内部告発で最初に考えるべき脅威モデル
誰がアクセス権や配布履歴から告発者を推測できるのかを最初に整理します。
内部告発では、最初に脅威モデルを作ります。
脅威モデルとは、「誰から、何を、どの経路で守るのか」を整理する考え方です。
内部告発では、相手が外部の攻撃者ではなく、自分の所属組織であることが多いです。組織は、資料の配布先、閲覧ログ、端末管理、入退室記録、メール履歴を持っていることがあります。
だから、普通の匿名投稿よりも慎重に考える必要があります。
誰から守るのか
まず、誰が告発者を特定しようとするかを考えます。
上司、法務、情報システム部門、監査部門、経営層、外部調査会社、場合によっては捜査機関。相手によって見える情報が違います。
| 相手 | 見られる情報 |
|---|---|
| 直属の上司 | 業務内容、勤務時間、誰が不満を持っていたか |
| 情報システム部門 | 端末ログ、アクセス履歴、メール、クラウド履歴 |
| 法務・監査部門 | 配布資料、関係者、調査記録 |
| 経営層 | 組織内の権限、調査指示、懲戒判断 |
| 外部調査会社 | 聞き取り、ログ分析、関係者調査 |
相手が誰かを曖昧にしたまま動くと、対策の強さを間違えます。
内部告発では、相手は単なる読者ではありません。 組織内の権限、ログ、聞き取り、監査、法務対応を使える相手です。 直属の上司は人間関係や不満を知っています。 情報システム部門は端末やクラウドの履歴を見られる場合があります。 法務や監査は資料の配布先や関係者を調べます。
相手の能力を低く見積もると、対策が不足します。 逆に、すべてを国家レベルの相手として考えると、何もできなくなります。 現実的な相手と能力を分けることが必要です。
何を守るのか
守る対象は、名前だけではありません。
資料へのアクセス、送信時刻、相談した事実、文書の作成者情報、部署との関係、公開後の反応も守る対象です。
| 守る対象 | 具体例 |
|---|---|
| 身元 | 名前、部署、職種、勤務場所 |
| アクセスの事実 | 資料を開いた、印刷した、ダウンロードした記録 |
| 連絡の事実 | 誰にいつ相談したか |
| 資料の由来 | 文書の作成者、配布範囲、版数 |
| 行動の時系列 | いつ見て、いつ送って、いつ公開されたか |
内部告発では、「誰が持っていたか」よりも「誰がそのタイミングで動けたか」が重要になることがあります。
守る対象を本名だけにすると、重要なリスクを見落とします。 資料にアクセスした事実、相談した事実、印刷した時刻、ファイルを開いた履歴、公開後の反応も守る対象です。 組織側は、名前そのものより「この情報に触れた人」を探すことがあります。
内部告発では、身元、行動、資料、時系列、関係者を分けて守ります。 どれか一つが漏れると、他の情報と結びついて候補が絞られます。
どこから漏れるのか
漏れる場所を分けて考えます。
内部システム、端末、クラウド、文書、通信、提出先、公開後の記事。どの段階にも手がかりがあります。
| 漏えい経路 | 例 |
|---|---|
| 内部システム | ファイルアクセス、ダウンロード、印刷ログ |
| 端末 | USB接続、スクリーンショット、アプリ起動履歴 |
| 文書 | 作成者、組織名、変更履歴、コメント |
| 通信 | メール、DM、通話、IP、時刻 |
| 提出先 | 受け取り側のログ、保管方法、返信方法 |
| 公開後 | 記事内容、公開時刻、資料の種類 |
内部告発では、提出前より前の段階が危険になることがあります。
資料を探す、開く、コピーする、印刷する、その時点で記録が残るからです。
漏えい経路は、送信経路だけではありません。 資料を探した検索履歴、ファイルサーバーの閲覧、クラウドのダウンロード、プリンターの使用、スマホでの撮影、個人クラウドへの同期、相談メモの保存がすべて手がかりになります。
また、公開後にも漏れます。 記事や通報内容の具体性、公開タイミング、追加情報、職場での反応が、告発者を探す材料になります。 脅威モデルでは、行動前、送信時、公開後を分けて考えます。
リスクの大きさを分ける
内部告発には幅があります。
軽い社内相談、労働問題、法令違反、不正会計、重大な公益通報、国家機密に近い情報ではリスクがまったく違います。
| リスク | 状況 | 考え方 |
|---|---|---|
| 低 | 一般的な職場相談 | 相談先と記録の扱いを確認する |
| 中 | 労働問題やハラスメント | 証拠保全、相談窓口、報復リスクを見る |
| 高 | 不正会計、法令違反、組織的不正 | 法的助言と提出先選定が重要 |
| 非常に高い | 国家、治安、重大な機密に関わる | 専門家なしで動かない |
リスクが高いほど、匿名ツールを先に触るより、信頼できる相談先を探すことが重要になります。
リスクの大きさは、扱う内容だけでなく、告発者の立場でも変わります。 正社員か非正規か、学生か、外国籍か、家族に影響があるか、職場で孤立しているか、過去に報復があったか。 同じ情報でも、立場によって受ける被害は違います。
高リスクな場合は、単独で動かないことが重要です。 弁護士、支援団体、取材源保護の経験がある報道機関など、状況に合う相談先を探します。
脅威モデルを作る質問
行動する前に、次の質問に答えます。
| 質問 | 目的 |
|---|---|
| この情報を知る人は何人いるか | 候補の少なさを確認する |
| この資料にアクセスした記録は残るか | 内部ログのリスクを見る |
| 提出先は信頼できるか | 受け取り側の扱いを考える |
| 公開されたら誰が疑われるか | 公開後の報復を想定する |
| 法的・安全上の相談先はあるか | 独断で動く危険を減らす |
答えられない項目が多い場合、まだ送る段階ではありません。
先に確認するべきです。
脅威モデルは、紙に書き出すと整理しやすくなります。 ただし、そのメモ自体にも注意します。 職場端末、実名クラウド、共有フォルダに詳細を書き残すと、新しい痕跡になります。 安全な環境で、必要最小限に整理します。
脅威モデルから対策を決める
脅威モデルは、考えるだけで終わりではありません。 そこから対策を決めます。
| 分かったこと | 次の対策 |
|---|---|
| 資料アクセス者が少ない | 内容や公開時期を調整する |
| 職場端末ログが強い | 端末操作を増やさず相談先を探す |
| 提出先が不明 | 送信前に運用主体とログ方針を確認する |
| 法的リスクが大きい | 弁護士や専門窓口に相談する |
| 家族や同僚に影響する | 公開範囲と内容を見直す |
脅威モデルは、行動を止めるためだけではありません。 何を先に確認し、どこを削り、誰に相談するかを決めるための道具です。
まとめ
内部告発では、最初に脅威モデルを作ります。
誰から守るのか、何を守るのか、どこから漏れるのか、どの程度のリスクなのかを整理します。
組織は、資料アクセス、端末操作、クラウド、メール、入退室、印刷などのログを持っている場合があります。
匿名ツールを使う前に、情報の出どころ、提出先、公開後の逆算、法的・安全上の相談先を確認します。
脅威モデルは、内部告発で最初に作る安全地図です。
関連ツール
SecureDrop
SecureDropは、報道機関やNGOが匿名の情報提供を受け付けるために導入できるオープンソースの内部告発・情報提供システムです。
紹介する理由: 取材源保護や内部告発の文脈で、提出先、Tor Browser、ファイルメタデータ、運用前提を考える代表的な実用例として紹介します。
URL : https://securedrop.org/
GlobaLeaks
GlobaLeaksは、組織が通報・内部告発窓口を構築するための自由でオープンソースのソフトウェアです。
紹介する理由: 内部告発や相談窓口では、提出先の信頼性、運用者、ログ、ファイルメタデータを考える必要があります。その比較対象として紹介します。
URL : https://globaleaks.org/