三菱電機インフォメーションシステムズ(MDIS、門脇三雄社長)は、11月30日、同社の図書館システム「MELIL/CS」を導入した図書館3施設で個人情報流出が発生していたと発表した。

 MDISは、9月28日にも同社の図書館システムのプログラムライブラリに、岡崎市立中央図書館の利用者の個人情報を、他の37か所の図書館システムに混入させる事故を起こしている。インターネットからアクセス可能な状態で、2か所の図書館のウェブシステムから計163人分の個人情報がダウンロードされたと確認している。

 この事故を受けて他の図書館の調査を行ったところ、新たに個人情報が流出していたことが判明。MDISの図書館システムを仕入れ、図書館に販売している九州地区のパートナー会社のサーバーから、8月上旬、図書館利用者の個人情報がインターネットを通じて外部に流出していた。個人情報は氏名、生年月日、住所、電話番号、図書名などを含む3図書館分、約3000人に上る。

 MDISは、図書館システムの最新機能試験を導入先図書館で行っていた。2000年から2010年7月までの間、個人情報が含まれていることに気付かず、プログラムと一緒に自社に持ち帰り、MDISの製品マスターに登録する作業が各拠点で行われていた。その結果、図書館システムを採用したほとんどの図書館に他の図書館の個人情報が存在するという事態になったという。図書館システムを販売するパートナー会社のサーバーが、誰でもアクセスできる状態(アノニマス設定)になっており、第三者からプログラムとデータをダウンロードされ、含まれていた個人情報が流出したという。

 パートナー会社のサーバーの流出経路は、8月4日に閉鎖。ダウンロードされた個人情報は、各図書館と連携して削除している。また、図書館システムを採用した全図書館に他館の個人情報の有無について調査を実施し、11月19日までにすべて削除した。

 MDISは、再発防止策として、個人情報を取り扱いとインターネットに接続するシステムの管理基準を高め、審査を厳格化するとともに、出荷時に個人情報を検索ツールやクロスチェックで確認する検査を徹底。図書館システム事業部門の製品マスターを開発部門で一元管理し、作業標準の見直しと、問題が生じた場合に、個人情報を扱うシステムの品質・セキュリティの専門家を参画させ、迅速な解決と情報共有を図る。また、パートナー会社に販売する際のセキュリティーガイドラインを提示するとしている。(鍋島蓉子)