11/30『岡崎市立中央図書館事件』に関する三菱電機インフォメーションシステムズ記者会見:津田大介さんによるtsudaりまとめ #librahack '
三菱電機の子会社が全国の公立図書館に納入している図書館システムで不具合が起こり、個人情報が流出。
また、蔵書を検索しただけで「サイバー攻撃」と誤解された男性が偽計業務妨害容疑で逮捕された事件に関する三菱電機インフォメーションシステムズの記者会見。
津田さんによる実況ツイート
図書館システム不具合…三菱電機系|YOMIURI ONLINE
http://www.yomiuri.co.jp/book/news/20101129-OYT8T00439.htm
まとめられたつぶやき
-
岡崎市立中央図書館事件でもおなじみ(http://bit.ly/gXxZfN)三菱電機インフォメーションシステムズが午後4時から記者会見するという話を聞いて「記者会見行っていいですか」と電話したら「こちらからお呼びしたメディア以外はお断りしてます」との回答。#librahack
-
「どのメディアに声かけたんですか?」と聞いたら「一般的な新聞やテレビなどの大手メディアに……」との話。向こうに開催権がある会見だから、しゃーないんだろうけどこういうのも記者クラブの弊害の一つなんだろうな。 #librahack
-
いくつか新聞社の知り合いに「そちらの名前借りて、取材という形で行けませんかね?」と交渉してみるもどこも「あらかじめ原稿を書くという枠が決まってないとそういう許可も出しづらい」という話に。結局フットワーク軽いネット媒体が有名になって影響力持つしかないのだなと。 #librahack
-
まあとりあえずMDIS本社に行くだけ行って、入れないか直接交渉してみます……。多分玉砕だろうけど。 #librahack
-
-
会見受付で入れないか交渉したら5分くらい待たされて「会見途中にツイッターで情報を流さないなら……」という条件で入れてもらいました。会見終了後に会見要旨をtumblrとかに上げようかと思います。 #librahack
-
記者会見終了。基本は8月上旬に発生した個人情報流出問題への謝罪と岡崎市図書館で起きた「アクセス障害」についてSI屋として「十分な責務を果たせなかった」認識を示すもの。それぞれ再発防止策も提示。librahack氏への謝罪はあったものの限定的な謝罪にとどまる。 #librahack
-
会見には門脇三雄MDIS取締役社長。西井龍五常務取締役ITソリューション事業本部長が出席。各紙の記者から鋭い質問がバンバン飛ぶ中、時間を理由に途中で会見も打ち切らず、真摯に対応している印象を持ちました。 #librahack
-
とは言うものの、謝罪はある種限定的で、librahackさん逮捕原因の認識をMDISが作ったかどうか、という部分を認めるかどうかが会見のポイントになったと思う。いずれにせよこの問題の一区切りではあるのかな。 #librahack
-
会見自体は10分強で終了。その後1時間以上にわたって記者からの質問に答えるという展開。MDISの見解はあとで資料あげるのでそれ見てもらうとして一問一答の速記録をこれからツイッターに流していきます。速記録なので内容の正確性の検証は後で上げる音声で確認してちょ。 #librahack
-
朝日新聞神田記者「5/25に御社のシステムを使っていたlibrahack氏が逮捕されたが、彼に対するコメントは?」 #librahack
-
門脇社長「図書館ユーザーの一人としてご不便をおかけした点をお詫びいたします。こちらの対応が早ければ彼に不快な思いをさせることはなかった。本人が許せば、ご本人にお会いして経緯などを説明したい」 #librahack
-
あ、俺がもらった紙資料と一緒か。じゃあこれはアップしなくていいや。 RT @yukatan: @tsuda ちなみにリリースはこちらです http://www.mdis.co.jp/news/press/2010/1130.html #librahack
-
神田「今回の事件で、御社のシステムのバグは認められないのか?」 #librahack
-
門脇「05年に納入して以降、特段の問題はなかった。不具合があったとは認識してないがネット対応は不十分だったということを認識している」 #librahack
-
神田「ネット対応が不十分とは? 具体的にお願いします」 西井「大量のクローラ的アクセスに対して問題が生じる作りになってた、ということ」 #librahack
-
神田「グーグルなどのサーチエンジンや、ユーザーのクローラ的アクセスは今までもあっただろう。それは10年以上前からあった技術だと思うが、それに対応してないというのは、すなわちシステムの不具合ではないのか?」 #librahack
-
西井常務「元々館内で使っているサービスをネットを通じてできるということが始まり。当初はクローラ的アクセスを想定しておらず、robot.txtやファイルインデックスを組み替える、IPをブロックという回避、排除するという対症療法的対応を取ってしまった」 #librahack
-
神田「愛知県警から捜査協力を求められて協力したのか」 門脇「したという認識はない」 #librahack
-
神田「御社がlibrahack氏がおかしなアクセスをしてきたという認識を示したので図書館側が被害届を出したわけだが……」 #librahack
-
西井「担当の中部部署のSEが何とか自分で解決しようとした。彼は図書館システムに大量クローラ的なアクセスがあって戸惑った。岡崎市図書館の被害届については、起きた事実を図書館にそのまま報告しただけという認識」 #librahack
-
神田「御社が開発している図書館システムで.NET版の方は大量クローラがあっても問題が生じない。なぜ岡崎市などに導入しているASP版ではそれを反映できなかったのか。また、なぜ岡崎にそれを提案しなかったのか」 #librahack
-
門脇「.NET版とASP版は設計がまったく異なる。そもそもクローラ対策として.NET版を作ったわけではない。岡崎については08年に.NET版の導入を提案して11年からそちらに置き換えるということが内々に決まっていた」 #librahack
-
日経新聞あさかわ記者「この問題を担当されたSEは御社所属か?」 西井「中部支社所属する技術者です」 #librahack
-
日経新聞あさかわ「現場での対処・図書館への報告などはそのSE個人が個人的に判断したのか」 西井「1秒あたり3件くらいのアクセスがあった。当初はクロール的アクセスをしてきたlibrahack氏の意図が不明だったため、SEが排除する方向に動いた」 #librahack
-
あさかわ「バグの削除なども契約に入っていたのか」 西井「システム保守の中で、障害があったときの対応など、連絡をもらったときに対策や対処を行う契約だった」 #librahack
-
あさかわ「このコードが書かれた当時は10分セッションを維持するのは一般的だったのか」 西井「1998年にこのシステムをネットに初めてつないだ。現在のコードが作られたのは2003年」 #librahack
-
NHK井村記者「個人情報流出で外部に流出していないことが確認できたとあるが、流出してないことが確認できたというのはどういう話なのか」 #librahack
-
門脇「三図書館、約3000名。岡崎と中野の図書館はデータの混入で外部への流出はしていない。九州地区の2図書館のパートナー会社が誰でもダウンロードできる状態になっていた」 #librahack
-
門脇「既にダウンロードされたデータについてはある程度特定して情報削除や保全のお願いをしているところ」 #librahack
-
井村「11/15に対応が完了したということは、それまで対応が完了してなかったということか」 #librahack
-
西井「3月以降、岡崎のシステムに改修する決心をしたのが6月。改修を始めたのが7月。岡崎と同じASP版は28システムある。それを1つ1つずつ適用していく作業が時間があって9月の時点で27適用した。その後11/15で28になった」 #librahack
-
井村「責任の所在と処分の考えは」 門脇「個人情報流出は社規にも条例にも違反しているということで、社内規定に基づいて厳正な処分をしたい。経営的な部分で私も責任を重く受け止めている。再発防止をしっかりやることで責任を全うしたい」 #librahack
-
日経新聞小西記者「librahack氏とは弁護士を通じてやりとりなど、対応をしているのか」 門脇「まだそこまでには至っていない」 #librahack
-
小西「パートナー会社の責任は」 西井「遠方にあるので保守管理という部分だけホスティング形式でパートナー会社に任せていた。ネットを通じてウェブの更新を行っていた。そのウェブサーバーに置いてあった個人情報が誰でも自由にダウンロードできた」 #librahack
-
小西「それは不正アクセスにはあたらないのか?」 西井「Anonymous FTPでデータがダウンロードできるようになっていた。無防備な状態だったので不正アクセスとは言えない」 #librahack
-
小西「第三者への流出とあるが、それは善意の第三者か、悪意の第三者か」 門脇「難しい質問で答えにくい。ただ、今回は我々に著作権があるプログラム自体も流出している。それは別途対応を考えたい」 #librahack
-
読売新聞山崎記者「ほとんどの図書館に他の個人情報データが混入したとあるが、どの図書館にどういうデータが混入しているのか具体的に教えてほしい」 門脇「我々には76自治体のユーザーさんがいる。ただ、具体的な内容は図書館に迷惑がかかるので教えられない」 #librahack
-
山崎「個人情報をダウンロードした人間は何人か把握しているか」 門脇「数名いるという認識。連絡がついた人に他に流出させない保全と情報削除のお願いをしている。ただし、連絡が付かない人が1名いる状況」 #librahack
-
山崎「librahack氏あてに先程表明された不快な思いという発言。不快な思いとは、アクセスについてなのかそれとも逮捕されたことなのか」 門脇「逮捕については我々が関知するところではない。不便をかけたという意味でSI屋として申し訳ないと思っている」 #librahack
-
山崎「朝日新聞をきっかけとして、外部報道があったからこの問題はいろいろ調べられた。岡崎市で閲覧障害が起きたときにSEがクローラ的なアクセスと認識していたら被害届も出なかったのでは。逮捕したのは警察だし被害届出したのは図書館だが原因を作ったのはMDISでは?」 #librahack
-
門脇「それはあくまで仮定の話。逮捕についてはこの場で申し上げることはできない。我々は図書案の指示に基づいて行動した」 #librahack
-
山崎「話を聞くとやはり御社に責任の一端はあると思うが」 門脇「仮定の話なのでわかりかねる。謝罪は、障害が起きたことに対してSI屋として申し訳ないという謝罪」 #librahack
-
山崎「この問題は、中部支社だけで完結させたのか、それとも問題は本社に報告があがってきたのか」 門脇「拠点ごとにSE部隊があって拠点ごとに対応するのが基本。まずは拠点で何とかしようというマインドがあった。そこが今回の事案でSI屋としての大きな反省点」 #librahack
-
山崎「航空管制システムなども御社は開発されている。その製品の精度と図書館システムの精度とのギャップがあるように思う。そこはどう総括しているのか。なぜ図書館だけ稚拙な状況が生まれていたのか」 #librahack
-
門脇「図書館は95年くらいからずっと手がけてきた。それぞれに拠点ごとにお客さんを開拓してシステムを作ってきた文化、内部的背景があった。金融や航空管制のようなクリティカルなシステムとは違って本社にあげる体制が整ってなかった。今後はそういう体制にしていきたい」 #librahack
-
朝日新聞野村記者「連絡が付かない1名の詳細は」 西井「流出した個人情報を持っているという連絡をいただいた人とはコンタクトをしている。IPアドレスからは、まだ特定をできていない。闇に流れたものではなく、特定の範囲内にとどまっているものと想定している」 #librahack
-
野村「特定の場所とは」 西井「Winnyなどに流れているわけではなく、ある方が一人で保有されているという状態だろうということ。今回の事件で関心をお持ちの人が検証目的のためにダウンロードしているのでは」 #librahack
-
日経BPなかい記者「図書館側からMDISのシステム納入をやめたいという動きは」 門脇「この件で図書館側に大きな迷惑をかけている。しかし多くの図書館から良さも理解されている。現時点でリプレース、やめたいという図書館はない」 #librahack
-
中井「今後も図書館検索システムのビジネスをやっていくつもりか」 門脇「新規顧客を開拓するかどうか。現時点ではずっと改修や謝罪にまわっていたので入札予定案件については辞退させてもらった。よりよい図書館システムを作っていってもう一度再生させたいと思ってる」 #librahack
-
日経BP中島記者「Anonymous FTPでは何人落としたのか特定しにくいはず。ログと付き合わせたのか」 西井「流出先はIPアドレスまでしか特定できていない。自分が持っていると名乗られた人とコンタクトを取ってる状況」 #librahack
-
中島「今回の流出ではパートナー会社のミスもあるが、パートナー会社への対応は」 門脇「FTPをanonymousにしていたのは大きなミスと認識して、新規取引停止という状況にある。今後の関係については彼らが再発防止を講じられたのちに、考慮する」 #librahack
-
日経新聞「本社に岡崎市のアクセス障害の連絡入ったのはいつ?」 西井「『librahack氏が逮捕された』という短いメッセージが5月下旬に入ってきた。6月にほかの図書館でも類似のアクセス障害が起きたという報告が来て、システムの改修を決意した」 #librahack
-
日経新聞「5月下旬の時点では、攻撃的アクセスという認識だったのか」 西井「逮捕されたことで心は痛めたが、中部からシステム上の障害という通知が上がってこなかったので6月まで対応ができなかった」 #librahack
-
神田「1週間前に図書館総合展があった。MDISさんは出展を予定していたが、直前に取りやめたらしいがそれはなぜ」 西井「多大な迷惑をおかけしている状況なので新しく提案するのは控えさせてもらおうということ」 #librahack
-
神田「いつから新規提案を控えているのか」 西井「個人情報の流出が発覚した9月下旬から10月上旬から提案は控えている。その時点で受注が決まっていたところは対応している」 #librahack
-
神田「先日MDISとは違うシステムを使っている朝霞市の図書館でも大量アクセスがあって半日間図書館の営業ができず業務が止まった。それはアクセス元ISPのabuse窓口を通じてアクセスを止めさせた。そういったISPを利用するやり方は知識として共有されていたのか」 #librahack
-
西井「岡崎市の問題が起きた時点では、そうしたISPのabuseを利用するやり方が共有できていなかった。そこにはSI屋として十分に対応できなかった責任がある」 #librahack
-
神田「librahack氏によるクローラ的アクセス以前に、御社のシステムに対してクローラ的機械的アクセスがあって障害が発生したケースはあるのか」 西井「各拠点で話はあったが、報告が東京に上がってきていなかった。現場では一過性の問題として処理されていた」 #librahack
-
神田「昨年に大阪貝塚市で大量アクセスがあり、御社が対応に入って1月にかけて対策を行ったとされている。その情報や報告は東京にあがってきていたか」 西井「大阪でとどまっていた」 #librahack
-
神田「librahackによるアクセスは正当なものだったか、不当なものだったか」 西井「クローラといっても一概にはいろいろある。3月の時点では初めて遭遇したという意味でSEが意図が読めず不安に思った。今はシステムインテグレータが対応すべき問題と認識している」 #librahack
-
神田「言葉を変えて質問します。librahackさんのプログラムは常識的なものだと思うか否か」 #librahack
-
西井「いくつか不安に思った要素がある。身元通知がなく、毎日訪れた。IPアドレスが3つあってブロックしても別の場所から来る。意図がわからないために戸惑いがあって排除回避に走った。今の時点では意図がわかっている。結果論でいえば1つのアクセスの形だと思う」 #librahack
-
神田「その意図がわからなかったのは御社がいたらなかったという認識か」 西井「SI屋として反省している」 #librahack
-
神田「librahackさんのプログラムは常識的なもの。それが来たときに閲覧障害が起きた。システムの側に問題があったのではないかということになるが」 西井「機械的アクセスがあったときに能力として不十分なところがあったが、不具合ではない」 #librahack
-
神田「最初に取材した8月当時御社はそういう認識ではなくて取った対応は問題がなかったという立場だったし、岡崎市にもそう説明していた。情報共有いたらない部分があったという話はあったが、御社としての不手際はなかったというスタンスだった」 #librahack
-
神田「問題はlibrahack氏のプログラムのアクセスだという認識だった。本日こうして謝罪したのは大きな進歩と捉えているが、御社はなぜ心変わりしたのか」 #librahack
-
門脇「この問題の真の問題はなにか。そこでいきついたのがSI屋としての責任。単に契約の範囲で仕事をすればいいということではなく、時代にあわせて十分か不十分だったかということを踏まえて総括させていただき、出した見解。反省すべき点は反省しようということ」 #librahack
-
神田「なぜ8月9月ではそうならなかったのか。個人情報流出で態度が変わったように見えるが」 門脇「必ずしもそういうことではない。時間がかかったのは個人情報流出事件の調査・謝罪などのステップがあったから」 #librahack
-
東京新聞「図書館システムの障害情報共有が会社内でうまくいかなった原因は」 西井「我々の組織に縦割りの弊害があった」 #librahack
-
東京新聞「障害対応については、各部署で対応しろという方針だったのか」 西井「最初は小さなところから初めてコツコツやっていったので結果的にそうなった」 #librahack
-
東京新聞「損害賠償については」 門脇「現時点で損害賠償請求するという図書館はないが、個人情報が悪用された場合、損害賠償などを請求するといった話をしてくる図書館はある」 #librahack
-
NHK「情報流出した2971人の人たちには個別に対応しているか」 門脇「社長名での謝罪文を各図書館と一緒にお詫び文を出している」 #librahack
-
NHK「流出させたパートナー会社は資本関係はあるか」 門脇「資本関係はない」 #librahack
-
NHK「第三者に流出させたのはパートナー会社だが、御社の責任は」 門脇「岡崎と中野の図書館のデータを混入させたことと、パートナー会社への指導が不十分だったという意味で弊社に責任があると考えている」 #librahack
-
以上で記者会見の質疑応答の速記録タイムシフト中継は終了。あとで音声ファイルアップします。おつかれさまでした! #librahack
-
記者会見音声をアップしようと思ったのですが、MDISさんからの要望(他のメディアと同じように編集記事にしてもらいたい。丸ごと中継するような形での会見内容の公開は想定範囲外という理由)を頂いたのでアップは控えることにします。すみません。 #librahack
コメント
2010-11-30 20:29:07
2010-11-30 20:42:23
2010-11-30 22:45:26
2010-12-01 01:22:37
2010-12-01 02:08:40
2010-12-01 06:05:48
2010-12-01 09:30:26
2010-12-01 11:03:24
2010-12-01 12:02:06
2010-12-01 12:23:13
2010-12-01 14:29:44
2010-12-01 15:42:50
2010-12-01 20:59:23
2010-12-01 21:08:03