読者です 読者をやめる 読者になる 読者になる

職質アンチパターン

無責任な事を書きたい

首都大学東京の情報流出の件で公開質問状送った

[2015/01/21 12:58 追記]
質問は受領された様子.
 
首都大学東京、学生ら5万1000人分の個人情報が流出した可能性 NASが外部に公開状態 - ITmedia ニュース

まあこれの件なんだけど.うやむやにされても腹立つので公開質問状送った.
学内のメールアドレスから送ってるので,これ無視されたら相当だと思う.

以下公開質問状>>>
 
報道等でも公にされていますが,この度の情報流出の件に関しまして質問させて頂きます.ご回答の方よろしくお願いします.
質問は以下のとおりです.
 
1. 外部から FTP でアクセス可能という事だったが,これは anonymous FTP だったのか
2. なぜ外部からのアクセスにも関わらずファイルへのアクセス権限があったのか
3. 作業者,つまり NAS に格納されているファイルを使って業務を行う人間は,システムがこのような状態,つまり外部から自由にアクセス可能になっていることを知っていて使っていたのか.あるいは知らずに使っていたのか.
4. NAS の設置者及び管理者は誰か.
5. 作業者,つまり NAS に格納されているファイルを使って業務を行う人間は学外から作業する為にこの NAS にアクセスして作業していたのか
6. 公立大学法人首都大学東京における個人情報の適正な管理に関する規程 (http://www.houjin-tmu.ac.jp/extra/download.html?d=assets/files/download/compliance/kojinjyohou_kanri.pdf) の第3条3項には「情報システムを所管するシステム管理者は、情報システムにおける個人情報の適切な管理を図るために、情報システムにおけるセキュリティシステムの整備やアクセス制限等の管理運用上の取扱い並びに電子機器やデータ保存媒体の管理・取扱い等について、必要な措置を講ずるものとする。」とある.本件からはこれが満たされているようには見えないがなぜか.
7. 謝罪文 (http://www.tmu.ac.jp/news/topics/8447.html?d=assets/files/download/news/press_150119_2.pdf) に「所管する大学及び高等専門学校における個人情報の適切な管理について、研修等を通じて教職員の意識の啓発を図ってまいりました」とあるが,具体的にどのような研修を行っていたのか.
8. 謝罪文 (http://www.tmu.ac.jp/news/topics/8447.html?d=assets/files/download/news/press_150119_2.pdf) に「教職員に対し情報セキュリティの教育・指導を徹底してまいります」とあるが具体的にはどのような対応をとるつもりなのか.
9. 今後,**具体的に** どのような再発防止策をとるつもりなのか.
10. NASFTP 共有を無効にして当座の対策としたとのことだが (参照: http://www.itmedia.co.jp/news/articles/1501/19/news149.html),問題の NAS はまだ外部につながっているのか.
11. 本件で損害を被った人間に対する補償・補填等はあるのか.無いとすればそれはなぜか.
 
以上です.
なお,本質問は公開質問となっております.
インターネット上で同様の書面を公開しておりますので留意下さい.
 
よろしくお願いします.