「国立国会図書館」は2025年11月11日、開発中だった新たな館内サービスシステムの開発環境が不正アクセスを受けたと発表した。
国立国会図書館は日本唯一の国立図書館で、国民の知的基盤を支える公共機関。
外部委託先である「インターネットイニシアティブ(略称:IIJ、インターネット接続サービスや法人向け通信事業を手がける企業)」社が再委託していた企業のネットワークに何者かが侵入し、開発用のサーバーに不正アクセスしたという。
不正アクセスは11月5日に発覚。
ネットワークを遮断し、外部のセキュリティ専門機関と連携してフォレンジック調査(※不正アクセスやサイバー攻撃の経路・被害範囲を特定する専門的な解析)を進めているとのこと。
図書館によると流出した可能性があるのは、館内コピーサービスの利用情報約4万件(およそ4000名分の氏名を含む)や、利用者ID約1000件。
あわせて、システム開発に用いるサーバー構成情報やプログラム開発関連情報の一部にも不正アクセスの影響が及んだ可能性がある。
なお住所や電話番号など、より機微な個人情報は含まれていないという。
不正アクセスを受けた開発環境は、同館が館内で提供する各種サービスの利便性向上を目的に整備していた新システムの一部であり、正式稼働前の段階だった。
被害は開発環境に限定されており、国立国会図書館の既存システムやサービス基盤には影響がないことが確認されている。
IIJは、自社が提供する法人・個人向けネットワークサービスや社内システムには被害が及んでいないと説明した上で、「委託先の選定におけるセキュリティ基準を厳格化し、管理・監督体制の強化を図る」とコメント。
図書館は「利用者の皆さまに多大なご迷惑とご心配をおかけして申し訳ありません」と謝罪し、該当する利用者への連絡や対応を検討している。
また、今後の再発防止に向けて、監視体制の強化と情報セキュリティの向上を進める方針を示した。
