公開前チェックリスト:内部告発者向け
文書、組織固有表現、作成者情報、クラウド履歴を公開前に確認するための記事です。
内部告発で公開前に確認するべきことは多いです。
資料の中身、ファイルの、クラウド履歴、印刷・スキャンの痕跡、提出先、法的リスク、公開後の行動。どれか一つの見落としが、告発者や周囲の人に戻ることがあります。
このチェックリストは、送信や公開の直前に勢いで進まないためのものです。
法的助言ではありません。高リスクな場合は、信頼できる専門家や相談先を先に検討してください。
脅威モデルを確認する
最初に、誰から何を守るのかを確認します。
| 確認項目 | 見る理由 |
|---|---|
| 誰が特定しようとするか | 上司、情シス、法務、監査、外部調査会社などを想定する |
| 何を守るか | 名前、資料アクセス、連絡の事実、時系列を分ける |
| どのログが残るか | ファイル、端末、クラウド、印刷、入退室を見る |
| 候補者は何人いるか | 内容から自分だけに絞られないか確認する |
| 相談先はあるか | 独断で高リスク行動をしない |
脅威モデルが曖昧なまま送るのは危険です。
内部告発では、相手が内部情報を持っています。 外部の読者には分からない情報でも、組織側には分かることがあります。 誰が資料を見られるか、誰がその会議にいたか、誰がその時間に端末を使っていたかを、相手はログで確認できる場合があります。
そのため、脅威モデルでは「一般の人にバレるか」だけを見ません。 組織の管理者、上司、法務、監査、情報システム、外部調査会社が何を見られるかを考えます。
資料を確認する
次に、提出する資料を確認します。
本文だけでなく、ファイル名、作成者、組織名、版数、コメント、変更履歴、透かし、文書番号を見ます。
| 確認項目 | 見る理由 |
|---|---|
| ファイル名 | 本名、部署、案件名が入っていないか |
| 作成者情報 | 実名や社内アカウントが残っていないか |
| 変更履歴 | 編集者、コメント、過去版が残っていないか |
| 文書番号・版数 | 配布先やアクセス範囲が絞られないか |
| 本文の固有情報 | 誰が知る情報か分かりすぎないか |
資料の加工が証拠性に影響する場合があります。
迷う場合は、提出先や専門家に確認します。
資料は、内容とファイル情報の両方を確認します。 本文から名前を消しても、作成者情報、コメント、変更履歴、文書番号、透かし、配布先が残れば出どころが見えます。 PDFに変換しても安全になるとは限りません。
また、内容そのものも手がかりです。 少人数の会議、限定配布の資料、特定システム画面、現場でしか撮れない写真は、誰が知り得たかを示します。 公開用には、事実の核を残しながら、告発者に戻る細部を調整します。
クラウドと端末を確認する
資料を扱った場所も確認します。
業務クラウド、社内端末、職場Wi-Fi、個人クラウド、同期フォルダ、バックアップに痕跡が残っていないかを見ます。
| 確認項目 | 見る理由 |
|---|---|
| 業務端末 | 操作ログや管理ソフトがある |
| 社内ネットワーク | 接続先や通信時刻が残る |
| クラウド履歴 | 閲覧、共有、ダウンロードが記録される |
| ファイル同期 | 個人クラウドや端末にコピーが残る |
| 印刷・スキャン | 機器ログや撮影情報が残る |
内部告発では、送信時より前の操作が問題になることがあります。
資料を送る前に、どこで資料に触れたかを思い出します。 職場端末で開いたのか。 業務クラウドからダウンロードしたのか。 印刷したのか。 スマホで撮影したのか。 個人クラウドへ移したのか。
この確認は、過去の行動を完全に消すためではありません。 公開後にどこから疑われるかを理解し、公開内容や提出先を調整するためです。
提出先を確認する
提出先は、匿名性と安全性に強く関係します。
| 確認項目 | 見る理由 |
|---|---|
| 運用主体 | 誰が窓口を管理しているか |
| アクセス権 | 誰が資料を読めるか |
| ログ方針 | IP、時刻、添付ファイルをどう扱うか |
| 返信方法 | 継続連絡で痕跡が増えないか |
| 法的保護 | 公益通報や守秘義務との関係を確認する |
匿名フォームがあるだけで安全とは判断しません。
誰が運用しているかを確認します。
提出先によって、守られる範囲は変わります。 報道機関、弁護士、公益通報窓口、社内窓口、NGOでは、扱える内容、守秘の仕組み、返信方法、ログ方針が違います。 内部告発では、提出先を選ぶことがリスク管理の中心になります。
初回からすべてを送らず、概要だけ相談できるかも確認します。 本人確認が必要な場合は、目的、保存期間、閲覧者を確認します。
公開後の行動を確認する
送った後、公開された後にもリスクは続きます。
組織内の反応に過剰に反応する、SNSで示唆する、同僚に話す、追加情報を急いで送る、といった行動は相関材料になります。
| 公開後の行動 | 注意点 |
|---|---|
| 返信確認 | 同じ環境から何度もアクセスしない |
| 追加送信 | 新しいメタデータや時刻相関を増やさない |
| 職場での反応 | 不自然な言動で疑われないようにする |
| SNS投稿 | 自分が関係者だと示唆しない |
| 相談継続 | 安全な連絡経路を維持する |
内部告発は、送信した瞬間で終わりません。
公開後の行動まで含めて計画します。
公開後は、組織内で反応が起きます。 そのとき、急に態度を変える、関係者へ連絡する、SNSで示唆する、追加情報を焦って送ると、相関が増えます。 公開後の行動も、告発者を探す側に見られる可能性があります。
最後に止まる基準
チェックの結果、危険が高い場合は止まります。 候補者が自分しかいない。 資料の出どころが狭すぎる。 提出先の管理が分からない。 法的リスクが理解できていない。 家族や同僚に影響が出る。
| 止まる理由 | 次に考えること |
|---|---|
| 候補者が少なすぎる | 内容や時期を調整できるか |
| 資料が危険 | 公開用と相談用を分けられるか |
| 提出先が不明 | 別の相談先を探す |
| 法的リスクが不明 | 専門家に相談する |
| 周囲に影響する | 巻き込みを減らす方法を考える |
止まることは失敗ではありません。 内部告発では、急がないことが安全につながる場合があります。
チェックリストで不明点が残る場合は、「確認できていない」と扱います。 たぶん大丈夫、では進めません。 確認する、情報を削る、提出先を変える、相談する、送信を遅らせる、のいずれかを選びます。 迷いが残る送信は、公開前に止める対象です。
まとめ
内部告発者向けの公開前チェックでは、脅威モデル、資料、クラウド履歴、端末、提出先、公開後の行動を確認します。
本文だけでなく、作成者情報、変更履歴、文書番号、版数、印刷ログ、クラウド履歴が手がかりになります。
提出先の信頼性も重要です。
誰が運用し、何を記録し、誰が読めるのかを確認します。
迷う点が多い場合は、送る前に止まってください。高リスクな内部告発では、急ぐことが最大の失敗になることがあります。
関連ツール
ExifTool
ExifToolは、画像、動画、PDF、Office文書など幅広い形式のメタデータを確認・編集できる代表的なローカルツールです。
紹介する理由: 匿名性が必要なファイルをオンライン変換サイトへアップロードせず、手元の環境でメタデータを確認しやすいため紹介します。
URL : https://exiftool.org/
MAT2
MAT2は、画像、PDF、Office文書など複数形式のメタデータ削除を目的としたローカルツールです。
紹介する理由: ファイル公開前に、ブラウザ上の簡易チェックだけでは見えにくいメタデータをローカル環境で減らす候補になるため紹介します。
SecureDrop
SecureDropは、報道機関やNGOが匿名の情報提供を受け付けるために導入できるオープンソースの内部告発・情報提供システムです。
紹介する理由: 取材源保護や内部告発の文脈で、提出先、Tor Browser、ファイルメタデータ、運用前提を考える代表的な実用例として紹介します。
URL : https://securedrop.org/
GlobaLeaks
GlobaLeaksは、組織が通報・内部告発窓口を構築するための自由でオープンソースのソフトウェアです。
紹介する理由: 内部告発や相談窓口では、提出先の信頼性、運用者、ログ、ファイルメタデータを考える必要があります。その比較対象として紹介します。
URL : https://globaleaks.org/