内部告発者に必要な匿名性の考え方
文書、組織情報、提出先、通信環境を守るための匿名性の基本を整理します。
内部告発の匿名性は、普通の匿名投稿とは重さが違います。
相手は、情報を失いたくない組織かもしれません。内部ログ、アクセス権限、文書の配布履歴、監視カメラ、入退室記録、端末管理、メール履歴を持っているかもしれません。
内部告発で守るべきものは、名前だけではありません。
誰が資料に触れたか。誰がその事実を知っていたか。誰がその時間に動けたか。誰がその文書を出せたか。こうした条件から告発者は絞られます。
内部告発は情報の出どころが問題になる
内部告発では、内容そのものが強い手がかりです。
たとえば、特定部署だけが見られる資料、限られた会議の議事録、少人数に配布されたメール、現場でしか撮れない写真。こうした情報は、匿名で送っても「誰が持てたか」が問題になります。
| 情報の種類 | 疑われる人 |
|---|---|
| 限定配布の資料 | 配布先、閲覧者、管理者 |
| 会議資料 | 出席者、事務局、上長 |
| 内部メール | 受信者、転送者、システム管理者 |
| 現場写真 | その場にいた人、入退室した人 |
| 業務システム画面 | アクセス権を持つ人 |
内部告発では、通信経路を隠しても、情報の出どころから候補が絞られます。
ここが、通常の匿名投稿との大きな違いです。 匿名掲示板への投稿なら、投稿者のIPやアカウントが主な問題になることがあります。 しかし内部告発では、資料や事実の中に「誰が知り得たか」という情報が含まれます。
たとえば、ある資料を見られる人が5人しかいない場合、通信経路を隠しても候補は5人です。 さらに公開時期、資料の版数、、送信時刻が重なると、候補はもっと狭くなります。 内部告発では、匿名性を通信だけで考えないことが重要です。
組織は内部ログを持っている
内部告発で相手になる組織は、外部の第三者より多くの情報を持っています。
ファイルサーバーのアクセス履歴、クラウドの閲覧履歴、プリンターのログ、入退室記録、メールログ、監視カメラ、業務端末の操作記録などです。
| ログ | 分かること |
|---|---|
| ファイルアクセスログ | 誰が資料を開いたか |
| クラウド履歴 | 誰が閲覧、共有、ダウンロードしたか |
| プリンター履歴 | 誰がいつ印刷したか |
| 入退室記録 | 誰がその場所にいたか |
| メールログ | 誰が送受信、転送したか |
| 端末管理ログ | USB接続、スクリーンショット、アプリ利用 |
このため、内部告発では「外部に送る瞬間」だけを守っても足りません。
資料に触れる前、コピーする前、送る前、公開された後まで考える必要があります。
組織内ログは、ひとつだけで決定打になるとは限りません。 しかし、複数を組み合わせると強くなります。 ファイルを開いた人、印刷した人、その時間に部屋へ入った人、メールを受け取った人、USBを挿した端末。 これらが同じ方向を示すと、候補は絞られます。
内部告発で重要なのは、送信ボタンを押す瞬間だけではありません。 資料を見る、メモを取る、写真を撮る、印刷する、コピーする、相談する、公開後に反応する。 その前後の行動も含めて時系列で見られます。
匿名性より先に安全と相談先を考える
内部告発では、匿名性だけでなく、法的・安全上のリスクもあります。
雇用契約、守秘義務、公益通報制度、証拠保全、報復、名誉毀損、個人情報保護などが関係します。
このサイトの記事は法律相談ではありません。
高リスクな告発では、信頼できる弁護士、労働相談窓口、報道機関、公益通報に詳しい団体など、適切な相談先を先に検討します。
| 確認すること | 理由 |
|---|---|
| 自分と家族の安全 | 報復や生活への影響を考える |
| 法的リスク | 守秘義務や公益通報の扱いを確認する |
| 提出先 | 誰に渡すかで保護と危険が変わる |
| 資料の扱い | 不要な持ち出しや改変を避ける |
| 公開の必要性 | 直接公開以外の手段がないか検討する |
内部告発は、勢いで動くほど危険です。
先に考える時間が、身を守る対策になります。
内部告発では、「正しいことをしているから大丈夫」とは言い切れません。 公益性がある情報でも、資料の扱い、個人情報、守秘義務、証拠保全、提出先の選び方によってリスクは変わります。 このサイトの記事は判断の入口であり、法律相談ではありません。
高リスクな場合は、いきなり公開するより、信頼できる相談先を探します。 弁護士、公益通報に詳しい窓口、取材源保護を理解する報道機関、支援団体など、状況に合った相手を選びます。 相談先を選ぶこと自体も匿名性の一部です。
道具だけでは守れない
、SecureDrop、GlobaLeaks、OnionShare、などの道具は役に立ちます。
しかし、内部告発では道具だけで匿名性は完成しません。
| 道具で守りやすいもの | 道具だけでは残るもの |
|---|---|
| 接続元の一部 | 資料にアクセスした履歴 |
| 通常アカウントの回避 | 文書の作成者や組織情報 |
| 受け渡し経路 | 内容からの逆算 |
| 通信内容の保護 | 送信前の端末操作ログ |
道具は、全体の一部です。
内部告発では、脅威モデル、相談先、資料の選び方、提出先、公開内容まで含めて考えます。
SecureDropやGlobaLeaksのような仕組みは、情報提供の窓口として重要です。 しかし、職場端末からアクセスした、付きの資料を送った、内容から自分しか知り得ない情報を出した場合、別の経路で候補が絞られます。 TorやVPNも同じです。 通信経路の一部を守っても、ファイル、内容、時刻、組織内ログは残ります。
道具を使う前に、何を守るための道具なのかを決めます。 接続元を見せにくくしたいのか。 受け渡し窓口を安全にしたいのか。 実名環境と切り離したいのか。 目的が曖昧だと、道具を使っているのに重要な部分が守れていない状態になります。
公開する情報と相談する情報を分ける
内部告発では、すべてを公開文に入れる必要はありません。 公開する情報、相談先にだけ渡す情報、証拠として保全する情報を分けます。
| 情報の扱い | 例 | 注意点 |
|---|---|---|
| 公開する情報 | 問題の概要、社会的影響 | 告発者に戻る細部を削る |
| 相談先へ渡す情報 | 詳細資料、経緯、証拠 | 信頼できる相手と範囲を決める |
| 保全する情報 | 元ファイル、ログ、原本 | 改変や漏えいに注意する |
| 出さない情報 | 家族、同僚、無関係な個人情報 | 巻き込みを避ける |
公開は強い行動です。 一度出た情報は、スクリーンショット、転載、アーカイブに残ります。 内部告発では、何を出すかだけでなく、何を出さないかも設計します。
まとめ
内部告発者に必要な匿名性は、名前を隠すことだけではありません。
誰が資料を見られたか、誰がその情報を知っていたか、誰がその時間に動けたかまで考える必要があります。
組織は、ファイルアクセス、クラウド履歴、印刷、入退室、メール、端末管理のログを持っている場合があります。
内部告発では、匿名化ツールを使う前に、脅威モデル、安全、法的リスク、提出先を整理します。
勢いで送る前に、立ち止まることが最初の防御です。
関連ツール
ExifTool
ExifToolは、画像、動画、PDF、Office文書など幅広い形式のメタデータを確認・編集できる代表的なローカルツールです。
紹介する理由: 匿名性が必要なファイルをオンライン変換サイトへアップロードせず、手元の環境でメタデータを確認しやすいため紹介します。
URL : https://exiftool.org/
MAT2
MAT2は、画像、PDF、Office文書など複数形式のメタデータ削除を目的としたローカルツールです。
紹介する理由: ファイル公開前に、ブラウザ上の簡易チェックだけでは見えにくいメタデータをローカル環境で減らす候補になるため紹介します。
SecureDrop
SecureDropは、報道機関やNGOが匿名の情報提供を受け付けるために導入できるオープンソースの内部告発・情報提供システムです。
紹介する理由: 取材源保護や内部告発の文脈で、提出先、Tor Browser、ファイルメタデータ、運用前提を考える代表的な実用例として紹介します。
URL : https://securedrop.org/
GlobaLeaks
GlobaLeaksは、組織が通報・内部告発窓口を構築するための自由でオープンソースのソフトウェアです。
紹介する理由: 内部告発や相談窓口では、提出先の信頼性、運用者、ログ、ファイルメタデータを考える必要があります。その比較対象として紹介します。
URL : https://globaleaks.org/