は契約に逆らってこっそりやられたと見るのが妥当かと思います。
おそらく岡崎市の監督能力を超えていたのではないかと。

もちろん,市民に対する岡崎市の責任が消えるわけではないことは確かです。
今後,岡崎市は三菱に対して原因究明を行い,それを市民に公表するなど,適切な行動が求められると思います。

#削除処理しておきました

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証



----------------------------他力本願堂本舗---------------------------
Mailto:tarikihongandou@gmail.com
Mailto:tarikihongandou@hotmail.com
PGP Public Key: http://www.tariki.mydns.jp/PGP_Public_Key.txt

似顔絵は「似顔絵イラストメーカー」で作成しました。