要約
- イリノイ州の情報公開法(FOIA)では、公的機関が保有する情報の大半は公開対象だが、シカゴ市はデータベーススキーマ(schema)がセキュリティリスクを引き起こしかねないとしてFOIA請求を拒否した。これに対し、データジャーナリストのマット・チャップマンが訴訟を起こし、専門家証言を通じてスキーマがセキュリティ上の脅威ではないことを立証し、一審と控訴審で勝訴したものの、最終的にはイリノイ州最高裁で敗訴した。
- 最高裁はデータベーススキーマが「ファイルレイアウト」に当たるため公開対象ではないとの解釈を示し、これにより公的機関がデータベース構造を根拠に情報公開を拒否できる道が開かれた。しかし、この問題を解決するための法案(SB0226)が提出されており、公的機関がデータベース構造を説明して、情報請求者が特定のデータクエリを要求できるようにする内容が含まれている。
- この法案は情報の透明性を強化する重要な措置であり、これを支持するために地元議員へ連絡し、法案可決を後押しする必要がある。
背景
- イリノイ州の情報公開法(FOIA)は強力で、ほとんどの場合、公的機関が収集した情報は公共財産と見なされる。
- 情報請求はメールで簡単に行うことができ、請求への返答は法律上5日以内に行われなければならない。
- FOIAの主な制約は、新たな記録を作成することを強制できない点にある。
- データベーススキーマはデータベースの構造を説明するものであり、公的機関の情報がますますデータベースに保存されるようになるにつれて重要性が増している。
Matt Chapman vs. シカゴ市
- Matt Chapmanは、大規模なFOIA請求を通じてデータジャーナリズムを行う専門家である。
- シカゴのCANVASシステムは駐車違反チケットのデータを中央管理する大規模データベースで、Mattはこのデータベースのスキーマを請求したが拒否された。
- シカゴ市は、情報公開がシステムセキュリティを脅かす可能性があるとして拒否し、Mattはこれに対して訴訟を起こした。
私が証言台に立つ
- データベーススキーマの公開がセキュリティを脅かすかどうかをめぐって論争があった。
- SQLインジェクションはデータベース攻撃の主要な手法であり、データベーススキーマが攻撃に使われうるかどうかについて議論が行われた。
- 私は、SQLインジェクション攻撃はデータベーススキーマを通じて行われるものではないと強調して証言した。
法の血なまぐさい足跡
- 一審で勝訴したが、シカゴ市はただちに控訴した。
- 控訴審では、情報公開がセキュリティを脅かす可能性は極めて高くなければならない点が強調された。
- 最終的にイリノイ州最高裁は、データベーススキーマはファイルレイアウトと見なされうると判示した。
現在の状況
- イリノイ州の公的機関は、データベーススキーマの公開を拒否できる権限を持つ。
- データベースは情報隠蔽の手段であってはならず、新たな法案SB0226がこれを解決できる可能性がある。
- この法案は、データベース構造を十分に説明し、請求者が特定のクエリを要求できるようにしなければならないと明記している。
1件のコメント
Hacker Newsの意見
こんにちは、私はこの訴訟の原告です。tptacekの投稿に対する対になる投稿を準備しています。それまでの間、質問があればいつでもどうぞ
「Bob Oのすべての駐車違反切符データを検索し、データベースの残りの情報もすべて検索する」という例は、SQL Injectionの一例です。ここでは "everyone's" が孤立したシングルクォートによって問題になります
市がスキーマを共有すべきだとは思いますが、SQLスキーマを知っていても攻撃者の助けにはならないという記事の主張には同意しません
Kurtは私をからかうためにこの記事を投稿しました。私の読者は主にシカゴ地域の政治に関わる非技術者です
最高裁判所と控訴裁判所が構文上の問題で意見を異にしているのは奇妙ではありませんか?
ソースコード免除について少し戸惑ったり心配したりしているのは私だけでしょうか?
とても興味深い読み物です
イリノイ州最高裁の判断によって、「すべてはファイルである」と言う機会が生まれたようです
cleartap.comプロジェクトのために、100万ページを超える文書をFOIA請求しました。ほとんどの州は文書収集に少額を請求します
政府がどのようなデータを持っているのかを市民が知ることができなければ、情報の自由はありません