SIerの責任果たしていなかった--MDIS、図書館システム問題で謝罪

　三菱電機インフォメーションシステムズ（MDIS）は11月30日、同社が開発する図書館システム「MELIL/CS」に生じた問題の原因と再発防止策について、お詫びとともに報告を発表した。問題の根本原因は同社にあると認識し、再発防止策を講じて信頼回復に努めていくとしている。

　MELIL/CSに生じた問題とは、ウェブサイトへのアクセス障害と個人情報流出の問題。報告ではまず、岡崎市立図書館で発生したアクセス障害の件に触れている。同システムのネット接続は、利用者が図書館のウェブサイトの画面から操作することを想定した仕様となっており、岡崎市立図書館には2005年に納入している。

　3月中旬から5月中旬にかけて、新着図書情報をプログラムにより取得する機械的なアクセスがあった。このプログラムは、図書館が提供するウェブサイトから蔵書データベースに直接アクセスする方式で、人がウェブサイトの画面から操作する頻度を超えるアクセスが機械的に繰り返された。このアクセスの際には、ほかの利用者がウェブサイトを利用するとつながりにくい、または、つながらないというアクセス障害が発生した。

　MELIL/CSは、1回のアクセスに対して10分間、データベースとの接続を維持する仕様となっており、この機械的な高頻度のアクセスでデータベースへの同時接続数が設定値を超え、アクセス障害が発生した。MDISは、さまざまな回避策を講じたが完全な回避はできず、6月にはほかの図書館でも同様のアクセスが確認されたため、接続方式を変更、一定時間接続を維持する方式からアクセスの都度、接続する方式へと改めた。この変更は11月15日までに対象となる28の図書館で完了していると説明する。

　個人情報流出の問題は、同社の図書館システムを仕入れて図書館に販売している九州地区のパートナー企業のサーバから、図書館利用者の個人情報が8月上旬にネットを通じて外部に流出したというもの。流出した個人情報は3図書館、約3000人分の氏名、生年月日、住所、電話番号、図書名などが組み合わさったものであった。

　MDISは、図書館システムの改良開発を行う際の試験などを導入先図書館の動作環境で行う場合があり、作業後に個人情報が含まれていることに気付かずにプログラムを自社に持ち帰り、製品マスタに登録することがあった。この作業は2000年から2010年7月までの間、同社の各拠点で行われており、そのまま図書館システムを出荷した。この結果、同システムを採用した、ほとんどの図書館にほかの図書館の個人情報が存在するという事態となった。

　また同システムは、パートナー企業へ仕切り販売する形態もあり、個人情報が含まれたままでパートナー企業へ同システムを販売した。このパートナー企業がサーバに誰でもアクセスできる状態に誤って設定していたことから、第三者にプログラムやデータをダウンロードされ、そこに含まれていた個人情報が流出した。同社の個人情報流出についての確認が不十分であったため、流出情報の確定まで約4カ月を要する結果となったという。

　パートナー企業のサーバの流出経路は8月4日に閉鎖しており、新たな流出はないとしている。また、ダウンロードされた個人情報は各図書館と連携し、データの削除、保全に努めている。図書館システムの個人情報は通常アクセスできない領域に格納されている。これらについても、11月19日までにすべて削除が完了したとしている。

　同社ではシステムインテグレーターとしての責任を果たすことができていなかったと認識しており、それぞれの問題で複数の再発防止策を発表している。