More Related Content
Similar to 20110110日本図書館研究会
Similar to 20110110日本図書館研究会 (20)
More from UEHARA, Tetsutaro
More from UEHARA, Tetsutaro (20)
20110110日本図書館研究会
- 2. 自己紹介
学生時代、学内の「インターネット」立ちあげ
ボランティアの一人
和歌山大学にて「システム情報学センター」に
勤務、ネットワークと学生向け端末管理
現在、京都大学学術情報メディアセンターで
学生用端末の企画運営
その一方でNPO活動として
「自治体の情報セキュリティ」支援活動を
- 9. そもそもこれはアタリマエなのか
三菱総研から発表された
「図書館のITシステム」に関する調査報告
初期構築費用の平均は2000万
資料購入費に対しIT投資は25~50%が多い
ただし6%ほど資料購入費を超えているところが。
専任システム担当者がいるところは6%
担当者なしが41%(全部業務委託?)
8割が外部IT専門家の支援がない?
85%はIT人材育成をしていない??
- 10. ではMELIL/CSは
その価格に見合うものだったのか
岡崎市のプロポーザル集計表によると
目立つ高評価項目は
「インターネット蔵書検索業務」
「セキュリティ対策」
「個人情報保護に対する内規や社員研修」
しかし、実際は?
- 12. MDISおよびMELIL/CSの
セキュリティと個人情報保護
「大量アクセス」事案に触発された人々が
MDISの図書館システム(MELIL/CS)の
欠陥調査・脆弱性調査を始めた結果
XSS,SQLインジェクション等の
「簡単な」脆弱性が次々見つかる
少なくとも専門家の目から見て、Webシステム
関係はセキュリティに配慮された設計ではない
これで「セキュリティ」に高評価?!
その中でこんなことが判った…
- 13. なんと一部のMELIC/CS導入館
のWebサーバが「丸見え」に
Anonymous ftp状態で全データにアクセス可能
これによりWebサーバ内のデータが大々的に流出
MELIL/CS採用館では
福岡県篠栗町、宮崎県えびの市、北海道栗山町
実は他システム採用館からも見つかっている…
図書館システム以外からも偶然見つけたり…
この中からASPのスクリプトが見つかり
MELIL/CSの問題点が露わに
それだけではなく「個人情報漏えい」が明らかに
岡崎市の個人情報が少なくとも37図書館に流出
他にえびの市、中野区などからも
- 14. なんで個人情報が漏れた?
「コピペ図書館疑惑」
実はそれ以前にトップページのHTMLソースの記
述から、こんなことが推測されていた…
MELIL/CSは『パッケージ』ということになっているが、
実は図書館毎に構築されカスタマイズされた後、他館
に複製されさらにカスタマイズ…を繰り返していたので
は?
その痕跡が杉谷智宏氏によって解析されている
参考:
http://www26.atwiki.jp/librahack/pages/30.
html
- 15. おそらく、ストーリーは…
いくつかの契約書によると各館では
「雛形をMDIS社内に持ち、そこで保守を行い動
作検証した上で実運用に投入」と説明されていた
模様
構築そのものが現地で行われた結果、構築作業
終了時にその現場環境を逆に社内に巻き取って
「雛形」にされた模様
岡崎では実運用開始後も構築作業が行われてい
た模様で、その時のデータが「雛形」作成時に吸
い上げられてしまった…
それが横展開されていた?
どんな「個人情報保護に関する社内研修」をしたら
こんな運用が可能なのか!
- 16. そもそもの問題
「公務員システム」とは何か??
公務員が大事にしているのは「身分」「安定」
特に「金銭的利益」<「地位の安定」
評価は基本的に「減点主義」
何もしないのが最適戦略になってしまう
いかに面倒な仕事を減らすかが勝負
加点されるのは…(特に地方公務員では)
金と人の確保が出来る人 特に「予算はチカラ」
議会対応がうまい人
ジェネラリストが出世し専門家は飼い殺される(含IT)
そもそも異動しまくるので専門性が育たない
こんな中でどうやってITシステムを管理するというのか?
- 17. しかも、公共ITにおける
「原課調達主義」の弊害
公務員の縦割りが徹底していると、
システムの更新は全て原課から提案され…
予算申請
仕様策定 調達
システム導入 運用
…全てが原課の主導の下で行われる
ところがITの技術的評価や価格の妥当性は
この種の人たちには全く理解できない
かといってIT担当課も業務がよく見えてない場合が
よって全てが業者任せになってゆく
- 19. 自治体IT調達における
IT版ストックホルム症候群
業者と原課が(特に贈収賄関係もなく)癒着
原課にとっては業者は…
ITという「予算の理由」を持ってきてくれる人
ITを使って自分の仕事を楽にしてくれる人
特にトラブったときに臨時に助けてくれる人
逆にいうと逃げられると自分の仕事が回らなくなる
業者にとって原課は…
業務内容に関して注文はうるさいが技術的なことはいわない
積み上げた予算の妥当性が判断できない
公務は「莫大な損害賠償」を請求されるリスクが割と低い
システム移行は原課の恐怖、業者のチャンス
→同一業者に更新することでWin-Winの関係に
(いわゆるベンダロック状態)
- 21. 自治体は大事なことを忘れてない
か
業者は金銭的利益を追究する:
予算が最初に確定する公共調達では
「落札したら全力で手を抜けば利益率が上がる」
そして「しょせん原課には何も判断できない」と…
ベンダロックはSIerの必勝方程式
機器を入札で取って保守を随契に持ち込むのは常道
ITゼネコンは「奴隷商人」に過ぎない
名のあるベンダも実は技術者がいない
下請、孫請と、3~5割中抜きしつつ丸投げされる
結局、払った対価にとても見合わない人が来る
ならば最初からその人を直接雇用するべき
- 22. 公共IT調達はどうあるべきか
原課調達主義からの脱却
予算への財政課からのチェックと同様に
IT担当課が調達に最初から関われるように
相応にIT担当課の増強が必要
自治体が仕様書を作るチカラを
適切な競争に持ち込む
ベンダロック排除の仕組みを入れる
必要ならば外部の目を
仕様書策定やシステム監査を外部から
うまくやれば地域産業振興にもなるはず
- 23. 今回もう一つ残念だったこと
図書館の自由はどこにいったのか
なぜ図書館は簡単にWebアクセスログを
警察に任意提出したのか 任意ではない
いわば入退館記録を渡すようなもの 捜査事項照会書が
きているそうです
個人情報漏えい事案において、
なぜ「督促リスト」が漏えいしたことが
話題にならないのか
機微性が議論されていない
あとはパネルで…
- 24. 最後に、図書館関係者の
皆さんへ
ITを「魔法」扱いしないで 恐れないで
IT調達適正化から電子書籍対応まで
今後はますます重要になるのに
いまこそ「無料貸本屋」から脱却を
電子書籍の時代は必然的に図書館の姿が
改めて問われるはず
その際本当に残るのは
リファレンス力しかないのでは?