図書館システムにおけるアクセス障害と個人情報流出でお詫びを発表（三菱電機インフォメーションシステムズ）

三菱電機インフォメーションシステムズ株式会社は11月30日、同社の図書館システムに生じた問題の原因と再発防止策について、お詫びとともに報告を発表した。問題の根本原因は同社にあると認識し、再発防止策を講じて信頼回復に努めていくとしている。図書館システムに生じた問題とは、ホームページへのアクセス障害と個人情報流出の問題。アクセス障害は岡崎市立図書館において発生したもので、2010年3月中旬から5月中旬にかけて、新着図書情報をプログラムにより取得する機械的なアクセスがあった。同社ではさまざまな回避策を講じたが完全な回避はできず、6月には他の図書館でも同様のアクセスが確認されたため、接続方式を変更、一定時間接続を維持する方式からアクセスの都度、接続する方式へと改めた。この変更は11月15日までに対象となる28の図書館において完了しているという。なお、岡崎市立図書館へ故意に大量のアクセスをしかけたとして、愛知県警は県内の自営業男性（39歳）を偽計業務妨害容疑で5月に逮捕している。6月には名古屋地検岡崎支部が「悪質ではないが、支障を生じさせた」として、起訴猶予としている。

個人情報流出の問題は、同社の図書館システムを仕入れて図書館に販売している九州地区のパートナー会社のサーバから、図書館利用者の個人情報が2010年8月上旬にインターネットを通じて外部に流出したというもの。流出した個人情報は3図書館、約3000名分の氏名、生年月日、住所、電話番号、図書名等が組み合わさったものであった。同社では図書館システムの改良開発を行う際の試験などを導入先図書館の動作環境で行う場合があり、作業後に個人情報が含まれていることに気付かずにプログラムを自社に持ち帰り、製品マスターに登録することがあった。この作業は2000年から2010年7月までの間、同社の各拠点で行われており、そのまま図書館システムを出荷した。この結果、同システムを採用したほとんどの図書館に、他の図書館の個人情報が存在するという事態となった。

また同システムは、パートナー会社へ仕切り販売する形態もあり、個人情報が含まれたままでパートナー会社へ同システムを販売した。このパートナー会社がサーバに誰でもアクセスできる状態に誤って設定していたことから、第三者にプログラムおよびデータをダウンロードされ、そこに含まれていた個人情報が流出した。同社の個人情報流出についての確認が不十分であったため、流出情報の確定まで約4カ月を要する結果となったという。同社ではシステムインテグレーターとしての責任を果たすことができていなかったと認識しており、それぞれの問題において複数の再発防止策を発表している。なお、岡崎市入札参加者審査委員会では本件を「不正又は不誠実な行為」として審議し、同社の入札参加停止を決定している。

http://www.mdis.co.jp/news/press/2010/1130.html
http://www.city.okazaki.aichi.jp/appli/06/wp06_view.asp?hdnBangou=9860