2010年9月6日 岡崎市立中央図書館利用者逮捕勾留事件について(声明) 図書館問題研究会全国委員会 岡崎市立中央図書館のウェブサイトに大量アクセスし図書館の業務を妨害したとして、利用者の男性が逮捕され20日余り勾留されるという事件が発生した。本事件につき、岡崎市立中央図書館及び三菱電機インフォメーションシステムズ、愛知県警、名古屋地検岡崎支部の対応には重大な疑義があるため、以下にその問題点を明らかにし、同様の事件が繰り返されないよう図書館及び図書館システム関係者に訴えるものである。 なお、図書館問題研究会が事実確認等のため岡崎市立中央図書館に問い合わせをしたところ、9月1日付けの図書館の見解以上のことは一切答えないとの回答がなされた。このため、本声明に事実誤認等がある場合には、岡崎市立中央図書館など当事者の指摘を待つものとする。 事件の経緯 報道等によれば事件の経緯は以下のとおりである。 逮捕された男性は、3月中旬より岡崎市立中央図書館の新着図書の詳細情報にアクセスし、そこから図書のISBNや予約人数などを1日に1回30分程度で自動的に収集するプログラムを実行した。このプログラムによるアクセスによって岡崎市立中央図書館のウェブサイトでは閲覧障害などが発生し、サーバの再起動が必要な事態が頻発した。図書館はシステム開発保守を請け負う三菱電機インフォメーションシステムズ(以下MDIS)に状況を確認のうえ、愛知県警に被害届を提出した。また、図書館は特定ドメインの利用者4名の個人情報と、図書館ウェブサイトへのアクセスログを令状によらず愛知県警に提出したとされる。愛知県警は5月25日に男性を偽計業務妨害の容疑で逮捕し、検察は6月14日まで男性を勾留し、起訴猶予処分とした。 マスコミは逮捕の翌日に事件を報じたが、8月21日に朝日新聞が「図書館ソフトに不具合があり、大量アクセスによる攻撃を受けたように見えていた」と図書館システムに問題があったと報じた。 図書館システムが問題か、プログラムによるアクセスが問題か 報道によれば岡崎市立中央図書館は図書館システムに問題はなく、了解を求めず大量アクセスを行なったことが問題であるという見解を示している。しかし、ある条件で10分間に1000回程度図書館のウェブサイトにアクセスするだけで、閲覧障害が発生することが朝日新聞の報道で明らかになった。これは図書館のサーバ等のアクセス処理能力を大きく下回るものと推測され、MDISの図書館システムの旧バージョンのソフトウェア上の欠陥だと考えられる。 また、男性のプログラムは、同時に複数のアクセスを行なわず、アクセス間隔が1秒程度になるよう調整されており、図書館のウェブサイトに与える負荷を考慮し常識的な配慮をしていたと考えられる。こうしたウェブサイトの情報収集プログラムについて、1秒に1回程度のアクセスはサーバに負荷をかけないものと一般的に考えられている。例えば、国立国会図書館による公共図書館を含む地方自治体のウェブサイトの自動収集プログラムも、ウェブサーバの負荷軽減を考慮し、ダウンロード間隔を1秒以上あけるとしている。岡崎市立中央図書館は本事件について「情報収集のために使われる手段が、他の利用者に迷惑をかけていないかどうかについて、ご配慮をお願い」するとの見解を明らかにしているが、本事件程度のアクセスで障害が発生する程公的機関のウェブサイトが脆弱であると予測することは困難である。 自動収集プログラムに期待される負荷への配慮と公的機関のウェブサイトに期待される堅牢性を前提として、男性のプログラムによる負荷と、岡崎市立中央図書館のウェブサイトの脆弱性を比較すれば、期待/想定される水準を逸脱しているのは図書館サイトの方だと言わねばならない。 事件の問題点 岡崎市立中央図書館の問題 図書館の対応の問題は、自館の図書館システムの問題に気付かずもっぱらアクセスを問題視し、警察への被害届の提出に至ったことである。図書館は1秒1回程度のアクセスで障害が発生するのはおかしいという認識を持つべきであった。これについては、MDISから適切な情報提供がなされていなかった可能性があるが、直ちに事件化するのではなく他の専門機関やプロバイダに相談するなどの選択が取れなかったのだろうか。 また、利用者情報(及びアクセスログデータ)を警察に提出したことが事実だとすれば、「図書館の自由に関する宣言」の「図書館は利用者の秘密を守る」に反する可能性が高い。 三菱電機インフォメーションシステムズの問題 岡崎市立中央図書館に導入されている古いバージョンの図書館システムが自動収集プログラムに対して脆弱であることを認識していながら、ソフトウェアの修正を行なっていなかった。また、本事件が発生した際に、図書館システムの問題について図書館に正確に伝達し、ソフトウェアの修正で問題が解消されることを伝えていなかった。 愛知県警・名古屋地検岡崎支部の問題 任意の事情聴取やアクセスログデータの分析で故意性がないことが判断できたにも関わらず、証拠隠滅のおそれを理由に男性を逮捕し20日にわたって勾留し、多大な苦痛を与えた。ただし、取り調べのための長期拘束は、本事件に限らず従来問題とされてきたところである。 本事件の最大の問題は、図書館利用者だった男性が不当に逮捕勾留され、損害を被ったことである。図書館、システム開発会社、警察・検察が問われているのは、そのような事態を招いた結果責任である。しかし、依然として図書館もMDISも図書館システムの不具合を認めず、愛知県警も捜査に問題はないとしている。とりわけ岡崎市立中央図書館の見解において、逮捕勾留され損害を被った男性に対する配慮が見られないのは遺憾である。 図書館は利用者の知的自由を守るという使命を持っている。しかし本事件は、図書館自身の被害届をきっかけとして、利用者の身体の自由が侵されたという点で重大である。 事件を繰り返さないために まず、岡崎市立中央図書館、MDIS、警察・検察が図書館システムや被害届を出した判断、捜査手法などについて問題を認め、再発を防ぐよう対策を講じる必要がある。今回の逮捕勾留をもっぱら男性の責任に帰するならば、今後も同様の事件が繰り返される可能性がある。特に岡崎市立中央図書館は、同様の事態が他の図書館で再発しないよう、経緯を明らかにする責務があり、自らの経験を図書館サービスの向上に資するようにしていただきたい。 次に、図書館職員が図書館システムやICT(情報通信技術)についての最低限の知識を持つことである。そのうえで、図書館員とシステム開発会社との情報共有を密にしていく必要性がある。確かに、これらの知識は一般常識というほどは普及しておらず、公共図書館の正規職員の減少や人事異動が頻繁に行われる現状からは、一定の知識を持った職員の配置は困難な実態もある。しかし、図書館職員、とりわけ専門職である司書には、今後こうした知識がより要求されるようになることは間違いない。図書館界としてもそうした知識を持った図書館員を養成するための研修や、情報共有の仕組みづくりに取り組む必要がある。さらに、図書館員だけでは判断等に限界のある問題については、外部の専門家・専門機関に意見を求めることが重要である。 最後に、本事件を図書館界の内外で十分に議論し、共有し、銘記していくことが必要である。 以上 |
参考
岡崎市立中央図書館の見解
三菱電機インフォメーションシステムズの見解
ともんけんウィークリーの解説記事:Librahack事件と図書館の責任
>サーバの再起動が必要な事態が頻発した。
実際の運用は再起動により回復されたようですが、放置していても数十分で回復していた見込みでので「必要」という表現には違和感があります。
また、アクセスは検索などではなく新着図書の詳細情報(予約件数)などを取得していたようです。それが大きな問題とは考えていません。
参考:http://librahack.jp/okazaki-library-case/private-web-application.html
「どうせ異動するから」とやる気無しのベンダー任せになりますし、一部署での滞在期間が短いので、その部署の業務に関して深い知識もつけられないような気がします。
図書館に限ったことではないのですが・・・
岡崎市立中央図書館の対応や、図問研の声明には、図書館としての当事者意識が欠如しているように思われるのが残念です。