アカウント名:
パスワード:
岡崎市立中央図書館によるアナウンス、 図書館利用者情報の流出について(平成22年10月1日) [aichi.jp]
混入した他の図書館のシステム上のデータは26日現在、業者においてすべて削除されています。インターネット経由で取得された情報については、専門機関とも相談しながら、拡散しないような対応を行うとの連絡を業者から受けています。該当の163名の方へは、説明及びお詫びの文書をお送りいたしました。
混入した他の図書館のシステム上のデータは26日現在、業者においてすべて削除されています。インターネット経由で取得された情報については、専門機関とも相談しながら、拡散しないような対応を行うとの連絡を業者から受けています。
該当の163名の方へは、説明及びお詫びの文書をお送りいたしました。
館長
丸投げでほかは知らんぷりの岡崎市立図書館サイドの不作為のそしりを免れないかも。条例違反が指摘されていますね。岡崎市個人情報保護条例 [aichi.jp]より第53条を抜粋:
第53条 実施機関の職員若しくは職員であった者又は第13条第1項の委託を受けた事務若しくは公の施設の管理事務に従事している者若しくは従事していた者が、正当な理由がないのに、個人の秘密に属する事項が記録された公文書で一定の事務の目的を達成するために特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの(その全部又は一部を複製し、又は加工したものを含む。)を提供したときは、2年以下の懲役又は100万円以下の罰金に処する。
どこの自治体にも情報セキュリティや個人情報保護のための規則があるけれど、業者からの漏洩が確認されたときに、その業者に尻拭いを全面委託するか、独自に情報を集めて市でやれるだけのことはする、という選択には大きな違いがある。
えびの市の行政情報セキュリティポリシー [ebino.lg.jp]によると
情報資産を外部からの不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策、また、ネットワークの監視、情報セキュリティポリシーの遵守状況の確認等の運用面の対策を講ずる。このほか、緊急事態が発生した際に迅速な対応を可能とするための危機管理対策を講ずる。
とある。図書館の ftp が匿名 FTP だったのは業者の失策だったが、そんな出鱈目な業者の情報を鵜呑みにせず、誰がファイルを持っているか [twitter.com]、流出内容の真贋を見極める [twitter.com]対応ができるのは、危機管理体制が整っている証拠かと。タレコミの結論をえびの市に拍手を送る内容にすれば良かったと今更ながら思う。
ちなみに愛知県警に入手経路から相談したところ「岡崎市立中央図書館に聞けと言われた。事件じゃなくて事故なので,持っていても別段どうというものではないとのことなので」 [twitter.com]、岡崎の対応に不甲斐なさを感じたたりき氏は図書館と市の出方を伺う方向で動いているようだ。
信用というのは、ミスをしたときではなく、ミスへの対応を誤ったときに失われる。
っつーても、平謝りをすれば良いというのではなく、被害者に謝罪すると共に、ミスの原因を包み隠さず説明し、被害の拡大阻止と、再発防止策への取り組みについて、方針とタイムスケジュールを速やかに明示するのが重要になる。
と、土下座リカバリーで週末残業中(休出確定)の俺が言ってみる。
岡崎市立図書館の不作為の疑義:
https://twitter.com/tetsutalow/status/26049927827 [twitter.com]
> 公務員は刑訴法239条2により告発義務もあります
カーリルの対応する図書館は4/1700のanonymous FTPがあったが昨夜から対応中http://twitter.com/ryuuji_y/status/26051845695 [twitter.com]
岡崎市立図書館と同等またはそれ以下の後ろ向きな対応はいまのところないみたい。まだ知りえていない情弱(意訳)なところを除けば。
>丸投げでほかは知らんぷりの岡崎市立図書館サイドの不作為のそしりを免れないかも。
刑事・民事とは無関係な「そしり」はともかく、少なくとも刑法上は、不作為犯を罰する場合、作為犯との「構成要件的同価値性」が求められます。例えば、「憎しみのあまり殺意をもって、包丁で相手の胸をメッタ刺しにした」なら作為による殺人罪。他方、「自分の子どもが目の前で溺れているのを認識し、且つ救助するになんら障害がないのに傍観した親」や「外界から隔絶された環境において、幼児に食事を与えなかった親」は不作為による殺人罪。
どうですか?不作為の要件て厳しいと思いませんか?これは刑法が、原則として犯罪を「作為の結果」として規定しているからなんですよ。(例外は不退去罪とかかな?)
#う~ん・・・時節柄「親の子殺し事例」しか思いつかなかった。
この条文だと不作為をした(何もしなかった!?) 個人が責めを負うことになっているけど、実際誰に(まで)責任があるのかで揉めそうだね。管理責任を突き詰めれば市長ってことになる。一方で根本原因を作ったと見られる三菱インフォメーションシステムズ側に刑事罰はいきそうにない。
市が三菱インフォメーションシステムズに対して損害賠償訴訟は起こせるかもしれないけど、そもそも刑事罰の対象にもならない業者に賠償責任てあるのかなぁ。
>瑕疵担保責任はあるんじゃね?契約にもよるけど。瑕疵担保責任が法的に認められれば、当然賠償責任負います。
#民法上「責任」とは「金払え!」と同義。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
岡崎は業者におんぶに抱っこなのか (スコア:2, 興味深い)
岡崎市立中央図書館によるアナウンス、 図書館利用者情報の流出について(平成22年10月1日) [aichi.jp]
館長
モデレータは基本役立たずなの気にしてないよ
twitterの#librahack直近のRTでは…… (スコア:2, 興味深い)
丸投げでほかは知らんぷりの岡崎市立図書館サイドの不作為のそしりを免れないかも。
条例違反が指摘されていますね。
岡崎市個人情報保護条例 [aichi.jp]より第53条を抜粋:
岡崎市は知らんけど、えびの市の対応は素晴らしい (スコア:4, 参考になる)
どこの自治体にも情報セキュリティや個人情報保護のための規則があるけれど、業者からの漏洩が確認されたときに、その業者に尻拭いを全面委託するか、独自に情報を集めて市でやれるだけのことはする、という選択には大きな違いがある。
えびの市の行政情報セキュリティポリシー [ebino.lg.jp]によると
とある。図書館の ftp が匿名 FTP だったのは業者の失策だったが、そんな出鱈目な業者の情報を鵜呑みにせず、誰がファイルを持っているか [twitter.com]、流出内容の真贋を見極める [twitter.com]対応ができるのは、危機管理体制が整っている証拠かと。タレコミの結論をえびの市に拍手を送る内容にすれば良かったと今更ながら思う。
ちなみに愛知県警に入手経路から相談したところ「岡崎市立中央図書館に聞けと言われた。事件じゃなくて事故なので,持っていても別段どうというものではないとのことなので」 [twitter.com]、岡崎の対応に不甲斐なさを感じたたりき氏は図書館と市の出方を伺う方向で動いているようだ。
モデレータは基本役立たずなの気にしてないよ
Re:岡崎市は知らんけど、えびの市の対応は素晴らしい (スコア:3, すばらしい洞察)
信用というのは、
ミスをしたときではなく、
ミスへの対応を誤ったときに失われる。
っつーても、平謝りをすれば良いというのではなく、
被害者に謝罪すると共に、ミスの原因を包み隠さず説明し、
被害の拡大阻止と、再発防止策への取り組みについて、
方針とタイムスケジュールを速やかに明示するのが重要になる。
と、土下座リカバリーで週末残業中(休出確定)の俺が言ってみる。
Re: (スコア:0)
#librahackの投稿多くてついていけない (スコア:2, 参考になる)
岡崎市立図書館の不作為の疑義:
https://twitter.com/tetsutalow/status/26049927827 [twitter.com]
> 公務員は刑訴法239条2により告発義務もあります
カーリルの対応する図書館は4/1700のanonymous FTPがあったが昨夜から対応中
http://twitter.com/ryuuji_y/status/26051845695 [twitter.com]
岡崎市立図書館と同等またはそれ以下の後ろ向きな対応はいまのところないみたい。
まだ知りえていない情弱(意訳)なところを除けば。
不作為とは (スコア:0)
>丸投げでほかは知らんぷりの岡崎市立図書館サイドの不作為のそしりを免れないかも。
刑事・民事とは無関係な「そしり」はともかく、少なくとも刑法上は、不作為犯を罰する場合、作為犯との「構成要件的同価値性」が求められます。
例えば、「憎しみのあまり殺意をもって、包丁で相手の胸をメッタ刺しにした」なら作為による殺人罪。
他方、「自分の子どもが目の前で溺れているのを認識し、且つ救助するになんら障害がないのに傍観した親」や「外界から隔絶された環境において、幼児に食事を与えなかった親」は不作為による殺人罪。
どうですか?
不作為の要件て厳しいと思いませんか?
これは刑法が、原則として犯罪を「作為の結果」として規定しているからなんですよ。
(例外は不退去罪とかかな?)
#う~ん・・・時節柄「親の子殺し事例」しか思いつかなかった。
Re: (スコア:0)
この条文だと不作為をした(何もしなかった!?) 個人が責めを負うことになっているけど、実際誰に(まで)責任があるのかで揉めそうだね。
管理責任を突き詰めれば市長ってことになる。
一方で根本原因を作ったと見られる三菱インフォメーションシステムズ側に刑事罰はいきそうにない。
市が三菱インフォメーションシステムズに対して損害賠償訴訟は起こせるかもしれないけど、そもそも刑事罰の対象にもならない業者に賠償責任てあるのかなぁ。
Re: (スコア:0)
でも賠償責任とはちょっと違うか。
Re: (スコア:0)
>瑕疵担保責任はあるんじゃね?契約にもよるけど。
瑕疵担保責任が法的に認められれば、当然賠償責任負います。
#民法上「責任」とは「金払え!」と同義。