横浜市立図書館サイトも第三者が知り得る情報のみで本人確認を行っている
図書館サイトの多くは本人確認なしにパスワード登録や再登録が可能に関連して、横浜市立図書館についても東京23区のうち12館と同様、第三者が知り得る情報のみで本人確認を行っています。
こちらは私自身よく使っており、登録状態での検証も可能なため詳しく紹介しましょう。
ログインに関連する機能の紹介
パスワード登録機能
蔵書検索のトップページ(www.lib.city.yokohama.jp
)から「パスワード/メールアドレス」のリンクに遷移すると、パスワードやメールアドレスの登録、変更等を行うページになります。
ここで「パスワード登録/忘れた方」へ進むと、次のような入力フォームが表示されます。
図書館カード番号、生年月日、電話番号を入力して送信すると、次にパスワードの入力フォームとなり、そこで好きなパスワードを設定することで登録が行われます。パスワードを忘れた場合も同様の手順を行うことで、再登録を行えます。
PASMOの履歴情報が第三者に閲覧されうる話で書いたことを改めて記しますが、生年月日や電話番号といった類の情報は本人だけが知り得る情報ではありません。家族や知人は知っているでしょうし、ブログやSNSなどで公開する例もあります。
では図書館カード番号はというと、少なくとも私はカードを作った際に「カード番号を他人に教えてはならない」といった説明は受けていません。家族や知人にカードを見せた経験のある方は多いと思いますし、番号が見える状態のカード写真をブログ等で公開している人もいます。
よって、カードを作成したがパスワードは登録していないという人は、勝手に登録される危険があります。また、既にパスワード登録している場合も再登録されてしまうかもしれません。
メールアドレス通知機能
システムの設計自体に欠陥があるので利用者側ができる対策は限られています。既にカード番号を他人に知られている場合は、図書館に事情を説明してカードを作り直すくらいしかないと思いますが[1]、事後対策であればもう少し手軽にできます。
このシステムにはメールアドレス登録(www.city.yokohama.lg.jp
)という機能があります。これは予約した本が用意できたときなどにメール通知が成されるものですが、パスワード変更や再登録の際にも通知が行われます。
逆に、メールアドレスを変更する際にはパスワード入力が必要なので、メールアドレスを登録している人に対し、悪意ある第三者が本人通知を避けてパスワードやメールアドレスを変更することは不可能と思われます。よって、普段メール通知機能を必要としない人もメール登録を行い、身に覚えのない通知メールが来たらすぐ図書館に連絡できる体制を整えておくことをお勧めします。
- 利用者がこのような負担を強いられることが望ましくない状況なのは言うまでもありませんが、現状のシステムに対してなるべく安全に利用するにはこうするしかないと思います。それが許容できない場合は、残念ながら「利用しない」という選択をするしかないでしょう。
謎のパスワード削除機能
この記事を書くにあたり、改めて「パスワード・メールアドレスメニュー」画面を見たところ、「パスワード削除」という機能があることに気付きました。
機能的には、その名の通り登録したパスワードを削除するもののようです。パスワードを削除する画面なのに、パスワード設定の諸注意が書かれているのがまず謎ですが、些細なことなので置いておきます。
注意したいのは、削除されるのはあくまでパスワードだけで、それ以外の生年月日や電話番号、あるいは貸出中や予約している図書のリストといった情報は削除されないことです。もちろんカード自体が使えなくなるわけでもありません。よって、カードを紛失したので安全のため一時的に停止したいとか、図書館は引き続き利用するがウェブ機能はもう使わないのでシステムから情報を削除したいといったケースには何の役にも立たないということです。
ではどういうときに使えば良いのか図書館に問い合わせたところ、パスワードを削除したいという要望があって機能を設けた、との回答でした。うーん、その要望をした人はパスワードだけではなく、登録されている情報を消して欲しかったのではないかと思うのですが…。パスワードだけ消しても利用者にはメリットがないので。
と、存在意義がよく分からないうえ、むしろこれで情報が消えると誤解してしまうユーザーもいるでしょうから、何の説明もなしに機能を提供することはマイナス効果しかないと思います。
横浜市立図書館サイトの登録機能について問い合わせてみたに続きます。
脚注
-
1.
別番号での再発行が可能かどうかは確認していません。ダメだったら諦めるしかないと思います。 ↩ 戻る