図書館サイトの多くは本人確認なしにパスワード登録や再登録が可能

先月、PASMOの「マイページ・PASMO履歴照会サービス」が停止するという話がありましたが、各地の図書館サービスでも同様の認証(もどき)を行っている例が多いことが分かりました。

どの程度の割合で問題があるのか、試しに東京23区の各区立図書館を調べてみました。

区名 ウェブ登録に必要な情報 パスワード忘れた場合
千代田区(www.library.chiyoda.tokyo.jp) 貸出券番号、名前、生年月日 図書館に連絡→再登録
中央区(www.library.city.chuo.tokyo.jp) 来館 来館
港区(www.lib.city.minato.tokyo.jp) カード番号、生年月日、電話番号 再登録
新宿区(www.city.shinjuku.lg.jp) 利用者番号、名前、生年月日 再登録
文京区(www.lib.city.bunkyo.tokyo.jp) 利用券番号、電話番号、生年月日 電話か来館
台東区(www.taitocity.net) 利用者番号、氏名、生年月日、電話番号 再登録
墨田区(www.city.sumida.lg.jp) 来館 来館
江東区(www.library.city.koto.tokyo.jp) 貸出カード番号、電話番号 再登録
品川区(lib.city.shinagawa.tokyo.jp) 利用者コード、名前、Eメール、(電話番号または住所) 再登録
目黒区(www.meguro-library.jp) 貸出券番号、生年、電話番号 再登録
大田区(www.lib.city.ota.tokyo.jp) 来館 来館
世田谷区(libweb.city.setagaya.tokyo.jp) 来館 来館
渋谷区(www.lib.city.shibuya.tokyo.jp) 初期パスワード(生年月日)を自動(?)発行 図書館に連絡→初期パスワードに戻す
中野区(www3.city.tokyo-nakano.lg.jp) 利用者コード、利用者名、生年月日、電話番号、Eメール 来館
杉並区(www.library.city.suginami.tokyo.jp) カード番号、氏名・団体名、生年月日、電話番号 図書館に連絡→再登録
豊島区(www.library.toshima.tokyo.jp) 来館 来館
北区(www.library.city.kita.tokyo.jp) 来館 不明
荒川区(www.library.city.arakawa.tokyo.jp) 利用者ID、仮パスワード(電話番号) 図書館に連絡→仮パスワードに戻す
板橋区(www.lib.city.itabashi.tokyo.jp) カード番号、生年月日、電話番号 再登録
練馬区(www.lib.nerima.tokyo.jp) 利用者ID、仮パスワード(電話番号) 来館→仮パスワードに戻す
足立区(www.lib.adachi.tokyo.jp) カード番号、仮パスワード 来館→仮パスワードに戻す
葛飾区(www.lib.city.katsushika.lg.jp) 利用者ID、仮パスワード 来館→パスワード再発行
江戸川区(www.library.city.edogawa.tokyo.jp) 貸出券番号、生年月日、電話番号 来館
  • 品川区と中野区はEメールの入力欄がありますが、これは連絡用などで認証の意味はないと思われます。

新規登録の内訳はこんな感じです。

  • 来館による手続きが必要(23区中6館)
  • 仮パスワードを発行(23区中5館)
  • カード番号 + 電話番号など第三者が知り得る情報で認証(23区中12館)

驚いたことに、過半数の図書館でPASMOの履歴照会サービスと同様、第三者が登録しうる状態になっています。さらに港区、新宿区など7館では、パスワードを忘れた場合の救済策として、やはり同様の情報のみで再登録ができるようです。

ほかにも、ログインの入力画面でSSL/TLSが使われないないサイトが多く存在するほか、杉並区図書館ではIE7以下の初期設定では登録画面のアドレスバーが表示されない[1]という問題もあります。

図書館のセキュリティ問題としては、先日カーリルより「匿名FTPによる図書館内部データの開放について」(blog.calil.jp)と題して、Anonymous FTPでDBサーバーのパスワード(広島県内の図書館)や予約データ(山口県内の図書館)が解放状態だったことが公表されたばかりですが、まだまだたくさんの問題を抱えていますね。

脚注