三菱電機インフォメーションシステムズ株式会社の MELIL/CS 導入図書館における情報漏洩に関するさまざま
さて。
私が知りえた情報から,かいつまんで書く前に,おおよその状況を把握しておいてもらいたい。
まず,前提として,岡崎市立中央図書館は今回の情報漏洩については被害者であること。
第二に,今回の情報漏洩は二つの事件がひとまとめで扱われていること。
第三に,この情報漏洩は拡大する可能性が極めて高いこと。
第四に,親会社である三菱電機が責任を負うべき事件であること。
まず第一に。本事件*1においては,岡崎市立中央図書館は被害者であるということを確認しておきたい。
手元にある契約書のコピーを参照しよう。次の文言がある。同じ文書は,念力デバッグで活躍した三名の筆頭格,前田氏のblogにもある。
委託者岡崎市を甲とし、受託者三菱電機株式会社中部支社を乙とし、次の条項により契約を締結する。
(中略)
(再委託の禁止)
第5条 乙は、甲の承諾を得た場合を除き、自ら個人情報の処理を行うものとし、 第三者にその処理を委託してはならない。
2 乙は、業務の一部を第三者に委任し、又は請け負わせた場合、甲に対して 再委託先の行為について全責任を負うものとする。
(個人情報の保護)
第7条 乙は、この契約による個人情報の取扱いについては、別記 「個人情報取扱特記事項」を守らなければならない。
(目的外使用の禁止)
第8条 乙は、委託業務遂行上甲から提供された資料及びデータ(以下「資料等」という。)を他の用途に使用又は第三者に提供若しくは譲渡してはならない。
(複写及び複製の禁止)
第9条 乙は、甲の承諾なくして資料等を複写又は複製してはならない。
三菱電機本体の契約違反である。岡崎市立中央図書館は,三菱電機本体の契約違反によって利用者の個人情報を転用され,漏洩された。
転用については,新たに情報を示す必要があるだろう。
私の手元に,「岡崎市立図書館シンコンピュータシステム構築事業 ご提案書」という資料がある。三菱電機株式会社 中部支社名で岡崎市に提案されたもので,平成16年7月7日の日付が入っている。
この資料をめくると,15ページに「弊社の個人情報保護における社則及び研修」という資料がある。コピー品質がいまひとつのためよく読めないが,1998年11月の事例から2004年2月の事例まで6例を挙げ,三菱電機として「社則・セキュリティポリシー」「ISMS・プライバシーマークの取得」「各種セキュリティソリューションの提供」「外注先を含めたコンプライアンスの徹底」の四点をまとめて「三菱電機個人情報保護方針」として,個人情報保護を謳っている。
さて,少し前に戻ると9ページ目に「弊社の環境整備状況」という資料がある。一部引用しておこう。
岡崎市立図書館様向けの専用開発環境を整備いたします。稼動するシステムのミニマムセットを弊社にも保有し,あらゆる試験を行ったうえ高品質なシステムをご提供いたします。
つまり,岡崎市のシステムメンテナンス用に,「専用の環境を作って」対応する,と謳っているのだ。
さらに10ページ目では,次のように謳っている。
開発環境を,そのまま保守環境として利用いたします。
障害やトラブル発生に備え,再現環境を社内に保有し,迅速な対応をとることができるよう評価環境を社内に保有します。
データについては弊社テストデータを使用します。
個人情報を含むお客様のデータは使用いたしません。
大部分は機能説明だが,ここに挙げたいくつかの点において注目すべきだろう。
ひとつは,「三菱電機中部支社」名で契約を取っていること。
ひとつは,岡崎市立中央図書館用の検証環境を作っていたこと。
ひとつは,検証環境は開発環境をそのまま転用していたこと。
ひとつは,検証環境に個人情報が含まれないようにしていたはずであること。
これらがことごとく守られていない。
契約において定められた内容が反故にされていたことは明らかだ。
提案書がそのまま採用されたと断定するのは難しいが,提案のとおりであったなら,岡崎市立中央図書館でのメンテナンスは現場ではなく保守用環境で行われ,その結果が岡崎市立中央図書館に反映されていたはずであるが,そうではなかったことが推測される。
また,開発環境として使っていた岡崎市のミラーが,他の図書館の開発環境に転用されたことが強く疑われる。
全て,三菱電機が責任を持つべき範囲にあることだ。岡崎市は個人情報漏洩において一方的な被害者にあたる。
第二に,今回の事件が二つの事件をひとまとめにして扱われていることに注意しなければならない。
まず,情報漏洩が起きたのは,「三菱電機インフォメーションシステムズが他の図書館に岡崎ミラーをインストールした」段階で発生していることを認識する必要がある。
第二に,下請けとなる他社が,これまでに確認されているだけで三箇所,AnonymousFTP を稼動させ,個人情報を漏洩しうる状況に置いていたことを認識する必要がある。
つまり,MDISによる個人情報漏洩と,管理会社による個人情報漏洩の,二つの事件がひとまとめに扱われている。
これらは分離して扱うべきだろう。
第三に,この個人情報漏洩は拡大する可能性が極めて高いことを指摘しておかなければならない。
すでに,http://www26.atwiki.jp/librahack/pages/30.html で一部示してあるが,複数の図書館においてコピー,孫コピーが行われていることを確認している。
つまり,岡崎で起きた事が他の MELIL/CS 導入図書館でおきていないとは断定できない状況にある。
特に神奈川県相模原市立図書館は蔵書も多く,利用者も多いことが予測される。また,相模原対応で大きなカスタマイズが行われ,以後しばらくは相模原テンプレートが利用された形跡がある。
同様に,東京都渋谷区立図書館の利用者情報が全国に散逸した可能性も否定できない。
今後,調査が進めば,第二第三の情報漏洩が発覚してもおかしくない。
第四に,親会社である三菱電機が責任を負うべき事件であることを指摘しておく。
すでに第一の部分で指摘済みだが,岡崎市立中央図書館の導入,開発,データ移行等について,三菱電機中部支社が受託している。契約書に明記されている通りだ。
情報漏洩時期の契約に基づき,これらの瑕疵に対して責任を取るべきは三菱電機であるといえる。
ところで,MDIS は「岡崎市立中央図書館で実施した最新の対策を本社のプログラムライブラリに反映させた際に,不要なデータも同時に吸い上げた」としているが,先のエントリで述べたように,MDIS*2は本社に検証環境を持ち,そこでメンテナンスを実施して,その結果を岡崎市立中央図書館に反映させる,という手順を取っているはずだった。
つまり,岡崎市立中央図書館のデータがMDISに渡るはずがないのだ。
MDIS から岡崎市立中央図書館へのフィードバックはあっても,その逆がない,という保守形態だったはずだ。では,なぜ情報が漏洩したのか?
何らかの理由で,MDIS に岡崎市立中央図書館の個人情報が渡ったはずだ。
かつ,「岡崎市立中央図書館保守用環境」がそのまま他の図書館の開発環境に転用されたはずだ。
この二点,岡崎市と三菱電機の契約を(手持ちの資料の範囲で)探してみても,これを是とする資料が見つからない。
つまり,MDIS(そして,三菱電機本体)は,少なくとも岡崎市立中央図書館利用者の個人情報漏洩の経緯について,ウソをついていると強く推測することができる。
さて。
今回,タイヤはいくつ空を飛んでいるんだろうか。*3