Web蔵書検索システムをダウンさせたとして、悪意のない利用者が5月に逮捕された愛知県岡崎市立中央図書館をめぐり、新たな個人情報流出事件が発生した。

 同図書館は、三菱電機インフォメーションシステムズ(MDIS)の図書館向けパッケージ「MELIL(メリル)/CS」を採用する。MDISは同パッケージを、岡崎市立中央図書館の利用者情報163人分を含めた状態で、他の37カ所の図書館に販売した。その結果、他の図書館のシステムを通じて、利用者情報がインターネットに流出した。

 パッケージに顧客情報が紛れ込む前代未聞の事件の原因と、情報流出の経緯はこうだ。MDISはMELIL/CSのパッケージを開発する際に、岡崎市立中央図書館で稼働するASP(Active Server Pages)形式のスクリプトファイルやデータを使った。この作業に問題があり、同図書館における2005年6月末時点の延滞者データが、「Microsoft Access」のファイルとしてパッケージに混入した。

 これらのデータは、宮崎県えびの市と福岡県篠栗町の図書館システムを通じてインターネットに流出した。両図書館はいずれもMELIL/CSのユーザーで、同システムの運用・保守を千代田興産に委託している。同社のFTPサーバ ーが流出元となった。7月26日から8月4日にかけて、同社はFTPサーバーを、パスワードなしでアクセス可能な状態にしていた。FTPサーバー上のファイル名は、グーグルで検索可能になっていた。

 千代田興産のFTPサーバーを通じて、MELIL/CSのスクリプトも流出した。スクリプトを解析した専門家からは、先の「事件」との関連で、MELIL/CSの品質を問題視する声が上がっている。事件とは、クローラーを使って岡崎市立中央図書館のシステムをダウンさせたとして、図書館利用者が逮捕されたことである()。

表●MDISの図書館向けパッケージ「MELIL/CS」に関する一連の事件
[画像のクリックで拡大表示]
表●MDISの図書館向けパッケージ「MELIL/CS」に関する一連の事件

 産業技術総合研究所の高木浩光主任研究員は、「MELIL/CSにはDB接続方式に問題があり、1秒に1~2回程度という常識的なクロ ーラー(情報自動収集プログラム)からのアクセスにすら耐えられない構造だった」と指摘する。

 高木氏は次のように続ける。「MELIL/CSにコネクションプーリングなどの適切なDB接続方式が実装されていれば、そもそも事件は起きなかった」。

 MDISは本誌の問い合わせに、「個人情報の流出については、ライブラリ管理などに不十分な点があった」(広報)と責任を認める。一方で、処理性能については「2005年に想定した処理のピークに耐えられるように、設計・構築した。製品に欠陥があるとは考えていない」(同)と回答する。