日本図書館協会図書館の自由委員会声明・見解等岡崎市の図書館システムをめぐる事件について図書館界への提言

2011年3月4日

岡崎市の図書館システムをめぐる事件について

日本図書館協会図書館の自由委員会

はじめに

岡崎市立中央図書館の図書館システムをめぐり、2010年にふたつの事件が起きた。ひとつはホームページへのアクセスを業務妨害として利用者が逮捕されたこと、もうひとつは利用者情報や督促データが他の図書館システムを通じて外部に漏れたことである。後者は岡崎市だけでなく同じソフトを使用する別の自治体の利用者情報や督促データの流出が次々とあきらかになった。
図書館の自由委員会では、前者の事件で図書館サーバへのアクセスログと一部の利用者データが警察に提出されていたこと、後者では延滞図書名なども含む利用者データが流出していることから、現地を訪れて事情を調査した。

以下、それぞれの事件の概要と訪問調査でのやりとり、およびその後判明した情報等を記し、委員会として今後同様の事件の再発を防止するために必要だと考えるところを述べる。ただし、事件全体が図書館システムの導入や運用と切り離せないため、図書館の自由の観点以外の問題点にも触れた。

第1の事件「岡崎市立中央図書館ホームページへのアクセスで逮捕者」概要

2010年5月25日、岡崎市立中央図書館のホームページに集中的にアクセスして閲覧しにくくしたとして、同館の利用者中川圭右さんが偽計業務妨害の疑いで逮捕・勾留され、6月14日に起訴猶予処分として釈放された。中川さんは3月中旬、自作プログラムにより同館の新着図書データを自動的に収集しようとしていた。図書館は頻繁にサーバが停止するため、システムを管理する三菱電機インフォメーションシステムズ(以下MDISという)に対策を指示したが解決できなかった。そこで図書館は警察に相談して被害届を出したことにより「Librahack事件」といわれる事件となった。

MDISは、岡崎市と同じシステムMELIL/CSを使用する他の図書館での同様な不具合を解消するため、2006年にソフトの改修を行っていたが、岡崎市に納入したのは改修前のものであった。

図書館の自由委員会では、図書館がサーバへのアクセスログとさくらインターネットドメイン(中川さんはこのレンタルサーバで自作プログラムを動かしていた)のメールアドレスを登録していた利用者4名の氏名・住所・電話番号・生年月日などの情報を任意提出したと報道されたため、現地を訪問して事情を調査することとした。

第2の事件「三菱電機インフォメーションシステムズMELIL/CSによる岡崎市立中央図書館ほかの利用者個人情報流出事件」概要

2010年9月28日、岡崎市立中央図書館の利用者163人の個人情報が、同じシステムを使用する37館に流出、このうち2自治体の図書館からインターネットを通じて外部に漏れていたことがMDISの記者会見によりあきらかになった。

流出したのは、MDISが2005年6月末に岡崎市のシステムを入れ替える際、旧システムから引き継いだ159人分の延滞予約本のリストと4人分の予約取置本のリストで、名前や年齢、電話番号、貸出図書名などのデータであった。図書館システムを販売する際、岡崎市のデータの入ったままのソフトを販売していたものである。

なお、このシステムについては、岐阜県飛騨市図書館の4人分14件の2009年7月中旬の督促者データが他の自治体の図書館システムに混入していたことが11月22日に、東京都中野区の図書館システムに2003年現在で登録されていた区民2人分の個人情報が他の自治体の図書館システム内に混入していたこと、及び九州にある自治体の図書館のシステムを介して外部に流出していたことが10月15日に、それぞれあきらかになっている。

また、宮崎県えびの市、福岡県篠栗町では、図書館システム保守を請け負ったMDISの下請け業者千代田興産のSEが、管理のためのパスワードをはずしていたため、えびの市民図書館の利用者116人分の2009年1月16日付の督促リスト印刷用データファイルがインターネットを通じで流出したことが、9月28日にあきらかになっている。

報道によると、MDIS、及びその下請け会社である千代田興産の責によるものであり、両社はミスを認めて謝罪しているが、自由委員会では、個人情報を流出させる結果となった図書館システムの契約関係、図書館のMDISへの対応、図書館の関与の状況について事情を伺った。

委員会の訪問調査後の2010年11月29日、えびの市のシステムでさらに2601人分の利用者登録データ、22人分の督促リスト印刷用ファイルデータの流出があきらかになった。このことを受けて、情報サービス産業協会は、MDISにおけるプライバシーマークの付与認定を2011年1月24日から3月23日の2カ月間停止した。

 このページのトップに戻る

岡崎市立中央図書館の概要

愛知県岡崎市は人口37.6万人、面積387平方キロの西三河地域の中心都市である。岡崎市立中央図書館は、2008年11月にLibra(りぶら)岡崎市図書館交流プラザの中核施設として移転開館した。Libraは、市民活動総合支援センター、内田修ジャズコレクション展示室、岡崎むかし館のほか、貸出施設のホールやスタジオ、会議室等からなる地上3階建て、延床面積1万8千uのうち図書館は8千uを占め、開架能力は約30万冊である。

2009度末の蔵書数は約63万冊、貸出212万冊。2010年度の図書館予算総額は約5億円で、資料費は約6000万円。

職員は、りぶら総合館長(部長級)、図書館長(課長級)のもとに、正職員14人、再任用職員5人、嘱託17人が直営部分を担当している。うち司書有資格者は15人。総務班、資料提供サービス班、情報サービス班、企画班にわかれ、レファレンス・選書・受け入れ・館外サポート・行事などを担当する。

貸出・返却のカウンター業務、配架、BM運行業務は、TRC(株式会社図書館流通センター)に2012年度末までの契約で業務委託している。月額約1180万円で正規とパートを含め50人が交代勤務している。

岡崎市の図書館システムについて

図書館システムの導入状況は、2004年度に現システムのプロポーザル開始、旧中央図書館には2005年度にMDIS製MELIL/CSを導入して運用開始、合併した額田図書館と2006年10月にシステム統合した。2008年11月、新中央図書館開館に伴いMDISと追加の契約を行い、同年には岡崎げんき館図書室にも導入した。その合計額は、5年間で5億のIT投資(金額は前田勝之氏調べ)だそうである。

システムの契約・支払事務を総務班が担当し、運営については該当業務の班があたっている。リース契約はMDISではなく、富士通リース(3500万円)、三菱電機クレジット(663万円)、 日本電子計算機(92万円)と契約している。

 このページのトップに戻る

訪問調査の概要

日時 2010年11月12日(金) 15時〜16時40分
場所 岡崎市立中央図書館
出席者 岡崎市立中央図書館 館長 大羽良氏 ほか3名
 日本図書館協会図書館の自由委員会 委員長 山家篤夫 ほか4名

第1の事件について

Q 事件の経過を聞きたい。
A 3月14日?に一般の人からホームページにつながらないと苦情の電話があった。MDISのSEに調べてもらった。SEは毎日図書館に詰めている。だれと特定できないがさくらネットのIPアドレスから大量のアクセスがある。ファイアウォールをかけて一時的に止まったが、地元ケーブルテレビのドメインから同じようなアクセスがあり、住民からアクセスできないと頻繁に苦情があった。どうすればよいかわからず、3月21日に警察に連絡した。4月になって警察からその後の状況について問い合わせがあった。4月15日に被害届を出した。
Q 利用者の個人情報を警察に任意提出したとされているが、利用者のどのような情報を伝えたのか。
A 該当者の名前、住所、連絡先を伝えた。4月15日に警察に被害届を出したことにより、警察から捜査事項照会書による照会を受けた。アクセスログからドメインがわかり、このドメインの利用者はいないかという照会である。記録上では4月19日に回答している。
Q 被害届を出すにあたっては、MDISに相談したか。
A MDISは「一般的なアクセスであって、被害届を出すようなものではない」とは言わなかった。「手のほどこしようがない」という説明であった。
Q MDISのやったことは、さくらネットワークからのアクセスを止めたくらいか。
A そうである。当館のシステムでは視聴覚資料のリストが見られるようになっている。今年の3月に見せ方を変えた。以前はリストだけだったが書誌情報へリンクするように変更した。最初は「そこを狙われたのかなあ」と言っていた。したがって書誌情報へ飛ぶ部分を改修する操作はしていた。しかしアクセスは止まらなかった。3月中はある時間になるとアクセスが続き、市民が見られない状況が続いていた。
Q 初期のシステム(旧バージョンのソフトウエア)が入っていたことをSEは認識してなかったのか。
A 結果論ではそうだ。平成17年から5年間運用してきて、以前のシステムから予約もしていたが、このようなことは一度もなかった。新館オープン時はアクセスが集中することが予想される。この時の不特定多数からのアクセスには対応できた。今回は一人の人からのアクセスが集中し、それで止まった。
Q 「クロール」(※)をSEが知らなかったのではないか。
※「クロール」とは、検索ロボットなどのソフトウェアが自動的にWebページを収集すること
A SEは普通のクロールとは違うと言っており、対応策を立てられなかったのである。 
Q 本庁(市役所内部)の電算担当部署には尋ねなかったのか。
A 岡崎市ではサーバを入れて動かしている部署はそれぞれの部署で対応せよという考え方であった。図書館も市の電算担当部署ではなく、業者に尋ねることしか思いつかなかった。
Q アクセスログを警察に提出した経過を聞きたい。
A 被害届を出す前、警察に事象を説明するために提出した。はじめ、さくらネットワークからのときは毎日6時ごろだったが、4月に入ってからはアクセス時間がランダムになり、頻度も少なくなった。何が起きているか説明するために過去のログ記録を提出した。
Q 警察に提出した利用者の個人情報は4人分とわかっていたのか。
A このドメイン(さくらネットワーク)の利用者はいるかという照会だったので、さくらネットワークの人4人とわかった。
Q MDIS対応についてどうか。
A 別のシステムで同じような事象があったと後に知った2009年11月の事象(※) をMDISが図書館に知らせるべきだったろうが、3ヶ月間で周知できたかどうかは疑問である。
※2009年12月に貝塚市民図書館でサイトの表示や検索ができないとの苦情が多数寄せられてMDISが対策をとったこと。

 このページのトップに戻る

第二の事件について

Q 岡崎市の利用者情報が他都市のシステムから見つかったことについてどうか。
A 他都市でカスタマイズするときに、面倒なので岡崎で形ができているので、乱暴に言えば「コピーしてペーストすれでいいだろう」となったと考えたのではないか。その中に個人情報がはいったまま持っていった。そもそも、そういう会社が図書館システムを売りにくることはどうなのか。
Q 図書館からのおわびの手紙への反応はどうか
A どうして流出したのかと尋ねられた。電話が数件あった。
Q データをダウンロードした人への対応はどうか。
A MDISが対処している。持っている人からの表明は一人だけで他はわからない。岡崎市では図書館だけの問題でなく、ITについての全庁情報漏えい対策会議ができた。連絡先がわかる人には破棄を依頼して破棄証明を求めることになったそうだ。
Q 岡崎市の図書館システムの著作権はどうなっているのか。
A パッケージそのものは三菱だが、カスタマイズしたものは図書館にある。
Q 個人情報が入っているともわからずに勝手にもっていかれたことになるが。
A どこからどこまでがうちのものか微妙だが、データが一部入っていたことになる。
Q MDISに対して抗議するのか。
A MDISからはお詫びをもらった。なんらかのペナルティを課すと市では言っている。
Q 刑事告発は考えているか。
A 市の個人保護条例では故意性の有無が問題で判断しづらい。
Q 民事はどうか。
A 民事の損害賠償はあり得る。それよりまずは行政処分である。正式に決まれば議会、報道機関に報告する。
Q 再発防止はどう考えているか。
A コンピュータ関係の業務委託契約については、個人情報保護、守秘義務に関する念書をつけることという本庁からの指示文書が出た。岡崎市にはIT推進課があるが、これまで実際には各課まかせであった。しかし、市全体を考えて、「各課におまかせでは、業者にボッタくられるんじゃないか」という考え方になり、ICT調達統一規準の制度をつくった。具体的にはIT推進課が眼を光らせるということである。今年度から試行的にはじめた。

全体に関して

(第一の事件について)困っている一般の利用者がいるので、なんとかしたい気持ちで警察に相談した。逮捕されたと聞いてびっくりした。相談先がわからず警察に相談したが、他にも相談するところがあるんだ、知恵をくれるだろうということがわかり心強い。
(第2の事件について)報告書や始末書については現在協議中である。まとまれば議会や報道機関に出す。

 このページのトップに戻る

図書館の自由委員会の意見

第1の事件の発端について

まず、事件化して警察に被害届を出すことは警察の捜査に協力して利用者の個人情報などを提出する場面も想定される。したがって被害届を出すのにそのリスクと「被害」状況を勘案して、対応を充分検討する必要がある。
次に、被害届を出したからといって、警察のいうがままにすべての情報を提供する必要があるかどうかである。提供する情報は捜査に必要最小限のものであるべきで、たとえばアクセスログはどれだけの期間のものを提供すべきか、自館で抽出してその結果を警察に提出することはできないのかも検討すべきであろう。

アクセスログの提供について

アクセスログには、アクセス元のIPアドレスとドメイン名、アクセスされた日時などが含まれる。これが個人情報にあたるかどうかという点については、個人情報保護法では「他の情報との照合によって容易に特定できるもの」が含まれるが、各自治体の条例での規定、運用が統一されているわけではない。利用者の秘密を守る観点からは、図書館のサイトの利用事実が特定されうる可能性のあるアクセスログの提供は、できるだけ慎重にすべきであろう。

利用者情報の提供について

提供したアクセスログの解析から警察よりさくらインターネットをドメインとするメールアドレスを登録している利用者の照会を受け、その後に4人分のデータを提供したと訪問調査で回答を得た。しかし、被害届を出す前に警察に任意提出していたと報道されている。館内で十分に検討された結果ではあろうが、図書館の自由委員会としては提供すべきではなかったと思う。

提供の手続きについて―個人情報審査会

岡崎市の個人情報保護法制では情報公開・個人情報保護審査会に事後報告する仕組みになっている。利用者の秘密を守る観点からは、図書館の保有する個人情報の提供は慎重の上にも慎重であるべきであり、審査会に事前に諮問して承認を受けなければ提供できないような仕組みが望ましい。

利用者の身体拘束を招いたこと

図書館が“不正アクセス”だとして被害届を出したことにより、利用者である中川さんが逮捕され、2010年6月14日に起訴猶予処分として釈放されるまで20日間勾留される結果を招いた。その後、MDISはシステムの不備による閲覧障害を認めて本人に直接謝罪した。中川さんは、12月に岡崎市長と図書館長に対して被害届の取り下げを申し入れた。両者はりぶらサポータークラブのコーディネートにより話し合い、被害届は取り下げないが中川さんの社会的名誉の回復を願う共同声明を2011年2月に発表した。いったんは図書館が利用者の基本的人権の中でも中核である身体的自由を奪う結果になったことは残念であるが、和解に至った関係者の努力は大としたい。

情報通信技術(ICT)への図書館の対応

サイトに接続できないとの苦情に対して、図書館はMDISに頼り切るしかなかったのだろうか。
岡崎市では事件の反省のもとにIT調達対策会議が組織され、統一規準ができて運用を始めた。しかし、セキュリティや機器についての技術的判断はIT関係部門でチェックできるが、図書館の業務フローは複雑で、やはり現場しかわからない部分も多い。すべての規模の図書館にシステム関係要員を求めるのは現実的ではないが、WEBサイトによるサービスを提供する以上、図書館はトラブルへの対応に備える必要がある。
2010年12月に情報処理推進機構(IPA)が「サービス妨害攻撃の対策等調査−報告書」(http://www.ipa.go.jp/security/fy22/reports/isec-dos/index.html)を公開した。ここでは本事例について、サイトの管理者のとるべき対策として、状況確認、技術的対策、外部機関等への相談をあげ、サービス妨害攻撃判断チャートを示している。今後は同様なトラブルが起きたとしても、各図書館は適切な対応をとるよう努力したい。

督促データの流出とシステム管理

第2の事件では、流出した個人情報がこともあろうに督促データであったことの重大性を考えておきたい。
図書館システム入れ替えに際しては、利用者の個人情報や借りている資料のデータなどのセンシティブ情報を扱う必要があるので、システムのカスタマイズやテストはダミーのデータで行うべきであろう。MDISがそのような運用をしていれば、万一いわゆるコピペで図書館システムを各自治体に納入していたにしても、実際の督促データが他自治体のシステムに混入することはなかったはずだ。

業務委託契約

業務委託においては、自治体と委託先業者の両者に契約を守る義務がある。自治体は契約を確実に履行するよう監督する義務があり、第三者に損害が発生した場合、自治体が責任を負うことになる。 図書館では先に述べたセンシティブ情報の取扱いについて、さまざまな局面で委託先業者の監督を確実に行うよう努力したい。

WEB利用者へも公平にアクセスの自由を

図書館側に一般の利用者と特別な利用者を区別して対応する意識があった。図書館サイトで検索できなくて困るという苦情を寄せる利用者と、図書館サイトの新着図書のページが使いにくいので自分で解決しようとした利用者が対立してしまったことになる。
しかし、来館するリアル利用者だけでなくWEB利用者を視野に入れないと図書館サービスは語れなくなる時代になっている。電子書籍を図書館でどう提供するか具体的な実践と実験が始まっている今、図書館の役割が紙の本を提供するだけにとどまるはずはない。
図書館の自由の基本である知る自由はすべての人に対して保障されなければならない。 これまでそのままの形で図書館資料を利用できなかったり、来館が困難で利用できなかった人へ、WEBを通して情報へのアクセスを保障することも、これから求められる大切な知る自由の保障であることを忘れてはならない。

おわりに

以上、岡崎市の図書館システムをめぐるふたつの事件について、図書館の自由の観点から意見を述べた。しかし、図書館界としてこれらの事件に向き合って検討すべきことはこれだけにはとどまらないので、今後稿をあらためてまとめの提案をおこないたいと考えている。 

 このページのトップに戻る