事件概要
国立国会図書館は2026年3月、外部委託により開発中だった館内サービスシステムの開発環境に対して不正アクセスが発生していたと発表した。
同館によると、再委託先事業者のネットワークへの侵入を起点として、委託先が管理する開発環境に不正アクセスが行われたという。
当初は一部の利用者情報や利用情報が漏えいした可能性があるとされていたが、その後の調査の結果、今回の事案による個人情報の漏えいは確認されなかったと報告された。
同館では影響を受けた開発環境へのアクセスを遮断し、セキュリティ対策を強化したうえで新たに環境を構築し直すとしている。
本記事では、国立国会図書館が公開した公式リリースをもとに発表内容を整理する。
分析
今回の事案では、外部委託により開発中だったシステムの開発環境に対し、不正アクセスが行われたことが確認されている。
一般的にこのような事案では、委託先や再委託先を含む開発環境のネットワークを起点として、管理されているシステム環境へ侵入が及ぶケースが見られる。
また、開発環境には実運用に近いデータや利用情報が含まれることもあり、調査では情報の閲覧や持ち出しの有無、影響範囲の確認が重点的に行われるのが一般的である。
今回の発表では、専門業者による調査の結果、個人情報の漏えいは確認されなかったとされており、企業や組織がインシデント発生後に詳細調査を行い結果を公表する典型的な対応の流れが示された事例といえる。
この事件からわかること
今回の発表から読み取れるポイントとして、一般的には次のような点が挙げられる。
- 委託先や再委託先を含めたセキュリティ管理が重要になる
システム開発を外部委託する場合、委託先だけでなく再委託先のネットワークや運用体制も含めた管理が求められる。 - 開発環境でも情報管理が必要になる
開発中のシステム環境であっても、利用者情報や運用データが含まれる場合があり、実運用環境と同様の管理が必要になるケースがある。 - インシデント後は詳細調査と結果公表が行われる
不正アクセスが確認された場合、専門業者による調査を行い、影響範囲や情報漏えいの有無を確認したうえで結果が公表されることが一般的である。 - 再発防止として環境の再構築や対策強化が行われる
調査結果を踏まえ、セキュリティ対策の強化やシステム環境の再構築などの対応が実施されるケースが多い。
関連記事
- 国立大学法人東京大学 研究室サーバへの不正アクセス 2026年3月
- 株式会社シード・プランニング 不正アクセスでシステム被害 2026年3月
- つくるAI株式会社 不正アクセスでスパムメール送信事案 2026年3月
公式発表(アーカイブ)
2026年3月11日リリース分
2025年11月11日付けの「開発中のシステムに対する不正アクセスの発生について」及び11月25日付けの「開発中のシステムに対する不正アクセスの発生について(第2報)」でお知らせしましたとおり、外部委託により開発中の館内サービスシステムに対する不正アクセスがあり、それに伴う個人情報の漏えいの可能性のある方へ個別に通知を行いました。
この不正アクセスについて、当該システム開発の委託先である株式会社インターネットイニシアティブを通じて第三者であるネットワークセキュリティ専門業者が行った調査の結果、今回の事案による個人情報の漏えいはなかったことが判明しましたのでお知らせいたします。
なお、不正アクセスがあった開発中の環境は、セキュリティ対策を強化して新たに構築し直します。
当館をご利用の皆様には多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。
(お問い合わせ先)
国立国会図書館 電子情報部 電子情報企画課
電話:03-3506-3596
※平日の午前9時から午後5時まで。2026年6月末までの予定です。
2025年11月25日リリース分
2025年11月11日付けの「開発中のシステムに対する不正アクセスの発生について」でお知らせしましたとおり、開発中の館内サービスシステムに対する不正アクセスにより、一部の利用者情報及び利用情報が漏えいした可能性があります。
このたび、漏えいの可能性がある個人情報の範囲について可能な限りの調査が完了しましたので、次のとおりお知らせします。なお、現在までのところ、個人情報がインターネット等へ公開される等の二次被害は確認されていません。
2025年3月15日から3月27日までの間に関西館に来館した一部の方の利用者ID
2025年9月24日から10月22日までの間に東京本館、関西館又は国際子ども図書館に来館し、デジタル化資料や電子ジャーナル等の電子情報及びマイクロ資料のプリントアウトの印刷指示を行った方の次の情報
- 利用者ID
- 氏名
- 当該期間における「電子情報等のプリントアウト」の情報に係る次の項目
- 資料の情報(資料名、資料掲載URL、国立国会図書館デジタルコレクションの資料ID(永続的識別子))
- 印刷製品に関する情報(用紙サイズ、カラー/モノクロの別、枚数)
- 金額
- 利用目的(調査研究/その他の別、その他の場合はその詳細)
- プリントアウトを申し込んだ施設(東京本館、関西館又は国際子ども図書館)
- プリントアウトを申し込んだ当館設置端末の管理番号及び設置部屋名
- プリントアウトの申込日時
- プリントアウトの精算日時
該当するご本人に対しては、別途個別に通知を行います。ただし、当館に現在の連絡先をご登録いただいていない方には個別の通知を行うことができません。お心当たりの方で、ご自身の個人情報の状況についてお知りになりたい方は、お問い合わせ先までご連絡をお願いします。
なお、現時点で、漏えいの可能性がある個人情報が悪用される等の二次被害は確認されておりませんが、身に覚えのない不審な電話やメールには応じないよう、ご注意ください。
当館をご利用の皆様には多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。
2025/11/11リリース分
国立国会図書館では、現在、外部委託により館内サービスシステムのリプレース開発を行っています(委託先:株式会社インターネットイニシアティブ)。11月5日(水)、委託先の再委託先事業者である株式会社ソリューション・ワンのネットワークが何者かの侵入を受けたことに起因し、委託先が管理する当該開発環境に対し不正アクセスが行われたことが確認されました。
不正アクセスの影響は当該開発環境に限定されており、国立国会図書館の各種サービスや情報基盤への影響は確認されていません。しかし、不正アクセスにより、少なくとも当該開発環境のサーバ構成情報等、システム開発に用いる情報、一部の利用者情報及び利用情報が漏えいした可能性があります。
当該開発環境へのアクセスを遮断するとともに、セキュリティリスクの高まりを受けて、国立国会図書館の各種情報環境への監視を強化しています。
引き続き、不正アクセスの詳細について調査を進めるとともに、情報漏えいについて適切に対応いたします。
当館をご利用の皆様には多大なご迷惑とご心配をおかけして申し訳ありません。