こちらは関係する部分だけ引用しておきます。
　http://www.mdis.co.jp/news/press/2010/0928.html

弊社図書館システムにおける個人情報の混入及び流出について（お詫び）
　
2010年9月28日
　
このたび、弊社が開発、販売する図書館システム「MELIL/CS」（メリルシーエス）のプログラムライブラリにおいて、岡崎市立中央図書館利用者様の個人情報を他の37の図書館様に混入させたことが判明致しました。当該情報については、既に削除を実施済みです。
　
一方、削除前のデータが弊社のパートナー会社が行なったシステム保守操作の誤りによりインターネットからアクセス可能な状態となり、2ヶ所の図書館のWebシステムから個人情報がダウンロードされたことを確認致しました。
　
関係する皆様には多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。
　
該当する個人情報
岡崎市立中央図書館様の利用者様のうち
　
* 延滞予約本リストデータ　159名分（2005年6月末時点）
氏名、年齢、電話番号、貸し出し図書名、貸出日、返却予定日など
* 予約取置本リストデータ　4名分（2005年6月末時点）
氏名、電話番号、予約図書名、予約日付、ストック日付など
　
1. 経緯
　
岡崎市立中央図書館様のシステム調整・試験を行った際、プログラムライブラリの修正結果を元のプログラムライブラリに反映させました。
岡崎市立中央図書館様の個人情報データが残存していることに気付かず、製品版として、他の図書館様に納入しておりました。
　（後略）

　「プログラムライブラリ」ですが，プログラムのライブラリは通常データを含みません。MELIL/CS の内部的には，印刷などのために一時ファイルとして MDB を作成しているようでした。おそらく，Access の帳票出力機能を使って印刷を行うためでしょう。その中間ファイルが残ってしまったものと思われます。
　が，実務で利用するファイルであれば，仮に万が一岡崎市立中央図書館の利用者情報が混在したとしても，次の印刷操作で内部情報は実務上の情報に書き換えられるはずです。
　しかし，実際には五年間も痕跡が残ってしまいました。それは何故でしょうか。
　「不要なファイルまで混在して販売していた」からです。
　WEB サーバに館内業務用のファイルが混在していたため，それが館内業務で更新されることなく残ってしまっていたといえます。
　同時に，WEB サーバに館内業務のデータを移す理由がないことから，「プログラムライブラリの修正結果を元のプログラムライブラリに反映させました」という部分が不正確であると指摘できます。
　つまり，経緯にウソが含まれています。
　
　さらに，私の手元にある提案書などを参照すると，岡崎市立中央図書館へのサポート体制は，「三菱の社内に置いたミニマムセットで試験し，その結果を岡崎市立中央図書館に反映する」というものであったことが明記されています。これがそのまま運用に反映されていたとすると，「岡崎市立中央図書館様のシステム調整・試験を行った際、プログラムライブラリの修正結果を元のプログラムライブラリに反映させました。」という経緯は，勝手に個人情報を持ち出したという点でまず契約違反であり，次に本来の保守・メンテナンス作業と違うということになります。いずれにしても，問題であると言えるでしょう。
　
　そして「岡崎市立中央図書館様の個人情報データが残存していることに気付かず、製品版として、他の図書館様に納入しておりました。」という部分。
　岡崎で作ったシステムを転売したといえます。
　本来の意味でのパッケージソフトであれば，岡崎カスタムの部分はあくまでも岡崎所有のものになります。先に挙げた契約書にも「乙は、甲の書面による事前の同意を得なければ、著作権法第18条第1項に規定する公表権を行使することができない。」との文面があります。これは著作権法を引いておきましょう。

（公表権）
第18条　著作者は、その著作物でまだ公表されでいないもの（その同意を得ないで公表された著作物を含む。以下この条において同じ。）を公衆に提供し、又は提示する権利を有する。当該著作物を原著作物とする二次的著作物についても、同様とする。

　つまり，「岡崎市立中央図書館向けにカスタマイズした部分については，岡崎市の許可無く公衆に提供できない」という意味です。
　どこから見てもアウトです。