三菱電機インフォメーションシステムズ(MDIS)は2010年11月30日、本社で記者会見を開き、図書館システムをめぐる問題について原因や再発防止策を説明した。MDISの門脇三雄取締役社長(写真1)は、「図書館関係者の皆様にご迷惑とご心配をおかけしましたことをおわび申し上げます」と陳謝した。
MDISの図書館向けパッケージ「MELIL(メリル)/CS」は、導入先の図書館で個人情報流出とWeb蔵書検索システムのダウンというシステムトラブルを起こしている(関連記事)。
2010年7月から9月に発生した個人情報流出に関しては、3図書館分・計2971人の個人情報が外部に流出したことを今回明らかにした。流出した情報は、氏名、生年月日、住所、電話番号、図書名などである。
流出の経緯は以下の通りだ。
まずMDISは、MELIL/CSの改良開発の際に、導入先の図書館で動作検証作業を行い、作業後にプログラムを自社に持ち帰ることがあったという。その際に、個人情報が含まれているとは知らずにプログラムを持ち帰り、それを製品マスターに登録。これにより、個人情報が紛れ込んだまま、MELIL/CSを別の図書館に納入してしまった。今回の問題では、岡崎市立図書館の利用者の個人情報159人分と中野区立図書館の利用者の個人情報51人分が紛れ込んでいた。
こうして、個人情報が紛れ込んだまま納入した図書館の一つが宮崎県えびの市の図書館だった。そこから、えびの市の図書館利用者の個人情報2761人分を含めて、計2971人の情報が外部に流出した。情報流出の直接の原因となったのは、MDISの販売パートナーで、えびの市のMELIL/CSの運用・保守を担当していた千代田興産がサーバーをパスワードなしで誰でもアクセスできる状態に設定していたこと。このため、第三者によってプログラムとデータをダウンロードされてしまったという(写真2)。
MDISによると、これまで流出した個人情報を悪用されたという報告はないという。えびの市以外に関しても、MELIL/CSの導入先図書館すべてに対して個人情報の有無を調査し、既に削除を完了した。ただし複数の自治体からは、悪用された際には損害賠償を求めるとの通告を受けており、「その場合には、真摯に対応する」と門脇社長は述べた。
同社は、個人情報を取り扱うシステムの管理基準を厳格化し、出荷時の個人情報の確認検査を徹底するといった再発防止策に取り組む方針を示した。
「インテグレーターとして対応が不十分だった」
一方、Web蔵書検索システムのダウンは、図書館利用者が新着図書情報を取得するために、クローラー(情報自動収集プログラム)を使って、直接蔵書データベースにアクセスしていたことがきっかけで発生した。
図書館システムへのインターネット接続が、1回のアクセスに対して10分間データベースに接続し続けるという仕様になっており、「頻度の高い機械的アクセスにより、データベースの同時接続数が設定値を超えたためにアクセス障害が発生した」とMDISは説明する。このため、接続方式をアクセスのたびに接続するように改め、6月末から11月にかけて28図書館のシステムを改修したという。
同社は、当初の図書館システムの仕様について「納入以降、特に問題なく稼働していた」(門脇社長)と、システムの不具合ではないことを強調した。ただし、クローラーからのアクセスに対応していなかった点については、「システムインテグレーターとして対応が不十分だった」(同)と反省する。門脇社長は、クローラーを利用してアクセスし愛知県警に逮捕された利用者(起訴猶予処分)に対しては、「不便をおかけした点をおわびする。誠意を持って対応したい」と謝罪した。
MDISは今後、障害報告の迅速化や障害情報を集約管理するなどして再発防止を図るという。また同社は、今後も図書館システムの事業は継続するものの、当面は新規顧客獲得のための営業活動を自粛するとしている。
