国立国会図書館の開発環境への不正アクセス、約4万件の個人情報漏洩の可能性

セキュリティニュース

投稿日時: 更新日時:

国立国会図書館の開発環境への不正アクセス、約4万件の個人情報漏洩の可能性

国立国会図書館は2025年11月25日付の第2報で、開発中の館内サービスシステムに対する不正アクセスにより、利用者情報および利用情報が漏えいした可能性について、対象範囲を具体的に公表しました。

今回のリリースで明らかになったのは、

  • 利用者IDのみが漏えいした可能性がある利用者

  • 電子情報等のプリントアウト申込情報が漏えいした可能性がある利用者

の件数・期間・項目が、かなり詳細なレベルで特定されたという点です。

なお、現時点でこれらの情報がインターネット等に公開されたり、不正利用されたりといった二次被害は確認されていないとしています。

電子情報等のプリントアウト申込情報の約4万件が漏洩

1つ目のカテゴリとして、電子情報等のプリントアウトに関する申込情報が漏えいした可能性があるケースが示されています。

対象となる条件は次の通りです。

  • 期間:2025年9月24日~10月22日

  • 場所:

    • 東京本館

    • 関西館

    • 国際子ども図書館

  • 件数・人数:

    • 申込情報:40,373件

    • 利用者数:4,360人

この対象者について、漏えいの可能性がある情報の項目は以下の通りです。

基本情報

  • 利用者ID

  • 氏名

プリントアウトした資料に関する情報

  • 資料名

  • 資料掲載URL

  • 国立国会図書館デジタルコレクションの資料ID(永続的識別子)

どの資料をプリントアウトしたかが分かる情報であり、利用者の調査・研究のテーマや関心事項に関わる可能性があります。

印刷・精算に関する情報

  • 用紙サイズ

  • カラー/モノクロの別

  • 枚数

  • 金額

  • プリントアウトの申込日時

  • プリントアウトの精算日時

これにより、「いつ」「どの程度の量を」「いくら支払って」印刷したかといった履歴が第三者に把握される可能性があります。

利用目的・利用場所に関する情報

  • 利用目的

    • 「調査研究/その他」の別

    • 「その他」の場合、その詳細記載

  • プリントアウトを申し込んだ施設

    • 東京本館/関西館/国際子ども図書館

  • プリントアウトを申し込んだ館内端末の管理番号および設置部屋名

利用目的の具体的な記載がある場合、個人の活動内容や所属、関心領域が推測される可能性がある点には注意が必要です。

漏えいの可能性がある情報-利用者IDのみ

まず1つ目のカテゴリとして、「利用者IDのみ」が漏えいした可能性があるケースが公表されています。

対象は、次の条件に該当する一部の方です。

  • 期間:2025年3月15日~3月27日

  • 場所:国立国会図書館 関西館

  • 件数:943件

  • 項目:利用者IDのみ

この範囲では、利用者ID以外の氏名や連絡先などが漏えいした可能性は示されていませんが、利用者IDも他の情報と組み合わされることで個人を特定し得る情報であるため、国会図書館は「利用者情報の一部」として対象に含めています。

不正アクセスの概要

第1報の段階で明らかになっていたのは、次のような点でした。

  • 不正アクセスの対象は「開発中の館内サービスシステム」の環境

  • 国会図書館の本番環境(各種サービスや情報基盤)への直接の影響は確認されていない

  • IIJへの開発委託、ソリューション・ワンへの再委託という構造で、再委託先ネットワークの侵害を契機に開発環境が不正アクセスを受けた

  • 開発環境のサーバ構成情報などのほか、一部の利用者情報・利用情報が漏えいした可能性がある

今回のリリースは、この「一部の利用者情報・利用情報」が具体的にどの期間・どの項目に及ぶのかを整理し、利用者に明示しています