図書館システムにおけるアクセス障害と個人情報流出でお詫びを発表(三菱電機インフォメーションシステムズ)
三菱電機インフォメーションシステムズ株式会社は11月30日、同社の図書館システムに生じた問題の原因と再発防止策について、お詫びとともに報告を発表した。問題の根本原因は同社にあると認識し、再発防止策を講じて信頼回復に努めていくとしている。図書館システムに生
インシデント・事故
インシデント・情報漏えい
個人情報流出の問題は、同社の図書館システムを仕入れて図書館に販売している九州地区のパートナー会社のサーバから、図書館利用者の個人情報が2010年8月上旬にインターネットを通じて外部に流出したというもの。流出した個人情報は3図書館、約3000名分の氏名、生年月日、住所、電話番号、図書名等が組み合わさったものであった。同社では図書館システムの改良開発を行う際の試験などを導入先図書館の動作環境で行う場合があり、作業後に個人情報が含まれていることに気付かずにプログラムを自社に持ち帰り、製品マスターに登録することがあった。この作業は2000年から2010年7月までの間、同社の各拠点で行われており、そのまま図書館システムを出荷した。この結果、同システムを採用したほとんどの図書館に、他の図書館の個人情報が存在するという事態となった。
また同システムは、パートナー会社へ仕切り販売する形態もあり、個人情報が含まれたままでパートナー会社へ同システムを販売した。このパートナー会社がサーバに誰でもアクセスできる状態に誤って設定していたことから、第三者にプログラムおよびデータをダウンロードされ、そこに含まれていた個人情報が流出した。同社の個人情報流出についての確認が不十分であったため、流出情報の確定まで約4カ月を要する結果となったという。同社ではシステムインテグレーターとしての責任を果たすことができていなかったと認識しており、それぞれの問題において複数の再発防止策を発表している。なお、岡崎市入札参加者審査委員会では本件を「不正又は不誠実な行為」として審議し、同社の入札参加停止を決定している。
http://www.mdis.co.jp/news/press/2010/1130.html
http://www.city.okazaki.aichi.jp/appli/06/wp06_view.asp?hdnBangou=9860
《ScanNetSecurity》