デジタルネットワーク環境における図書館利用のプライバシー保護ガイドライン(案)（2018.8.31　現在）

1. はじめに
　このガイドラインは、デジタルネットワーク環境において、図書館利用のプライバシーを保護するためのものである。1979年「図書館の自由に関する宣言」(以下、「図書館の自由宣言」)は、主文第3に「図書館の利用者の秘密を守る。」ことを加えて改訂された。
　1980年代コンピュータが図書館に導入され始めた時、日本図書館協会では「貸出業務へのコンピュータ導入に伴う個人情報の保護に関する基準（1984年5月総会決議）」（以下、「基準」）を決め、この「基準」についての委員会見解を公表した。（1984年10月）※１
　その後、1990年代には日本でもインターネットが普及し、ＩCＴ技術が目覚ましく進み、図書館もその環境の中でコンピュータを稼働させる状況となった。図書館情報システムにおいては、サーバの管理運営の外部化が効率性、経済性をもって進んだ。技術的には、1984年の「基準」では対応しきれない面も顕在化している。従来、資料が返却されれば消去してきた利用履歴をサービスに積極的に活用しようとする実態もあり、図書館利用者のプライバシーの保護の観点からの対応を迫られている。
　大量データ処理が可能となった反面、ひとたび情報流出があると大きな被害をもたらすことになる。国際貿易上の要請もあり、個人情報については法、条例でより厳しく保護されるようになった。しかし、不注意、あるいは故意の情報流出事件は相次ぐ。これらに対する図書館での日常業務での点検と共に、職員一人ひとりが、プライバシー保護に対する意識を高めること、図書館がプライバシー取り扱いの方針を明らかにして、図書館利用者への理解を求めることが必要となってきた。どのような状況でも、図書館が図書館利用のプライバシー保護に責任をもつことは貫かれなければならない。また、このガイドラインは、どのような運営形態であっても適用されなければならない。
※1 ：日本図書館協会のホームページから図書館の自由委員会のページを参照

2. プライバシー保護の重要性
　図書館は、憲法13条が保障する個人として尊重される権利、19条が保障する思想及び良心の自由の権利のために、自由な情報アクセスや読書ができる環境を提供する。図書館は、利用者の内心やセンシティブな情報といったプライバシーに関する秘密を個人情報保護法で規定される前から厳密に守ってきた。
　「図書館の自由宣言」では、「第3　図書館は利用者の秘密を守る」と宣言している。図書館利用者のプライバシーを保護することは、基本的人権のひとつとしての知る自由を保障する図書館が、サービスを遂行するために不可欠な要素である。
　「図書館員の倫理綱領」においても、「第3　図書館員は利用者の秘密を漏らさない」と規定し、図書館利用者へのサービス提供において、利用者のプライバシーの権利を守ることは、図書館に従事するすべての人びとに課せられた責務である。

3. どんな場面で「個人情報」「利用情報」が収集されるか
　図書館は、提供するサービスのために必要な、個人を識別する情報（以下、個人情報）として、氏名、住所などの情報を集積する。図書館が管理する個人情報や利用情報の収集は、資料管理が目的である。どのような情報が取得され利用されるかについて提示し利用者の同意を得る必要がある。個人情報を収集するにあたっては、図書館サービスを提供するための必要最小限の項目とする。
　個人情報や利用情報は、次のような場面で収集されログが集積される。
（1）図書館管理システム
　　・図書館利用のための図書館カードへの個人情報の登録
　　　　氏名、住所、電話番号、生年月日、メールアドレス、在勤・在学の情報
　　・個人情報と結びついた利用情報
　　　　貸出・返却・延滞・督促・予約・リクエスト・レファレンス記録
　　・来館の記録
　　　　入退館情報
　　・施設、閲覧席、インターネット・データベース等閲覧用パソコン(以下、館内PC）の利用
　　　　図書館カードを施設利用に使う場合
（2）図書館内に設置されるＯＰＡＣ（利用者用検索機）
　　・図書館カードでのログインの記録　
（3）図書館内に設置される館内ＰＣの利用
　　・館内ＰＣの利用記録と閲覧履歴　
　　・Webサイトへのアクセス
　　　　フィルタリングソフトへのログの集積
　　　　リンク先へのログの集積
（4）図書館Webサイトの利用
　　・図書館カードでのログインの記録

4. 収集した情報の管理
　図書館が管理する個人情報や利用情報は、図書館が提供するサービスのために収集する。図書館は、どのような個人情報や利用情報が収集されるかを把握し、最小限の情報を最低限の期間保持することを原則としなければならない。
　図書館は、その原則に基づいた収集方法、管理方法や削除時期などについて定めたプライバシー・ポリシーを策定し、公開する必要がある。
（1）個人情報や利用情報（以下、利用者情報）の管理　
　・利用者情報は永続的に保管すべきではない。
　・利用者情報は館外に持ち出さない
　・個人情報と利用情報との結びつきは、利用終了後、保管期間を定め確実に解除する。
　・統計上必要な情報を残す場合は個人情報を匿名化する。
　・利用者情報を含む記憶媒体や文書の保管方法を定め、保管期間を終了したデータは完全に消去する。
　・資料管理の範囲を超える情報の収集や管理を伴うサービス（利用履歴活用サービス、マイページ、読書通帳など）については、利用者のプライバシー保護を最優先に考え、導入する場合には図書館内で慎重に検討し、十分な安全対策を講じる必要がある。
　・サービスは利用者にメリット・デメリットを十分説明したうえで、サービスを希望する利用者のみに提供される。
　・サービス中止の希望は速やかに履行され、保存されていた利用記録は完全に消去されなければならない。
（2）パスワード・個人情報の暗号化
　・パスワード、個人情報は最新・最適なシステムを使って暗号化され、格納されなければならない。
　・図書館外に保管されているクラウドベースの個人情報や利用情報も、暗号化して保管しなければならない。
（3）ログの管理
　・システムに残るログには、統計等に使用するアプリケーションログのほか、システムの動作を記録するシステムログ、システム不具合時にデータを復旧させる目的のバックアップログがある。
　・各図書館では、ログの管理と運用を定める。その保管規則に従い、記録媒体の消去・廃棄を行わなければならない。
（4）第三者との共有、第三者によるモニタリング
　・図書館は、Webサイト・OPAC・ディスカバリーサービスに含まれるすべての第三者スクリプトや埋め込みコンテンツにより、利用者のプライバシーを収集されていることを認識し、そのことを利用者に説明しなければならない。
　・利用者の同意や裁判所の命令なしに、図書館利用者の個人情報や利用情報に関するデータを第三者に提供すべきではない。
（5）図書館内の利用者用インターネット端末に残る利用履歴、Webサイトの追跡への対応
　・ブラウザの終了時に履歴・クッキー・パスワードなどのすべてのデータが消去されるように設定しなければならない。
（6）管理権限の限定
　・個人情報と利用情報へのアクセス、統計情報やWeb解析の処理は、権限を付与された特定の図書館員のみに限られるべきである。
　・統計情報を公開するときやWeb解析を行う場合、個人を特定できる情報を削除または暗号化することによって、匿名化しなければならない。

5. 利用者による自己情報へのアクセスとコントロール
　利用者は、自分の個人情報にアクセスしコントロールする権利を持つ。このことは、利用者が自分の個人情報が正確に管理されているかを確認し、適切な図書館サービスを受けるために必要である。
（1）図書館は、利用者に関してどのような情報を収集し、どのような目的で利用し、どのくらいの期間保管するかについて、利用者が容易に知ることができるようにする必要がある。
（2）利用者が自分の個人情報にアクセスできるようにするとともに、その方法についてわかりやすい案内をする必要がある。
（3）利用者から個人情報が不正確だという指摘があった場合は正しい情報に修正する。
（4）貸出履歴や検索履歴などを活用するサービスを導入する場合は、利用者がサービスの利用について希望者のみ選択できる方式（オプトイン）にしなければならない。選択の際には、どれくらいの情報がどのように利用されるか、どのような危険性があるかについて利用者に十分に説明するとともに、利用者がいつでもその説明を見られるようにする。また、利用者の希望でいつでもやめることができるようにし、そのときはサービスを受けていた期間に収集した情報を破棄する。

6. 外部とのネットワーク
　現在、図書館で利用されるPCは、インターネット環境下であることを前提にして動作している。インターネット環境下では、汎用性の高いシステムソフトウェアやアプリケーションソフトウェアは、常にウィルスソフトウェアからの脅威に晒されており、オンラインによるウィルス対策ソフトウェア（セキュリティ対策ソフトウェア）による対応が必須である。
　このような状況下で、プライバシー保護やセキュリティ対策を意図してネットワークから切りはなすことは現実的でない。また、システムの安定運用にはログの取得・管理は必須であり、ブラウン方式で貸出を行っていた時代のように、紐づけの解除後にその痕跡を全く残さないことは不可能に近い。
　危機管理の観点から言えば、プライバシー漏えいのリスクは、どんなに高度な対策を取ったとしてもゼロにはならない。図書館利用者との信頼関係を担保する上では、必要かつ妥当な対策を常に検討し、実施していく必要がある。
（1）クラウドシステムによる外部化
　・システムの高度化により、館内でシステムを運用するより、クラウドシステム導入による外部化が、セキュリティ対策上も優位である場合があり得る。プライバシー保護やセキュリティ対策の面からも運用者の資質、システムに精通した運用者の確保等について、それぞれの優位性・課題を、図書館が主体的に検討し、決定する必要がある。
　・クラウドシステム導入にあたっては、以下のような視点が重要である。
　　①システム運用業者に、公務員と同等の厳格な守秘義務を課す。
　　②データの所有者が図書館であることを明示する。
　　③通信の適切な暗号化を担保する。
　　④データの第三者への提供は、匿名化処理を行っても許可しない。
　・システム運用業者に捜査情報提供の要求があった場合、速やかに図書館への報告を求め、捜索差押許可状の提示がない場合は認めないことは重要である。
（2）外部ネットワークの利用
　・OPACや図書館ホームページで、外部サイトへのリンクを提供する場合、そのサイトのプライバシー・ポリシー等を確認し、利用者情報の取扱いを認識しておく必要がある。その際、そのサイトのユーザとしてログインした場合には、利用者情報の取扱いがどのように変化するかも認識する必要がある。また、必要に応じてその内容を利用者に提示することも重要である。
　・この場合、利用者情報とは閲覧履歴、クッキー、ID・パスワードなど利用者の外部サイト利用の全ての痕跡が対象である。
（3）インターネットを介した情報発信
　・インターネットを介して情報提供サービスを行う場合、内部的に利用するアプリケーションやスクリプト等が、図書館の意図しない利用者情報を収集しないよう充分な確認が必要である。
　・利用登録による限定した利用を行わせる際には、プライバシー・ポリシーを制定して公開し、利用者情報の管理には細心の注意を払う必要がある。
（4）共用カード等による情報共有
　・学生証や民間ポイントカード、官製カード等を図書館カードとしても利用する場合、一定の利用者情報が共有されることが前提であると認識しなければならない。
 ・共用カードを使いたくない利用者に対しては、その選択肢を準備しなければならない。 （オプトイン）

7. 図書館員のプライバシー意識と研修
　このガイドラインを遂行するためには、図書館員のプライバシー保護に対する意識を高めるとともに、図書館が図書館利用のプライバシー保護に責任を持つことが大切である。図書館を運営委託（指定管理者等）している場合においても同様である。図書館は、自館のプライバシー・ポリシーを実施するための効果的な方法を構築し、維持しなければならない。
　図書館の責任者である図書館長は専門的教育を受けている司書であることが望ましい。
（1）図書館で働く全ての人は、プライバシーに関する研修を毎年計画的、継続的に受ける。
　　　更に次のような仕事に従事する職員については、図書館及び技術的な事項に関しての専門的な教育を十分に受ける必要がある。
　　・図書館管理システム内の個人情報や利用情報にアクセスする職員
　　・図書館のＷｅｂサイトやサービスを提供するベンダーと契約交渉を行う職員
　　・セキュリティを担当する職員
（2）図書館は、全ての業務とサービスが図書館のプライバシー・ポリシーに適合することを確認するために、定期的なプライバシー監査を実施する。
（3）利用者の秘密が流出しないよう充分な対策を取ったシステム設計とする。個人情報や利用情報漏洩等の緊急事態が発生した場合には、その事実を公開し、速やかに対応する。
（4）同一自治体における連携はもとより 、近隣、県単位、全国の図書館との情報交換を密にし、緊急事態へ向けての体制づくりをする。体制に問題がないかは毎年見直さなければならない。