あれっ? なんかおかしいぞ?
三菱電機インフォメーションシステムズが自治体の情報を漏洩させた話。
東京都中野区立図書館がMDISからの説明としてウェブにアップした文書 mdis20101015.pdf のプロパティから,作成日 2010/10/15 9:05:30 作成したのは富士ゼロックスのカラー複合機 ApeosPort-III C4405。たぶんファックスで届いたものをそのままスキャンして PDF にしたと思われます。
同じ文面は MDIS の公式サイトでニュース→トピックス→2010年トピックス→弊社図書館システムにおける個人情報の流出について(お詫び)と辿ると読めます。こちらがアップされたのは,2010年10月15日 10:40:04。
で,それを受けて?の中野区立図書館の説明では,情報漏洩の発覚過程が食い違っています。
比べてみましょう。
まずは,MDIS の説明。
弊社が開発した図書館システムに図書館利用者様の個人情報が混入、流出し、弊社のパートナー会社が販売、納入したシステムから159名分の個人情報がインターネットを通じダウンロードされた件について9月28日に発表いたしました。
その後の調査により、更に中野区立図書館様(2名分)の個人情報が、ダウンロードされた情報に含まれていることが判明いたしましたので、お知らせいたします。
続いて,中野区立図書館の説明。
原因は、2003年にシステム開発を行った際、三菱電機インフォメーションシステムズ株式会社が自社の作業用パソコンを持ち込みテスト作業を行い、テスト完了後、パソコンを持ち帰ったが、この時、データ消去が完全に行われずにプログラムデータの中に個人情報2名分が残存してしまったものです。
(中略)
この事実は、最近、中野区と同じシステムを採用している九州の二つの自治体(福岡県内と宮崎県内)の保守管理業務を受託しているシステム開発メーカーの関連会社が、このプログラム・データを誤ってインターネット上に置き、さらに外部からのアクセスを遮断しておかなかったことから、外部から二人のアクセスがあり、このプログラムをダウンロードしたことにより、データが外部に流出して判明しました。
発覚の経緯が違います。MDIS は「調査によってわかった」としていますが,中野区立図書館は「漏洩してわかった」としています。
ちなみに,MDIS は「10月8日に把握した」と言っているようです。*1
だとしたらちょっと報告が遅くないですかねえ。一週間かかって発表になっています。
ちょっとした時系列をば。
MDIS の言う通り,10/8 に彼らが把握していたとしましょう。
10/12 20時すぎ,私が中野区の二件を発見します。
直後に,朝日新聞神田さんに情報提供をしています。*2
その後,22時すぎに,MDIS 広報 K 氏かららしい,情報の返却と削除を求める文書が添付されたメールが届きます。*3
中野区立図書館へは,翌13日朝8:49に情報漏洩を伝えるメールを送信しています。*4
MDIS および中野区の発表が,15日朝。
自分たちで調査したと言うにしては発表が遅すぎるし,なんかタイミングが,ねえ。
さて。
中野区に事情はよく説明したようですが,なかなか凄まじい理由です。作業用PCでテストを行った後,データを消さずに持ち帰ったというのです。これ,すごい言い訳ですよ。
まず,持ち込んだPCでテストといいますが,なんで実機じゃないんでしょうかね。開発の最終段階では実機でテストします。開発機を持ち込んでテストしても意味はありません。だって,稼動させるのは開発環境じゃないから。
で,ちょっとした時系列を。
中野区のシステムが稼動したのは2003年12月です。
漏れた情報の時期は,2003年9月。導入前です。
漏れたデータが入っていた MDB については,開いた段階で更新日や作成日の情報が壊れてしまうので,中身のマクロの作成日で見てみると,2003/11/20 13:12:26 に AutoExec マクロが作成されています。
テーブルのプロパティを見ると,2003/10/29 18:49:00 作成,2003/11/13 10:19:54 更新となっています。
つまり,こういう推測が成り立ちます。
2003年10月29日にテーブルを作成,11月13日にデータを書き込み,11月20日にマクロを追加。マクロはテーブルにあるデータをレポート形式に整形して印刷するだけのものです。
中野区立図書館の説明と比べると,順序がおかしいですね。
「現地に開発機を持ち込んでテスト」したのではなく,「実データを持ち出して開発した」と考えるのが妥当な時系列です。
というわけで,中野区の説明と MDIS の説明に食い違いがありますよ,というおはなし。