Office・PDFのメタデータリスク
OfficeやPDFに残る作成者、コメント、変更履歴、注釈のリスクを内部告発文脈で整理します。
OfficeファイルやPDFは、内部告発でよく扱われる資料です。
議事録、契約書、報告書、メール添付、表計算、プレゼン資料、スキャンPDF。どれも証拠として強い一方で、や編集履歴が残りやすい形式です。
内部告発では、ファイルの内容だけでなく、ファイルがどう作られ、誰が編集し、どの環境から出たのかが問題になります。
Officeファイルに残る情報
Word、Excel、PowerPointには、作成者、最終保存者、会社名、コメント、変更履歴、非表示シート、埋め込みオブジェクトなどが残ることがあります。
| 情報 | リスク |
|---|---|
| 作成者・最終保存者 | 実名や社内アカウントが出る |
| コメント | 関係者名やレビュー内容が残る |
| 変更履歴 | 誰がどこを編集したか分かる |
| 非表示シート | 表示されていないデータが残る |
| 埋め込みファイル | 別資料や内部情報が含まれる |
Officeファイルは、見えているページだけが中身ではありません。
特にExcelでは、非表示シート、フィルタ、コメント、数式、外部リンクにも注意します。
Officeファイルは、作業の途中経過を持ちやすい形式です。 共同編集、レビュー、コメント、変更履歴、テンプレート、外部リンクが残ります。 表面上は完成した文書でも、ファイル内部には編集の痕跡が残ることがあります。
Excelでは、非表示シートや非表示行、フィルタで隠れた行、数式、名前定義、外部データ接続が問題になります。 PowerPointでは、発表者ノート、非表示スライド、埋め込み画像、テンプレートに注意します。 Wordでは、変更履歴、コメント、ヘッダー、フッター、文書プロパティを確認します。
PDFに残る情報
PDFは、完成版に見えるため安全だと思われがちです。
しかし、PDFにも作成者、作成ソフト、作成日時、編集履歴、注釈、しおり、埋め込みファイル、OCRテキストが残ることがあります。
| 情報 | リスク |
|---|---|
| 作成者 | 元文書や作業者が分かる |
| 作成ソフト | どの環境で作られたか推測される |
| 注釈・コメント | レビュー履歴や名前が残る |
| OCRテキスト | 黒塗りしたつもりの文字が残る場合がある |
| 埋め込みファイル | 元資料や添付情報が含まれる |
PDFに変換しただけで安全になるわけではありません。
黒塗りやモザイクも、処理方法が悪いと元の文字が取り出せることがあります。
PDFは、配布用の完成版に見えるため油断されます。 しかし、PDFにも作成者情報や注釈、しおり、添付ファイル、非表示レイヤー、OCRテキストが残ることがあります。 黒い四角を上から置いただけの黒塗りでは、下の文字が残る場合があります。 画像として見えていても、背後にテキストが残ることがあります。
PDFを公開用にする場合は、見た目だけでなく、コピーできるテキスト、注釈、添付、プロパティを確認します。 黒塗りした箇所は、コピー、検索、選択、別ツールで開いたときにも見えないかを確認します。
内部告発で特に危険な点
内部告発では、メタデータが直接名前を出さなくても危険です。
作成日時、版数、部署名、文書番号、コメントの名前、配布先の痕跡があれば、資料の流れが見えます。
| 残る情報 | 推測されること |
|---|---|
| 版数 | いつ誰に配布された資料か |
| 文書番号 | 管理部門や資料分類 |
| コメント者 | 関係部署やレビュー担当者 |
| 非表示データ | 本来公開しない情報 |
| 作成日時 | 資料に触れた時期 |
公開側が何気なく資料を出すと、告発者だけでなく関係者や無関係な社員も巻き込まれます。
内部告発では、資料の出どころを探す側がいます。 その相手は、本文だけでなく、版数、配布先、コメント者、文書番号、テンプレート、作成日時を見ます。 たとえば、最新版にしかない表現が公開されれば、最新版にアクセスできた人が疑われます。 コメント者名が残れば、関係部署やレビュー経路が見えます。
メタデータは、告発者本人だけでなく、資料作成者、配布された部署、レビュー担当者、共同編集者にも影響します。 公開側は、受け取った資料をそのまま出さない責任があります。
確認と加工の注意
OfficeやPDFを扱うときは、確認用、保管用、公開用を分けます。
証拠性が必要な元ファイルを不用意に加工すると、後で問題になることがあります。一方で、公開用ファイルには不要な情報を残してはいけません。
| 段階 | 注意点 |
|---|---|
| 受け取り | 元ファイルを不用意に普段の環境で開かない |
| 確認 | プロパティ、コメント、変更履歴、非表示要素を見る |
| 保管 | 元ファイルと公開用コピーを分ける |
| 加工 | 黒塗り、削除、変換の方法を確認する |
| 再確認 | 公開用ファイルに情報が残っていないか見る |
メタデータ確認や削除の具体的なツールは、別の記事で扱います。
ここでは、形式変換だけでは安全にならないことを押さえてください。
元ファイルは証拠として重要な場合があります。 そのため、元ファイルを直接加工して上書きすると、証拠性や検証可能性に影響することがあります。 一方で、公開用ファイルには不要な情報を残してはいけません。 このため、元ファイル、作業用コピー、公開用コピーを分けます。
| ファイル種別 | 扱い方 |
|---|---|
| 元ファイル | 証拠性を保つため安全に保管する |
| 作業用コピー | 確認や加工のために使う |
| 公開用コピー | 不要情報を削除して再確認する |
| 相談用コピー | 弁護士や専門家に見せる範囲を調整する |
高リスクな内部告発では、記事だけで判断せず、弁護士、報道機関、信頼できる支援先に相談することも検討します。 ファイルを消すべきか残すべきかは、匿名性だけでなく証拠性や法的リスクにも関係します。
公開前チェック
Office・PDFを公開する前には、次の順番で見ます。
- ファイル名に本名、部署名、案件名が入っていないか
- プロパティに作成者、会社名、最終保存者が残っていないか
- コメント、変更履歴、注釈が残っていないか
- 非表示シート、非表示スライド、発表者ノートがないか
- PDFの黒塗り下に文字が残っていないか
- 変換後のファイルを別環境で再確認したか
確認は一度で終わりではありません。 加工後、変換後、公開直前に再確認します。 特にPDF化した後は、元文書とは別のファイルとして扱い、プロパティ、注釈、コピー可能な文字を再度確認します。
まとめ
OfficeファイルやPDFには、作成者、最終保存者、会社名、コメント、変更履歴、非表示シート、注釈、OCRテキスト、埋め込みファイルが残ることがあります。
内部告発では、こうした情報が告発者、部署、資料の流れ、配布範囲につながります。
PDFに変換しただけで安全になるわけではありません。
元ファイル、確認用ファイル、公開用ファイルを分け、公開前にはメタデータと見えない要素を確認します。
Office・PDFは証拠として強い一方で、出どころを語るファイル形式でもあります。
関連ツール
ExifTool
ExifToolは、画像、動画、PDF、Office文書など幅広い形式のメタデータを確認・編集できる代表的なローカルツールです。
紹介する理由: 匿名性が必要なファイルをオンライン変換サイトへアップロードせず、手元の環境でメタデータを確認しやすいため紹介します。
URL : https://exiftool.org/
MAT2
MAT2は、画像、PDF、Office文書など複数形式のメタデータ削除を目的としたローカルツールです。
紹介する理由: ファイル公開前に、ブラウザ上の簡易チェックだけでは見えにくいメタデータをローカル環境で減らす候補になるため紹介します。
qpdf
qpdfは、PDFの構造確認、変換、再構成に使われるPDF処理ツールです。
紹介する理由: PDFは見た目だけでは内部構造やメタデータが分かりにくいため、公開前にローカルで確認する候補として紹介します。
SecureDrop
SecureDropは、報道機関やNGOが匿名の情報提供を受け付けるために導入できるオープンソースの内部告発・情報提供システムです。
紹介する理由: 取材源保護や内部告発の文脈で、提出先、Tor Browser、ファイルメタデータ、運用前提を考える代表的な実用例として紹介します。
URL : https://securedrop.org/
GlobaLeaks
GlobaLeaksは、組織が通報・内部告発窓口を構築するための自由でオープンソースのソフトウェアです。
紹介する理由: 内部告発や相談窓口では、提出先の信頼性、運用者、ログ、ファイルメタデータを考える必要があります。その比較対象として紹介します。
URL : https://globaleaks.org/