横浜市立図書館、簡易版蔵書検索システムが始動

先月のことですが、横浜市立図書館の蔵書検索に簡易版(携帯版)ができたようで。

横浜市の蔵書検索は2009年のリニューアルでJavaScriptが有効でないと実質利用できなくなっており、私もわざわざ自作のプログラムを介して検索、予約を行っている状況です。今回の簡易版は携帯対応を謳っていることから分かるように、スクリプト無効でも利用できるようになっており、モバイルに限らずPCからの利用でもたいへんありがたいものとなっています。

ただ、実際に予約を行おうと思って資料詳細ページ(www.lib.city.yokohama.jp)から「予約する」リンクを進むと、暗号化されていないページ(www.lib.city.yokohama.jp)でパスワードを聞いてきます。

一方、図書館のプライバシーポリシーを読むと、こんなことが書いてあります。

個人情報への不正アクセス、盗難、滅失、漏えいを防ぐため、必要かつ適正な情報セキュリティ対策を実施します。

(中略)

インターネットを通じて利用者自身が予約申込、利用状況確認、予約状況確認等を行う画面では、SSL(Secure Socket Layer)暗号化通信を導入しています。

横浜市立図書館 個人情報保護に関する方針(プライバシーポリシー)2(www.city.yokohama.lg.jp)

予約申込画面でSSLを導入していると書かれているのに、実際は暗号化されていません。これはどういうことかと思い、問い合わせてみたところ、こんな回答が返ってきました。

 「資料の予約」画面で、受取場所、利用者番号、パスワードを入力しますが、この画面で入力している段階では、通信をしていませんので、情報漏えいの心配はありません。

 受取場所、利用者番号、パスワードを入力後、「予約する」ボタンを押下した際には、利用者情報の送信が行われるため、この段階ではSSL通信を行っています。

予想通りというか、入力画面を暗号化していないサイト運営者に問い合わせると、ほぼ間違いなくこういった回答を返してきますね。

暗号化の有無自体よりも、「プライバシーポリシーと実態が異なる」''、''「利用者に対して正しくない説明を行い、誤った認識を植えつける」ことは問題であると感じます。

これに関して

  • 「入力段階で通信をしていない」という回答内容は、Ajaxなど非同期通信をしていないという意味か。
  • 入力画面を暗号化し、利用者が入力前にサーバー証明書を確認できる状態にしなければ、安全とは言えないのではないか。

という2点を問い詰めたところ、

 「利用者番号」等を入力する画面では、「予約する」ボタンを押さない限り、通信は発生しないようになっています。

 しかしながら、市民の方からすると実際にどのような通信状況になっているのかがわかりづらいことや、ご指摘いただいたようにページ改ざんの可能性について、不安を感じられることもあると考えられますので、「利用者番号」等を入力する画面に移動する際に「SSL通信」を行う方向で修正することを検討します。

と、修正を検討する旨の回答が返ってきました。賢明なご判断に感謝いたします[1]

なお、対応が行われるまでの間、安全に利用するためにはパスワード入力画面でURLの http: を手動で https: に変更する必要があります。PCならアドレスバーにフォーカスを移して(WindowsならAlt + D)、変更すればよいですが、肝心のモバイルでは面倒ですね。入力エラー画面にもフォームが出力されるシステムだと、「とりあえず何も入力せずに送信ボタンを押下」することで暗号化されたページに遷移し、そこで初めて入力するという方法が採れますが、この簡易版システムではエラーメッセージのみの画面になってしまうので、残念ながらその技は使えないようです。

2011年10月1日追記いつの間にか修正されていますね。やっと安心して利用できます。

  • [1]ただし、あくまで「修正を検討」であって、修正するという確約をいただいたわけではありません。