パネル討論会:「岡崎市中央図書館ウェブサーバ事件」から情報化社会を考える」に行ってきた。

 こういうのに行ってきた。
 会場は中京大学の会議室。席はざっと70くらいか。開始時の参加者は50人くらいに見えたが、途中から入ってくる人もいて、最終的には満席かそれ以上だったと思う。他の図書館関係の集まりとちょっと違うと感じたのは、年齢と性別構成。女性が10人ちょっとしかいない。年齢層は40〜50代くらいが多い感じ。20代の人はほぼいなかったんじゃないかな*1
 司会の方の説明によると今回の申込者には図書館関係者が多く、その他IT企業の人などもいる、とのことだった。図書館員でもこの件に興味を持つのは現場の若い職員じゃなく、システム調達に携わるようなベテランの方が多いという邪推も成り立つが、邪推は邪推に過ぎない。

 以下メモ…だが、自分は正直言って技術も法理論も疎い。ことデリケートな話題だけに正確でない情報を伝えるのはまずいと思うので強調しておくけれども、以下は素人xiao-2が聞き書きしたメモであり、すっかすかなのは言うまでもない。きちんと知りたいひとはここを読んでね。→以下は自分の感想。

  • 事件の概要紹介、問題整理(コザワ?さん)

→中途半端なメモで事実誤認があるといけないので省略。適当にウェブでまとまっているところを読むべし。

  • パネル発表:大屋先生
    • 法学系の参加者が少ない。自分は、警察や司法がこういうロジックの元に動くだろう、という筋道の話をする。
    • ある人が他人を殴った。普通なら怪我で済む殴り方だったが、実は相手が外見から分からない特殊な体質であったために死んでしまった。この場合殺人か、傷害致死か、傷害か。*2判例では傷害致死。殺意はなかったが、因果関係はある、という理由。未知・予測不能の欠陥でも、結果に対する責任を否定する理由にはならない。
    • 犯罪の要件は、違法性と有責性。「違法性」は被害が生じていて、その被害と主体の行為との間に因果関係があるかどうか。「有責性」は、主体がその結果を予想して故意でやったかどうか。判例では、頻繁に無言電話をかけて相手の業務に支障を及ぼした場合は偽計業務妨害罪が成立している。
    • 本件の場合、実際サーバ停止という被害は生じていて、アクセスとの因果関係もある。違法性の点では黒。有責性の方は結局内心の話で、証明が難しい。「客観化された主観要件」、外見から判断せざるを得ない。今回の件では、悪いように解釈できる条件があった。
    • 今回と同様のプログラムを同じシステムに対して今から使ったとしたら、それは結果に対する予測と認容があったので、故意があったと認められる。
    • 本件はポテンヒット。ちょうど隙間に落ちた、どこかひとつのアクターがパーフェクトであれば阻止できた。警察の問題は被害申告の検証が不十分だったこと。ただしストーカーや児童虐待のように、被害発生以前に早期介入することが社会的要請として求められてきたという背景がある。今回、すでに被害は出ているから動いた。
    • そして検証のためのリソースは不充分。以前、北海道の枝幸町の町役場でIT情報技術専門職の募集があった。その資格要件が非常に高く、普通なら3人分くらいの能力を求めている。だがこの町の状況を見ると、厳しいリストラ中。平成21年度の採用数は8名、そのうち行政は2名。平成17年-22年で50名以上減らしている。3人分の仕事があっても、3人雇う余裕がない現実。
    • 外注のパラドックス。適切に外注するにはその業務に関する知識・技能がいる。地方分権と法人化で、このギャップが加速している。大学法人でも、以前は文科省が肩代わりしていたガバナンスの部分を各大学がやらなければならなくなった。だがそのための人材はなく、トラブルが起きている。
    • 国が決めるのでなく地方分権、各自に任せるというのは、こういうマイナス面もある。地域ごとにバラバラなのは、非効率でもありきめ細かくもある。図書館のシステムにしても、地域ごとの差は必要なのか?たとえば戸籍データ等は、全国共通にしても困らないのでは。
    • 世の中に存在する著作権法問題のほとんどは、法でなく著作権法契約の問題。強行法を持ち出さなくても、本来合意形成で解決できるはず。だからソフトウェア開発者側と図書館とで合意すべき問題、ということになるが、現実には合意を取ろうとしても相手にされないこともある。また、お互いそれほど強い主体ではない。現実は難しい。
    • しかしそれを法律でなんとかしようとすると、自由が制限されることになる。法ではないレベルで頑張って、解決してほしい。
  • パネル発表:岡本さん
    • 自己紹介。Webプロデューサの経験があり、図書館システムの改善についても意見をしてきた。Webと図書館の両方に関わるものとして、自分が求められている役割は図書館側の声かなと思う。
    • 図書館の事情その1。図書館の人は来館サービスと、Web等の非来館サービスを分けて考える傾向がある。後者に対する意識はまだ高くないが、そもそも来館サービスでさえ弱い地域も多い。来館サービスに集中したい気持は分かる。(…とはいえ、なんで課題解決を掲げる図書館が自分の問題を解決できてないんだよ、とご自身でツッコミ)
    • 図書館の事情その2。ヒト・モノ・カネの不足。システムズライブラリアンがひとつの解決策と言われていたこともあったが、それもどうだろう。そもそも情報技術専門の人を意欲的に採用してきたか?
    • 国会図書館の長尾館長が、図書館を知識インフラとして活用する「長尾プラン」を提言している。そういう背景の中で図書館が頼りないと思われるのはマイナス。既存の図書館の姿を守る必要はないが、図書館そのものは必要。
    • 最近、国会図書館と縁がある。最初は国会図書館ウェブサービス等を批評していたら、講演で呼ばれて、今は委員として関わっている。NDLサーチの仕様策定の議論にも関わり、自由に意見を言ってきた。
    • 最近興味を持っているもうひとつのテーマが、「Gov2.0」というアメリカでの動き。情報技術を軸に、公共セクターと市民の新しい関係を作っていくというもの。政府が持つ情報を、市民が主体的に利用し、効率性や経済性の向上をはかるもの。この時の市民はただの利用者ではなく、専門家でありプレーヤ。
    • 図書館には図書館協議会というものがあり、図書館の運営について意見できる。岡崎市にも協議会があり、有識者と並んで市民枠もある。ここにlibrahackさんを招いてはどうか、と岡崎市には提案したい。
    • 最後に、Code4LibWSの宣伝。
  • パネル発表:榎本さん
    • 自分は岡崎市でインターネットサービスプロバイダ防犯連絡協議会をやっている。インフラ構築からユーザサポートもする。当事者それぞれの立場で問題を整理。
    • librahackさんは図書館のサイトが使いにくかったから、自分で作ろうとした。世の中にないものを自分で作るのは、Webの世界では正しい。
    • 図書館は普段ない量のアクセスを受け、フィルタとURL変更で対応し、それで駄目だったので他の機関に相談した*3。これも正しい。ちなみに愛知県のハイテク犯罪対策室と自分は仕事上やりとりがあるが、レベルが低くはない。割とフラットに相談に乗ってくれるし、連携してトラブルを解決した例もある。
    • 岡崎署は事件だと言って相談を受け、調べた。これも正しい。
    • 報道機関は事件が発表されたので、報じた。これも正しい。
    • 結局、それぞれプレーヤは普通のことをしていた。では、どこに問題があったのか考えてみる。
    • librahackさんはデバッグをきちんとしてエラーステータスを管理すべきだった。プログラムが動くことと、動かし続けて大丈夫ということは別。
    • 図書館は、Web動的情報を発信する立場として、どの程度のトラフィックに耐えるのか、耐えられないときはどうすべきか考えておくべきだった。
    • 警察は、専門家のチェックを受けるべきだった。
    • 報道機関は、発表内容を鵜呑みにしないで「大量アクセス」の書き方を考えるべきだった。
    • IT業界の不都合な真実。価格圧力がものすごい。例としてケータイ業界。基本料金は安く抑えているが、実際の顧客単価は4000〜6000円。入り口でまっとうな値段を出すと商売にならない。あるいは着うたダウンロードも、通信費を考えるとCDを買う方が安かったりする。モラルとしてはかなり歪んでいる。利用者/受発注者とも、注意すべき。
  • パネル発表:池山さん
    • IT技術者としての意見。
    • 図書館と警察側は「被害者は市民と図書館、加害者はlibrahack氏」と考えており、技術者的には「被害者は市民とlibrahack氏、加害者は図書館とシステム業者」と考えている。Webの利用について、共通のルールができていない。
    • 技術者は、質の悪いWebも存在するという前提で、共通の基準を作るべき。
    • 図書館は、システム品質を維持することについて当事者意識を持つべき。
    • 司法側は、どこからが犯罪になるのか、基準を決めてほしい。
    • 市にIT担当者はいるのか。専門部署が市や外郭団体のシステム関連相談に乗っていれば、解決したのでは。


 ここから討論。発言者が見えなかった/メモできなかった発言は、「?:」としている。

  • 司会:この事件は岡崎市議会で取り上げられている。今後、市のIT推進課と協力を進めるとのこと。
  • ?:情報システムの企画をよその会社の役員にプレゼンするとき、技術的な話には無関心な人がしばしばいる。そういう人にお金の話(このシステムでいくら浮くとか、いくらかかるとか)をすると、途端に食いついてくる。中身を知らない。公共調達でも、お金だけで決めないほうがいい。
  • ?:インターネット自体が試行錯誤の積み重ねでできていて、こういう問題は起きやすい。
  • ?:違法は違法だったかもしれない。でも、違法=逮捕ではないはず。
  • 会場から:図書館からベンダーに提示する契約内容は、どういう書き方をすればよいか。たとえばバグの補償等。
    • ?:契約前の要件として、バグは瑕疵担保か。通常一年だが、もっと長めにとってもいいかも。もうひとつの問題は検収。中小企業等では、正しく検査をする実力もないこともある。なんらかの専門家が第三者として入ってもよいかも。
    • 大屋先生:予算単年度主義の問題。開発が間に合わなくても3月31日までに納品しないといけないという縛りがあるために、瑕疵によるトラブルの責任が定まらない。ベンダーとしては初期開発の金しかもらっていないわけで、困る。だが継続的費用は圧縮せよという圧力が、世の中の傾向としてある。どれだけのサービスにどれだけ払うかの基準が破綻している。
    • ?:今回のシステムでは、要求仕様に負荷のことが書かれていなかった。図書館側に聞くと、予想外だったために記載していなかったという。予期しないことがあったときの対応をどうするか。
    • ?:ちなみに岡崎市立図書館のIT関連仕様と費用をチェックしたところ、額面と仕様を見る限りでは妥当な範囲。ぼられているわけではない。
    • ?:ベンダー側としても、納入後の保守は1年ぐらいで切るようになってきている。
  • 会場から:本件でどのへんが着目すべき問題だと思うか。
    • 大屋先生:逮捕は公式処分ではない、起訴も確定したわけではないから大きな問題ではない、というのが法律の建前。とはいえ、もちろん逮捕された個人としては大問題。本来は逮捕や起訴の段階で犯罪者扱いする社会や報道の問題だが、すぐには変わらない。だからポテンヒットが起きる。警察の中でも適切な知識は偏在している。
    • 岡本さん:その人の人生にとっては見過ごせない問題。また、今年から著作権法が変わって検索エンジンが合法化された。しかしその法の範囲内のことをやった人が、逮捕・報道された。これはたいへんな問題。
    • 岡本さん:大屋先生のお話を聞いても、本件でlibrahackさんに過失があったとは思えない。罪はなんらなく、社会的に合法なのでは。
    • 大屋先生:過失レベルにも2種類ある。1つめは犯罪にする、責任追及というレベル。2つめはパーフェクトではなかった、やるべきことをすべてやったわけではないというレベル。今回、librahackさんに前者の過失はない。その意味では、警察も図書館も同じ。後者の過失は、みんなにある。librahackさんも、クローラを動かす前に図書館に断りを入れてもよかったし、動かした後の検証もすべきだった。個々の行為が合法でも、総体が合法とはいえない。
    • 岡本さん:世の中にサービスを提供する際にミスはありうるし、使う側もそれを予見した方がいいというのは確か。しかし、予見は義務ではないのでは。
    • 大屋先生:建前としては、違法なことは予見しなくていい。向こうに見えるバイクが時速百数十キロ出していたら衝突するかも、とは予見しなくていい。逆に言うと、違法な行為に当たらない程度のことは予測しないといけない。法が想定するのはリスクに覚悟して備える、強い個人。
    • 大屋先生:とは言え、現実にそこまで完全な予測は無理。建前と現実の間を、国家が埋めている。たとえば生命保険の約款をすべて読み込まないで契約してもそれほどリスクを感じずに済むのは、国が保険業を規制してコントロールしているから。でもこういう規制はWebになじまない。欠陥があるかもしれない、と思いながら発信し、利用すべき。
    • 大屋先生:本件はあってはならない事例。だが、日本の逮捕システムは世界的に見ても厳しい部類で、他国だともっとカジュアルにこういう事件が起きる可能性がある。
    • 岡本さん:とは言え公共サービスに限定した場合、信頼せざるを得ないのでは。図書館は特に万人に開かれている。それに対してリスクマネジメントが必要なのは変。選んで買ったものではなく、住んでいる以上税金という形でコストを負担している。
    • 大屋先生:切り口上で答えるなら、国家をみんなで見張ろうというのが民主主義だし、税金は公共サービスの対価ではない。とはいえ、本件のような事件がが少なくとも岡崎市ほどの大きな自治体で起きたのは恥ずかしいこと。ベストプラクティスではない。
    • 大屋先生:だが、自治体はみんなの期待に応えられるリソースがあるのか。民間企業ならリソースの足りないサービスは潰れるが、自治体は儲からないからと言ってサービスを切れない。財政破綻できない。看板と実質が乖離している。
  • 会場から:図書館ではMARC*4を買って、部分的にWebで提供していたのだと思う。MARCを売っている会社としては、ダウンロードして自由に使われるのは困るのでは。ニュースの見出しを流用する行為に、著作物性は認められなかったが不法行為と認められたケースがある。クローリングしてミラーサイトを作ると不法行為になりうるか。
    • 大屋先生:見出しに著作物性はなく、自社のサイトだと思わせたり、提携関係を誤信させるような使い方でなければ問題はない。本件ではスクレイピングしたデータを公開しておらず、著作権法上の問題はない。


 ぼやっと感想。
 タイトルは「考える」だったけれど、論点を整理して、各視点からの問題を炙り出して突き合わせるだけで時間いっぱい。二度とこういう問題が起きないようにする具体的な方法の議論にまでは至らなかった感じだった。法律家と技術者の間のものの見方のギャップは大きいし、両者と素人のギャップはまたさらに大きい。知識不足は金があれば補えるけれど、そのコストは誰が負担するのか。もやもやわだかまったものを抱えて聞きに行って、さらにもやもやして帰ってきた気分でもある。
 結局この話がそれだけ難しい、色々な問題を含んだ事件だということだろう。フロアからの発言ももっと聞きたかったな。

*1:年齢読み誤ってたら、ごめんなさい。

*2:ここで参加者に挙手で選ばせる。殺人が数名、傷害致死と傷害が半々くらいで、傷害致死の方が少し多かった。

*3:ただし技術対応と相談の前後関係は逆だったという指摘あり。こちら参照。

*4:図書館で使う、本の情報のデータ。