11/30『岡崎市立中央図書館事件』に関する三菱電機インフォメーションシステムズ記者会見:津田大介さんによるtsudaりまとめ #librahack '
-
- いいね!10
津田大介
@tsuda
西井「担当の中部部署のSEが何とか自分で解決しようとした。彼は図書館システムに大量クローラ的なアクセスがあって戸惑った。岡崎市図書館の被害届については、起きた事実を図書館にそのまま報告しただけという認識」 #librahack
2010-11-30 17:49:28
津田大介
@tsuda
神田「御社が開発している図書館システムで.NET版の方は大量クローラがあっても問題が生じない。なぜ岡崎市などに導入しているASP版ではそれを反映できなかったのか。また、なぜ岡崎にそれを提案しなかったのか」 #librahack
2010-11-30 17:50:22
津田大介
@tsuda
門脇「.NET版とASP版は設計がまったく異なる。そもそもクローラ対策として.NET版を作ったわけではない。岡崎については08年に.NET版の導入を提案して11年からそちらに置き換えるということが内々に決まっていた」 #librahack
2010-11-30 17:51:59
津田大介
@tsuda
日経新聞あさかわ「現場での対処・図書館への報告などはそのSE個人が個人的に判断したのか」 西井「1秒あたり3件くらいのアクセスがあった。当初はクロール的アクセスをしてきたlibrahack氏の意図が不明だったため、SEが排除する方向に動いた」 #librahack
2010-11-30 17:53:55
津田大介
@tsuda
あさかわ「バグの削除なども契約に入っていたのか」 西井「システム保守の中で、障害があったときの対応など、連絡をもらったときに対策や対処を行う契約だった」 #librahack
2010-11-30 17:54:26
津田大介
@tsuda
あさかわ「このコードが書かれた当時は10分セッションを維持するのは一般的だったのか」 西井「1998年にこのシステムをネットに初めてつないだ。現在のコードが作られたのは2003年」 #librahack
2010-11-30 17:55:27
津田大介
@tsuda
NHK井村記者「個人情報流出で外部に流出していないことが確認できたとあるが、流出してないことが確認できたというのはどういう話なのか」 #librahack
2010-11-30 18:10:49
津田大介
@tsuda
門脇「三図書館、約3000名。岡崎と中野の図書館はデータの混入で外部への流出はしていない。九州地区の2図書館のパートナー会社が誰でもダウンロードできる状態になっていた」 #librahack
2010-11-30 18:11:25
津田大介
@tsuda
西井「3月以降、岡崎のシステムに改修する決心をしたのが6月。改修を始めたのが7月。岡崎と同じASP版は28システムある。それを1つ1つずつ適用していく作業が時間があって9月の時点で27適用した。その後11/15で28になった」 #librahack
2010-11-30 18:12:37
津田大介
@tsuda
井村「責任の所在と処分の考えは」 門脇「個人情報流出は社規にも条例にも違反しているということで、社内規定に基づいて厳正な処分をしたい。経営的な部分で私も責任を重く受け止めている。再発防止をしっかりやることで責任を全うしたい」 #librahack
2010-11-30 18:13:13
津田大介
@tsuda
日経新聞小西記者「librahack氏とは弁護士を通じてやりとりなど、対応をしているのか」 門脇「まだそこまでには至っていない」 #librahack
2010-11-30 18:15:06
津田大介
@tsuda
小西「パートナー会社の責任は」 西井「遠方にあるので保守管理という部分だけホスティング形式でパートナー会社に任せていた。ネットを通じてウェブの更新を行っていた。そのウェブサーバーに置いてあった個人情報が誰でも自由にダウンロードできた」 #librahack
2010-11-30 18:17:10
津田大介
@tsuda
小西「それは不正アクセスにはあたらないのか?」 西井「Anonymous FTPでデータがダウンロードできるようになっていた。無防備な状態だったので不正アクセスとは言えない」 #librahack
2010-11-30 18:17:46
津田大介
@tsuda
小西「第三者への流出とあるが、それは善意の第三者か、悪意の第三者か」 門脇「難しい質問で答えにくい。ただ、今回は我々に著作権があるプログラム自体も流出している。それは別途対応を考えたい」 #librahack
2010-11-30 18:18:33
津田大介
@tsuda
読売新聞山崎記者「ほとんどの図書館に他の個人情報データが混入したとあるが、どの図書館にどういうデータが混入しているのか具体的に教えてほしい」 門脇「我々には76自治体のユーザーさんがいる。ただ、具体的な内容は図書館に迷惑がかかるので教えられない」 #librahack
2010-11-30 18:20:23
津田大介
@tsuda
山崎「個人情報をダウンロードした人間は何人か把握しているか」 門脇「数名いるという認識。連絡がついた人に他に流出させない保全と情報削除のお願いをしている。ただし、連絡が付かない人が1名いる状況」 #librahack
2010-11-30 18:21:34
津田大介
@tsuda
山崎「librahack氏あてに先程表明された不快な思いという発言。不快な思いとは、アクセスについてなのかそれとも逮捕されたことなのか」 門脇「逮捕については我々が関知するところではない。不便をかけたという意味でSI屋として申し訳ないと思っている」 #librahack
2010-11-30 18:23:20
津田大介
@tsuda
山崎「朝日新聞をきっかけとして、外部報道があったからこの問題はいろいろ調べられた。岡崎市で閲覧障害が起きたときにSEがクローラ的なアクセスと認識していたら被害届も出なかったのでは。逮捕したのは警察だし被害届出したのは図書館だが原因を作ったのはMDISでは?」 #librahack
2010-11-30 18:24:57
津田大介
@tsuda
門脇「それはあくまで仮定の話。逮捕についてはこの場で申し上げることはできない。我々は図書案の指示に基づいて行動した」 #librahack
2010-11-30 18:25:38
津田大介
@tsuda
山崎「話を聞くとやはり御社に責任の一端はあると思うが」 門脇「仮定の話なのでわかりかねる。謝罪は、障害が起きたことに対してSI屋として申し訳ないという謝罪」 #librahack
2010-11-30 18:26:59
津田大介
@tsuda
山崎「この問題は、中部支社だけで完結させたのか、それとも問題は本社に報告があがってきたのか」 門脇「拠点ごとにSE部隊があって拠点ごとに対応するのが基本。まずは拠点で何とかしようというマインドがあった。そこが今回の事案でSI屋としての大きな反省点」 #librahack
2010-11-30 18:28:10
津田大介
@tsuda
山崎「航空管制システムなども御社は開発されている。その製品の精度と図書館システムの精度とのギャップがあるように思う。そこはどう総括しているのか。なぜ図書館だけ稚拙な状況が生まれていたのか」 #librahack
2010-11-30 18:28:54