(cache) 国立国会図書館で発生した保守・運用委託会社による内部情報の不正取得についてまとめてみた

国立国会図書館の館内ネットワークで発生した保守・運用委託である日立製作所社員(技師)による内部情報の不正取得についてここではまとめます。

2014年5月15日、国立国会図書館と日立製作所はそれぞれ図書館の内部情報の不正取得に関するお知らせを公開しました。日立製作所は国立国会図書館の保守・運用業務を請け負っていましたが、同社の社員が保守運用業務のために割当てられた管理権限を悪用し行ったことが明らかになりました。

国立国会図書館館内ネットワークの情報資産の一部が不正に持ち出された。
不正に取得した情報を元にシステム開発に関する入札に参加された。*1
- ただし、日立製作所は落札は出来なかった模様。*2
- 2014年 4月4日とは別の入札。

日立製作所技師は不正に取得した入札情報等を少なくとも次の4人にメールで共有していた。
- 技師の上司である主任技師
- 国立国会図書館の営業担当者
- 営業担当者の上司である営業部長代理
- 営業担当者の同僚である営業主任

確認(報道)されている不正取得された具体的な情報は次の通り。

日立製作所技師と一緒に貸与PCの画面を見ていた国会図書館職員が閲覧ファイル履歴の不審な点に気づいたことによる。*3
- 技師が見てはならない管理業務と関係ない入札に関る資料のファイル名であったため。
- その後の調査から職員専用フォルダにアクセスしていたことが明らかとなった。

保守・運用を請け負っていた日立製作所技師が運用管理に利用するアクセス権限を悪用し不正に取得(PCへ保存、メールにて外部へ送信)したため。
- 技師は2011年から国立国会図書館に常駐し館内ネットワークの保守・運用を行っていた。
- 管理のために割り当てられたアクセス権を用いて行われた。
- 技師が当該行為を働いた動機については「受注活動を有利にしたかった」と日立製作所の調査において明らかにしている。*4

国立国会図書館の業務サーバーやストレージのログの調査
日立製作所への徹底調査の指示
日立製作所へ技師の更迭・証拠保全の要求
国立国会図書館副館長をトップとする調査検証委員会の設置
- 日立製作所からの調査結果報告の受領
- 日立製作所への要調査事項の指示
- 日立製作所が適切な調査を行うよう継続的に要請

2001年
- 日立製作所へ国立国会図書館の保守・運用業務の委託が始まる。
2011年
- 日立製作所が国立国会図書館のシステム開発や保守・運用業務を総額約15億7000万円で受注。*6
2011年6月
- 2011年契約による日立製作所の運用・保守業務委託が始まる。
- 日立製作所技師が国立国会図書館の保守・運用業務の担当となる。
2011年保守開始以降
- 日立製作所技師による内部情報の不正取得が始まる。(2013年からとの報道もある*7 )
2014年2月
- 日立製作所が国立国会図書館へ4月4日入札に向けた提案書を提出。
2014年3月27日
- 国立国会図書館職員が技師のPC画面から不審な閲覧ファイル履歴に気づき発覚。
- 日立製作所が不正取得に関する調査を開始。
2014年4月4日
- 国立国会図書館が調査検証委員会を設置。
- 日立製作所が4月4日入札案件を辞退。
2014年5月15日
- 日立製作所が同社社員による不正取得行為に関するお知らせを公開。
- 国立国会図書館が日立製作所社員による不正取得行為に関するお知らせを公開。