前回のイベントレポートの続き。
　※繰り返しますが、例によってxiao-2が聞きとれてメモできて理解できてかつ覚えていた範囲、のメモ。誤記・誤解はたぶんあり。→以下は自分の感想。敬称は「さん」に統一。

　お二人の講師の発表が終わった後は、パネル討論。

• 司会：
  • 一連の事件に関する情報について質問。実際にネットで確認できる状態になっていたデータはどの程度あったのか。不正なアクセスなどしなくても見られる状態になっていたものは。専門家の目から見て。

• 上原さん：
  • MELIL/CSを導入していたいくつかの図書館HPソースを見ると、コメントに他の図書館名が入っていた。それは誰でも見られる。
  • 調達結果のプロポーザル表は、調べた方が情報公開請求をして入手したもの。

• 新さん：
  • 休憩時間に参加者から指摘をいただいたので自分の発表内容を一部訂正する。図書館が警察に利用者情報を提供したのは被害届提出より前被害届提出の前と言っていたが、提出の後だった*1。
  • 原課調達主義に関連して上原先生に伺いたい。自治体のIT担当課との連携はなかなかうまくいっていない現実があるが、図書館がうまく頼るようにするためにはどうしたらいいかというのが一点目。
  • 二点目。アクセスログ＝図書館の利用記録に等しい、というのはWebの世界ではそのとおり。だが、図書館業界ではアクセスログが個人情報や利用者情報に該当しうる機微情報だという意識がなかなか浸透していない。なぜ該当するのか、という理解が広まるためにはどうすればいいか。

• 上原さん：
  • 二点目の、IPアドレスは個人情報かどうかということから答える。
    • この点に関して、世の中には大きな誤解がある。個人情報保護法*2は、自治体の活動には適用されない。
    • 自治体の活動を縛るのは個人情報保護条例。したがって自治体ごとに違う。とは言っても一応総務省からひな型が出ているので、それほどばらばらにはならないようになっているが。
    • 両者の違い。個人情報保護法は、「他の情報と『容易に』照合することで、個人が特定できるもの」を個人情報としている*3。一方、個人情報保護条例のひな型には「容易に」がない。
    • したがってIPアドレスが個人情報に当たるかどうかは、自治体各自で判断することになっている。自治体ごとに個人情報保護審議会が設けられている。自分の住む自治体でどう判断しているかは、そちらに諮問するのがよい。
    • 岡崎市にも個人情報審査会がある*4。ここでは個人情報の提供を行った後に審査会に報告することを義務付けているが、事前の申請が必要かどうかを定めていなかった*5。
    • ということで、IPアドレスが個人情報に該当するのかどうかについて、一般的な共通見解はない状況。このこと自体も問題だが…。

• 上原さん：
  • 次に一点目の質問。IT担当課が情報システムの調達に関わるべき、という話。
    • しかし一概にIT担当課がやればいいというものでもない。なぜなら、図書館の業務フローはたいへん複雑。貸出だけしていればいいのならいいが、レファレンス等幅広い業務を行っている。まずワークフロー分析ができないと難しい。
    • ただ業務全体を概観することができないとしても、技術的な面についてはIT担当課が関われるはず。たとえばセキュリティやWebの機能測定など。
    • 図書館がIT担当課と連携しようと思うと、まず本庁、そして教育委員会の壁を崩す必要がある。
    • ちなみに岡崎市は、図書館の所掌を本庁に移すらしい。Libraの建物全体として、他の福祉とワンセットになっている。これはこれでよいことだと思う。

• 上原さん：
  • 新さんの発表に補足。
    • 「1秒1アクセスが常識的な範囲内である」ことの根拠として「SPIDER HACK」を引いていたが、この本の刊行は2003年、すなわち8年前。ITの世界はDog Yearで日々進歩している。今の時代に1秒1アクセスが基準では駄目。
    • Librahack事件をめぐってネットでは大騒ぎになった。JNSA*6が発表した「2010セキュリティ十大ニュース」にもこの事件がランクインしている。それだけ技術者側にとって身近な問題だったということ。
    • IPA「サービス妨害攻撃の対策等調査」報告書について裏話をすると、あれは岡崎市の事件の後で、IPAから自分や産総研の高木先生に声がかかって作ったもの。つまり後出しではあるけれども、今なら対処方法の相場となりうる内容だと思う。

• 上原さん：
  • 新さんや、フロアの図書館関係の方に伺いたい。これから図書館は電子書籍など、ITに関わる業務が増えていく。それらにどう対応しようと考えているか。

• 新さん：
  • 公共図書館の現場に関して言えば、3パターンある。
    • 1つ目はどんどん取り入れようとするタイプ。ある意味では、ITをてこに予算をとってくるとも言える。積極的に導入している例としては堺市立図書館*7、鎌倉市図書館*8、千代田区立図書館*9など。
    • 2つ目は、アンテナは立てつつも様子見というタイプ。
    • なぜ様子見かというと、電子書籍の場合、販売と貸出に差が少ないため、出版者側に危機感がある。千代田でも5,000タイトル以上なかなか増えていない。関係者に聞いたところ、やはり大手出版社がなかなか乗ってこないといっていた。著作権の壁がある。普通の図書館では、蔵書が50,000冊ないとユーザは「借りたい本がない」と感じるといわれる。自分が電子書籍5,000タイトルのラインナップを見た時も、確かにそのように感じた。貸出をどうブレークスルーさせていくかがまだ見えない。
    • 3つ目は、無関心・諦めているタイプ。電子書籍と騒がれているけれども、目の前の業務に追われて手一杯、という現状もある。

• 上原さん：
  • 外圧を利用して、自治体内の図書館の位置を考え直す機会でもある。
  • 岡崎市立図書館は、良い図書館。Libra全体が子育て支援など、人が集まる場所としての機能を持っている。あの事件は、そこで起きてしまった。
  • 公共図書館の貸出数自体は、不景気の影響もあり今も伸びている。それが出版業界から批判されるネタにもなるわけだが。利用が伸びているうちに、どういう生き残り方があるか考えなくてはいけない。このままだと、出版業界と共倒れになる。
  • 電子書籍の場合、貸出と購入はほとんど同じ行為。図書館といえども、ただではやれなくなる。無料の貸出という図書館の機能が衰退していくだろう。その時、図書館という建物、そこにいる人を使って、地域のために何ができるのか。そういう方向性に変わらざるを得ない。
  • また、その方が希望のある話ができる。これから衰退していく、という暗い話だけではなくて。

ここから質疑。

• フロアから：
  • 2点質問したい。大きなことと、具体的なこと。
    • 1点目。人材不足、ITスキル不足、資金不足といった厳しい現状は、図書館や公的機関に限らず、民間の特に小規模の企業でも抱えていると思われる。そうした企業ではどのように対応しているのか。公的機関が見習える点はあるか。
    • 2点目。最近クラウドを利用したサービスが登場しているが、導入する上でベンダーロックインにつながったりしないか。仕様で気をつけた方がよい点、この項目を入れておくとよいといったことはあるか。

• 上原さん：
  • 1点目の質問。
    • 民間企業の場合は、経営者の自己責任。うまくやれなければ潰れて淘汰されるだけ。公共機関が潰れては困るので、したがって参考にはならない。
    • ただ、中小企業を元気にするための施策は国でも色々と取り組んでいる。たとえばITコーディネータ*10。経産省が旗を振って、IT経営のできる人材を増やそうとしている。そういった枠組みは作られているので、うまく利用している会社では一発逆転もありうる。
  • 2点目の質問。
    • クラウドを利用したサービスだと、学校図書館用のシステム*11などが出ている。今は大手ベンダーしか作っていないが、クラウドサービスはそもそも事業としてリスクが小さく、新規参入しやすい。したがってサービス提供者がこれから増えていくと思われるので、ベンダーロックインの恐れは少ないだろう。
    • むしろ別の問題がある。それは個人情報の取り扱い。カントリーリスク*12とも言えるが、クラウドの場合アメリカのサーバに日本の自治体のデータが保管されたりする。
    • このデータの扱いが難しい。通常個人情報の扱いは各自治体の条例に従うことになるが、たとえばアメリカのサーバ会社の社員がデータを不正に持ち出したとしても、罰するための実効性のある方法がない。この状態は問題。
    • そのため大手ベンダーは、国内に自社のサーバを持つことを売りにしている。だがベンチャーだとそういう点を無視して安いサービスを作るかもしれない。注意が必要。
    • IPA「サービス妨害攻撃の対策等調査」報告書でも、クラウドの場合の対処方法を取り上げている。クラウドを利用したサービスの場合、アクセスログ等の情報はクラウドに訊くことになる。
    • ただ裏話としては、現時点でクラウドサービスを提供している事業者の絶対数が少ないため、定義そのものが曖昧。

• フロア：
  • 新さんに質問。大手ベンダーはAPI実装をやりたがらないという話をされていたが、なぜだと思うか。

• 新さん：
  • 実際にベンダーに意見を聞いたわけではない。現在の主な図書館パッケージソフトでひとつも見たことがないので、そのように思った。
  • また、長崎在住のコンサルタント前田氏*13もそのようにコメントされていたと思う。聞いた話で、すみません。
  • API実装そのものは、難しいことではないだろう。ただ、公共図書館について言えば図書館側が要求しないためではないか。APIに限らず図書館システムは、人が手で動かして運用することが前提になっているように思う。

• 上原さん：
  • やはりインセンティブがない、顧客である図書館が求めていないということ。

• 新さん：
  • 自館のシステムで実装しなくても、たとえばカーリルのAPI*14にただ乗りする方法もある。

• フロア：
  • 新さんに質問。この事件は社会的・組織的対応が必要だったと思うが、図書館としての対応ガイドラインを作ろうというような動きが業界にあるか。たとえば、どのくらいの負荷から攻撃とみなすべきか、といった判断基準など。
  • 上原さんに質問。自治体のIT担当課の現状はお寒いものがあるとされていたが、これに対して国はなんらかの施策を用意しているか。たとえば市町村合併は、両自治体のシステムを維持するコストを下げるために推進された面もあるという。国としての動きは何かあるのか。

• 新さん：
  • 図書館問題研究会としては、まだガイドライン的なものは出していない*15。
  • ただしLASDEC*16でWeb健康診断というものを出している。岡崎市のようなケースでは、図書館というよりも一般的な公共の情報システムの問題と考えることができるので、こうした枠組みを利用するのがよいかもしれない。
  • 図書館としての取り組みとしては、Code4lib*17などがある。

• 上原さん：
  • 国として何らかの動きを取るのは難しい状況。というのも、現政権は基本的に地方分権を進める方向。この流れの中で、あえて国が枠をはめるのは不整合。
  • 先ほど新さんから紹介のあったLASDECでも、種々のガイドラインや報告書等を出している。Web健康診断は高木先生のプロデュースによるもので、10万円あればHPのセキュリティを診断できる。
  • システム維持のコストを下げるための合併という話があった。しかし実際には合併によってシステム統合の必要が生じるケースの方が多く、コストはかえって上がった。
  • 国もそれに懲りて、施策を打ち出している。そのひとつが後期高齢者医療制度に関わるもの。システム統合の必要性から厚労省が音頭をとって、地域の広域連合を作らせた。
  • また自治体自身の旗振りによって、システムをなるべく共同化しようという動きもある。たとえば平成24年度から、住民基本台帳に外国人を掲載することになった。これはかなり大規模な統合。こちらもあまりうまくいっていないが、高知県など積極的に踏み込むところも出てきた。

• 司会：
  • 本事件については、JLA*18の「図書館の自由」委員会でも調査を行っている。実際に岡崎市立図書館を訪問して話を聞いたりもした。だが、まだオープンにできるだけのものがまとまっていない。公表できていないが、動いていないわけではない。

　研究例会は、以上。非常に面白くて濃い中身だった。自分なりにいろいろ感想は浮かんだが、またしても眠さの限界なのでここまで。