ライブラリー×ウェブの力を飛躍させるCode4Lib JAPAN このページをアンテナに追加 RSSフィード

2010-10-03

イベントレポート『パネル討論会:「岡崎市中央図書館ウェブサーバ事件」から情報化社会を考える』

昨日2010年10月2日、中京大学にて開催された『パネル討論会:「岡崎市中央図書館ウェブサーバ事件」から情報化社会を考える」に出席したため、イベントレポートを掲載します。あくまでこのレポートは出席者の常川真央が聴いたかぎりのお話をまとめたものであるため、必ずしも出席者の意図を反映しているとは限りません。本記事末尾に掲載している他の方の記録と併せて判断していただきますようよろしくお願いします。(文責:常川真央)

開催趣旨:

 2010年4月、岡崎市図書館Webサイトの利用者が Webサイトに自作プログラムでアクセスし、新着図書の情報収集を開始したところ、たびたび Webサイトに障害が発生し、その利用者(通称 librahack氏)が逮捕され、起訴猶予処分となったとのことです。この事件が新聞発表された結果、ネット上では議論が激しく交わされました。このアクセスはWebの利用として特段異常ではなく、障害はむしろ図書館側の不具合であり逮捕に至ったのは不当ではないかとの意見が大勢を占めました。実際、朝日新聞は解析の結果システム不具合と報道し、ベンダー側は不具合とは認めないまでも改修を実施しています。

 なぜ、このようなことになってしまったのか。こういった問題の再発を防止するにはどうしたらよいのか。行政におけるシステム調達の技術評価の在り方等、数多くの課題が指摘されています。

 もはやITという専門的・技術的領域を抜きには社会は回りません。しかし、その知識習得を幅広く図書館員や警察官に求めるのも限界があります。IT業界はどのようにあるべきか。情報システムを扱う図書館や警察のような行政はどのように情報システムと向き合うべきか。そして、社会はどのような方向へ向かうことが求められるのか探っていきたいと思います。

主催:ESD21 http://www.esd21.jp/info/ 経営情報学東海支部 http://www.jasmin.jp/

https://www.esd21.jp/news/2010/10/post-1.html

パネリストの紹介

大屋雄裕(おおや・たけひろ)

1974年生まれ。名古屋大学大学院法学研究科准教授。専門は法哲学1997年東京大学法学部卒業。同大学院法学政治学研究科助手を経て現職。名古屋大学法科大学院で『情報と法』を担当。

著書に『自由とは何か―監視社会と「個人」の消滅』(2007、筑摩書房)、

『法解釈の言語哲学クリプキから根元的規約主義へ』(2006、勁草書房

など。

http://www.nomolog.nagoya-u.ac.jp/~t-ohya/

岡本真(おかもと・まこと)

1973年生まれ。1997年国際基督教大学卒業。編集者等を経て、1999年〜2009年までヤフー株式会社に勤務。プロデューサーとして、Yahoo!知恵袋等の企画・設計・運用に従事。同時に1998年からインターネットの学術利用をテーマにしたメールマガジンACADEMIC RESOURCE GUIDE (ARG) (週刊、5000部)の編集・発行に従事。2009年、同誌を母体にアカデミックリソース・ガイド株式会社設立図書館システムの高度化等に関する提言図書館の外の立場から継続的に行っている。

http://www.ne.jp/asahi/coffee/house/ARG/

榎本康宏(えのもと・やすひろ)

1962年生まれ。有限会社 情報空間 代表取締役

愛知県インターネットサービスプロバイダ防犯連絡協議会(AISP)理事愛知教育大学非常勤講師。地域密着型のISP三河インターネットサービス」の運営が主な業務。1988年豊橋技術科学大学大学院博士課程前期卒業。1988年〜1996年 NECマイコンテクノロジー株式会社に勤務。1996年 有限会社 情報空間を設立

池山昭夫(いけやま・あきお)

1946年生まれ。1969年立教大学理学部卒業。ヤマハ発動機にて長らく情報システムの企画・管理〜業務改革などに従事。

2001年ITコーディネータ協会のインストラクター。2003年(株)BIBを設立し主に中堅企業を対象にITの戦略的な活用を支援指導。得意分野はBSC(バランス・スコアーカード)。2010年一般社団法人「持続可能なモノづくり・人づくり支援協会」設立に参画。最近ある地方裁判所からの委嘱を受け専門委員(IT)を務めている。

https://www.esd21.jp/news/2010/10/post-1.html

岡崎市図書館事件の概要(司会者コザワ氏より)

  • 事件そのものの概要
    • Librahack氏のやろうとしたこと:図書館システムが使いづらいので自分用に改善したWebアプリケーションをつくろうとした
    • なぜそんなことをしたのか?
      • 新着一覧に入荷日が記載されていなかった
      • どれが新着かわからなかった
      • 新着情報をもとに読む本の目安にしようと思った
    • 岡崎市図書館のシステム
      • M社製「パッケージソフト」MELIL/CS
    • クロールの結果
    • 図書館の対応
      • 週に3,4日は来ていた
      • MDISの提案を仰ぎながら技術的な対応を試みるがアクセスが続いた
      • どうしてよいかわからなかったので警察に連絡
    • 警察の捜査
  • 今回の事件の技術的側面
    • DoS攻撃とはサーバーを応答不能にすることを目的としたアクセス
    • クロールとは機械的に内容を取得する行為
    • 技術的には明確に違う
    • クロールに依って負荷がかかることはあるが、ログをみればどちらであるかすぐ見分けがつく
    • librahackクローラーの仕様
      • 1秒1回
      • 原則的には単発でこのペースの場合負荷にはならない
    • 原因として考えられるのは図書館システムのWebサーバーデータベースサーバーの間になんらかの問題が生じていた?
    • 真相
    • 障害の原因
    • Librahack氏はなぜ気づけなかったのか?
      • サーバー障害の画面をみたからといって自分が原因だと判定できるとは限らない
    • 保守側がとったクローラ対策
      • 新着ページのアドレスを変えた→通常でもアドレスが変わること自体は珍しいことではない
      • IPアドレスで遮断
    • 円満な解決はあったか?
    • 警察・図書館ベンダーそれぞれの課題
      • 課題1:MDIS
        • 前述したようにシステムに問題点があった
      • 課題2:図書館
      • 課題3:将来に対する不安
        • 図書館システムにアクセスしづらくなるのでは?
      • 課題4:IT企業の中の専門性
      • 課題:パッケージソフト商法
  • ネットで騒いでいるエンジニアの想い
    • 大量アクセスという表現はやめてほしい
    • MDISに不具合を認めてほしい
  • 構造的課題の存在
    • 企業や行政におけるITシステム導入を導入側がどのように評価するのか
    • 下請けの問題

パネル発表 :大屋

  • 法律的な観点から指摘していきたい。
  • 有る事例:蹴って全治10日の生涯を与えたところ、脳の病にり患していたため以上に弱っており死亡した。これは殺人か?
    • 正解:傷害致死。故意の殺意はなかったが、死亡との因果関係はあった
    • 因果関係の認定:被告人が事情を知らず、予測もできなかったとしても行為と結果のあいだに因果関係を認めることができる
    • 未知・予測不能の欠陥でも結果に対する責任を否定する理由にならない→「完全である義務」はない!
  • 今回の件の話
    • 犯罪とは
      • 違法性:構成要件への合致
      • 有責性:故意・過失の存在
    • 構成要件の面から
      • 頻繁に無言電話をかけ、困惑させる行為が「偽計」とされた判例がある
      • 被害は発生している。因果関係も肯定される
      • この面ではほぼ黒
    • 故意・過失の面
      • 故意の存在は立証できるか?……客観化された主観要件
      • 故意の認定
        • 今回と同様のプログラムをまだ修正されていないシステムに意図的に利用したら?→完全な偽計業務妨害
        • いまから利用したら?→結果に対する予期と認容
        • 故意の認定は、内心を推定する。本人の証言だけが故意の認定の根拠とは限らない
    • 結果
      • 違法性は黒
      • 故意・過失の面では、家宅捜査の時点ではあったと踏んだが、取り調べの段階でないと判断した
      • よって起訴猶予処分
  • 開発者の「問題」
    • なぜ欠陥がないことを前提したのか
    • なぜ動作結果を十分に検証しなかったのか?
    • なぜ図書館側に問い合わせなかったのか?
    • 理想的でないことが「問題」ならば、開発者にも「問題」はあった
    • 検察裁判所を除外する)どこか一つのアクターが問題を阻止できていれば、この問題は止められた
  • 警察の「問題」?
    • 被害申告の検証が不十分だったのでは?→国民は被害発生以前の早期介入を求め続けてきた(ストーカー児童虐待など)
    • 今回、結果は現実に発生している
    • 検証はどれだけ可能だったか疑わしい
    • エキスパートがいるべきだったとされているが……
      • 枝幸町役場の求人の件→3人分の能力をもった求人(そんなやつはいない)
      • 枝幸町役場はかなりの人員削減、仕事に必要な人材を雇おうとしても雇えない
      • 外注のパラドックス:適切な発注のためには知識・技能が必要←→知識・技能がないから外注している
      • さらにギャップの分権(地方分権化・法人化)による拡大→ガバナンスが困難になりつつある
      • 図書館についても、図書の貸し出しや新着情報配信などのシステムがなぜ分権化されているのか?
      • 分権すべきところとすべきでないところの判断がとれていない
  • 法律の問題か
    • 日本の「著作権問題」の大部分は「著作権契約問題」
    • 各主体が合意に基づいて権利義務関係を形成するのが本筋
    • とはいえ、使う側だけの問題ではない……権利者側の怠慢
    • それぞれの主体はどれほど協力か?……疑問

パネル発表 : 岡本真「図書館のための弁明」

  • かつて検索システムを開発していた立場から、ウェブ活用を起点とした批評と提案を図書館に対して行ってきた
  • 貸出履歴の活用提唱、中堅図書館職員の研修の担当を経て、Code4Lib Japanの立ち上げ
  • 今回は図書館の現状についてご紹介したい
  • サービスの分化意識
    • 来館と非来館、オフラインとオンラインに二分して考えてしまう
    • 利用者全員がオンライン環境を利用できるわけではないという観点から、来館を重視する傾向がある
  • ちくりと一言いうと、岡崎市立中央図書館の方々はなぜ0番台の棚にいって自分で調べなかったのか、自分で問題解決しなかったのか
  • 弁明もしておくと、図書館では人員や人材が不足している。
  • 本来はシステムズライブラリアン雇用するための社会的合意が必要。
  • 情報技術が得意な人を図書館側は積極的に雇用・評価してこなかった
  • 長尾真館長による蔵書を電子化して全国の図書館に配信するプロジェクトがあり、図書館の情報技術向上
  • 図書館がたよりないと思われるのを懸念している
  • 図書館に、公共サービスに臨むこと
    • NDLとの縁
      • 課題指摘→意見聴取→講演依頼→委員就任というサイクル
    • 適度な緊張関係
    • Government 2.0 / Open Government という解
      • 「市民」観の転換、あるいは「市民」の復権
      • 専門家としての市民/利用者としての市民
      • 公共交通機関のトラフィックデータをAPIとして提供することによって、市民や民間機関により優れた交通システムを作ってもらうという実例がある
      • 日本の経済産業省でも似たような動きがでてきている。統計データがまとまって提供されるサービスも提供された。
  • 岡崎市への提案、公共サービスへの提案
    • 岡本市岡崎市にはがっかりだが、公務員だって人間であり間違うことはある
    • 公務員の限界を補うために、図書館協議会の本質的な活用を提案したい
    • どのようにして市民が図書館サービスの向上に寄与してくれるかを考えてみてはどうか
  • PR:Code4Lib JAPAN
    • 図書館には情報技術能力が足りない
    • Twitterブログといったレベルでもうまく使いこなせない方もいる
    • Twitterを始めたいけどどうすればいいの?」と相談しに来た利用者にどう応対するつもりなのか?
    • 忙しいとはいっても、広瀬香美よりは時間があるはず。スキルアップするチャンスはある。
    • 図書館員のICT能力の向上を目指して講習を行う
    • 第2回Code4Lib JAPANワークショップ「Webのログファイルを読む・解析する」を開催するのでぜひ来てほしい

パネル発表:榎本康宏

  • 地域のプロバイダ事業をしている
  • 今まで静観を決めていたのだが、うちのお客に岡崎市市民団体がおり、朝日新聞岡崎市などの声明などが出るたびにうちのトラフィックが跳ね上がる
  • 事業者として無視していられない状況になったので参加することにした
  • まず当事者それぞれの立場で考える
    • librahack氏:
      • 図書館の新着情報を素早く知るツールを作ろう」
    • 岡崎市図書館
      • IPフィルタリングURL変更などの対策を経て県警に相談。その結果librahack氏が逮捕された。
      • 私たちも機械的なアクセスに悩まされていたお客がいて、愛知県警に相談したことがあった。
      • そのときはログなどをいろいろ調べた結果、攻撃であると確定することはできなかったため様子を見ることになった。
      • 私と同じ
      • 岡崎の件はなにかがおかしい
    • それぞれの人が普通のことをしている
  • 自分が考える対策
  • IT業界の不都合な真実
    • 日本のIT希望の星携帯ビジネスにみる
      • 基本料金は980円:決算でみると平均顧客単価は4000-6000円→入口は安いが実は高い、これに気づいていないひとが多い
      • 月額300円の会費:休眠ユーザーをたくさん抱えることで儲かる仕組み
    • ARPU:平均顧客単価
    • 携帯音楽配信
      • 楽曲1曲ごとは安いが、基本料金を含めるとCDを買うよりも高く、これに気づかないひとが多い
    • 日本のIT業界は入口の料金を安くして、トータルでは客単価が高くなるようになっている
    • そのため、ユーザーはITに払うべき本当の価格が分からない
    • あくまで推測だが、岡崎市立中央図書館のシステムのトラブルは適正な価格が支払われないIT業界の無理が影響しているのかもしれない
  • いろいろな人の思惑が交錯し、ITの歪みのエアポケットに入ったのではないか?

パネル発表:池山昭夫

  • ネットIT技術者の意見
    • Webサイトのデータを集めるのは正当な行為
    • 原因はシステムの欠陥ではないか
    • したがって逮捕は不当である、これで逮捕なら皆逮捕されてしまう
    • 業者の言うことを鵜呑みにしている図書館側にも問題がある
  • IT技術者図書館の言い分の違い
    • IT技術者の言い分:被害者は市民で、加害者は図書館とシステム業者 (librahack氏のクロールは正当な行為である)
    • 図書館の言い分:被害者は市民と図書館で、加害者はlibrahack氏 (librahack氏のクロールは不当な行為である)
    • 両者ともにそれぞれのルールをもとに主張している
    • Webサイトを利用するルールが存在しないのが食い違いを起こしているのではないか
  • それぞれの立場に対する提案
    • IT技術者:傷害が起きないよう照準を作り提案をしてはどうか?
    • 図書館:業者丸投げはやめて当事者意識を持ってほしい
    • 警察:ITに関してどこから犯罪になるかを基準を決めてはどうか

パネル討論(現在編集中。後に追記します)(2010年10月5日 追記)

パネル討論では筆者の機材トラブルにより、部分的にしか記録がとれておりません。申し訳ありませんが、記録がとれている部分のみレポートさせていただきます。パネル討論については、以下の記事により詳しい内容がレポートされていますので、こちらも併せて御覧ください。

質疑応答
  • Q: 池山さんに。プロバイダ事業意外にもSI事業を取り扱っているときいているが、MDISのように不具合が発生したケースは経験したことはあるか。また、その場合にはどのような対処となるか。
    • 池山) 同様のケースは経験したことはないが、当然システムに何らかのバグが出てくる可能性はあるので通常、瑕疵保証を付ける。ただIT業界では保証される機関が長すぎるのではないかと思っている。また、当然検収テストを十分にする必要があるだろう。
    • 大屋)年度内に予算を扱う問題がある。年度内に開発が間に合わなくても無理やり検収せざるおえない。また、運営維持にかかる費用がきちんと払われていないのではないか。その結果、メーカーが不具合を改善することができない状況を作り出しているのではないか。
    • 池山)補足しておくと、今回は提示された要件が十分に満たせなかったために起きたわけではなく、まったく想定外のトラブルだった。
  • Q: さまざまな視点からおはなしをしていただいたが、特にどの問題点に着目すべきか?
    • 大屋)逮捕と起訴猶予処分の違いについて一般の人々が分かっていない点。だれが頑張って改善される話ではないが。
    • 岡本)しかし両者は違うとはいえ、やはりlibrahack氏の社会的信用が失われたのは見逃せない。単に認識の違いとするほど些細ではないと思う。
  • Q: 発表のなかでlibrahack氏のひとつひとつの行動は「すべて合法」と大屋氏はおっしゃっていたが、図書館はBOOKデータベースという有料のデータベースを利用しており、librahack氏が収集したデータの中にも含まれている。以前、LINETOPICSというニュースの見出しを配信するバナーサービスが、著作権に抵触するとして訴えられた事件があった。今回の件も不法行為となる可能性があるのではないか?
    • 大屋)(記録が消失しました)
    • コザワ)今回 librahack氏が開発したシステムは個人が使用するためのもので、公開する予定はなかった。そのため、著作権法上の問題はないのではないか。
高木氏の質問にたいする議論

以上の高木氏からの質問を受け、岡本真氏が代理で大屋氏に対して質問を提出しました。

後半のパネリスト間のやりとりでは、大屋さんの議論に対して、違和感を感じていたので、私が質問し、大屋さんが回答するという流れになった。質問したいと思っていた来場者の方には申し訳なかったが、パネル討論会という設定である以上、まあやむをえないところだろうか。

http://d.hatena.ne.jp/arg/20101005/1286211802

この質問をめぐってしばらくのあいだやりとりがありましたが、この部分については記録があやふやとなってしまい、確証がないため記述を控えさせていただきます。この箇所に対してレポートされている記事があれば、紹介させていただきますのでコメント欄等でご報告いただければ幸いです。

他サイト様の関連記事

kozawakozawa 2010/10/03 18:38 私の説明で、「技術対応の後で警察に相談した」印象を受ける説明になっていたとの批判がtwitterであり、(パネル内容の追記で言及あるかもしれませんが)、そうではない、と岡本さんより確認発言がありました(相談前にも幾つか対応の形跡はありますが、重要なものは最初の相談以後です)。資料には各種日付は入れていたのですが、誤解を招きかねなかった点は事実です。ただし、被害届けの提出時までには技術対策は概ね終わっていたことを付け加えておきます。

「Cookieなしのアクセスでウェブセッションを生成してしまう実装は通常「不具合」に分類され、やってはいけない。」も厳密ではないと補足はしましたが、掘り下げられず、このような趣旨で説明したのは事実です。(もちろん、ウェブセッションをCookieのみに頼り、かつDB接続と結びつけた上で、という条件付きなら「不具合」で問題ないかと)

あと、大屋さんのパート、傷害の件は、「通常は傷害が当てはまる件、予期できない脳の問題で致死に至った、これが傷害か傷害致死か、殺人か、で傷害致死である」まで書いて頂きたかったです。
また、「なぜ図書館側に問い合わせなかったのか?」についても、「現実には問い合わせてもまともな回答が返ってこなかったのでは、という問題はある。著作権の利用で問い合わせてもまともな答えが返ってこないことなどがよくあるのと似た問題がある」旨明言していた旨は追記を望みたいです。
他にもあるかもしれませんが、一旦これまでで。
当日の発言の要旨としては一定の正確さがあると思います。労作、ありがとうございました。

koji_eguchikoji_eguchi 2010/10/04 11:15 >岡本市にはがっかりだが、公務員だって人間であり間違うことはある
は、岡崎市の誤記ですよね?

常川真央常川真央 2010/10/04 12:57 > kozawa さま

補足していただきありがとうございます。ご指摘いただいた点を考慮し、後に追加していきたいと思います。

> koji_eguchi さま

誤記のご指摘ありがとうございます。修正させて頂きました。

ueken3ueken3 2010/10/06 11:48 レポートの方、お疲れ様です。
一点、誤りと思われるため、指摘させて頂きます。

蹴って全治10日の"生涯"を与えたところ
         ↓
蹴って全治10日の"傷害"を与えたところ

以上、よろしくお願いいたします。

kozawakozawa 2010/10/08 11:33 池山さんの発言からに間違いがあるでのはと池山さんが気にされているのを伺いました。

「瑕疵保証を付ける。ただIT業界では保証される機関が長すぎるのではないかと思っている。」
池山さん自体は、ユーザ企業導入コンサルの立場から「瑕疵保証の期間を長く求めるべきだ」ということを言われました。その後、それを受けて私が「ベンダーから見ると一般論として、瑕疵保証期間は短くしたいものである。そこにはベンダーとしての事情がある」旨の発言をしました。この論点からはまた色々な課題があるので10/2には踏み込みきれなかったのですが、当日の発言内容としてここに書きました通りです。訂正をしていただきたい部類に属するのでご検討ください。

kozawakozawa 2010/10/08 22:29 小出しですみませんが(全部を校正出来るわけでもなければするつもりもないのですが、すみません)、榎本さんが気になされていたと伺った部分として、「自分が考える対策」も誤解を招くので「後付けでいえること」として頂ければ幸いです。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

トラックバック - http://d.hatena.ne.jp/josei002-10/20101003/1286095926