ファイルメタデータとは?(そして、共有する前に削除すべき理由)
ファイルメタデータの正体
あなたが作成するすべてのファイルには2つの部分があります。目に見えるコンテンツと、ほとんどのソフトウェアが自動的に追加する秘密のデータ層です。この隠された層がメタデータ、つまりファイルの中身そのものではなく、ファイルに関する構造化された情報です。「メタ」はギリシャ語で「〜について」を意味するため、文字通り「データについてのデータ」というわけです。 A JPEG写真にはピクセルだけでなく、カメラのモデル、レンズ、シャッタースピード、ISO、そして最も重要なことに、撮影した正確なGPS座標を詳述するEXIFメタデータも含まれています。Word文書は、あなたの名前、会社名(Officeライセンスから)、編集に費やした時間、さらには削除されたテキストの履歴まで、静かに保存しています。 フォーマットはファイルタイプによって変わります。画像はEXIF(Exchangeable Image File Format)やIPTC(International Press Telecommunications Council)規格をよく使います。PDFには独自のプロパティがあり、XMP(Extensible Metadata Platform)も使用します。DOCXやXLSXのようなOfficeファイルは実際にはZIPアーカイブで、内部のcore.xmlというXMLファイルにメタデータを保存しています。音声ファイルはID3タグを使ってアルバムアートやトラック情報を保持します。動画ファイルはコンテナレベル(MOV, MP4)とコーデックレベルのデータを組み合わせて使用します。 これは別に陰謀ではありません。ソフトウェアエンジニアが良い目的でメタデータを追加しているのです。写真アプリは日付や場所で写真を整理するためにメタデータを使い、音楽プレーヤーはアルバムアートを表示するためにID3タグを必要とします。問題は、これらのファイルが元の文脈から離れて一人歩きを始めるときに起こるのです。
個人情報を晒しかねない、具体的なデータ項目
はっきりさせておきましょう。すべてのメタデータが問題なわけではありません。ファイルが96 DPIで保存されたことを知っても、それはどうでもいい豆知識です。しかし、一般的なメタデータ項目の中には、プライバシーとセキュリティに深刻な影響を及ぼすものがあります。 写真のGPS座標が最も有名な例です。位置情報サービスをオンにしたiPhoneで写真を撮ると、iOSは正確な緯度と経度をファイルのEXIFタグに埋め込みます。その写真をオンラインに投稿すれば、ExifToolやJeffrey's Exif Viewerのような無料ツールを使えば誰でも、あなたがどこに住んでいるか、働いているか、よく行く場所かを突き止めることができます。これは仮説ではありません。2012年、Viceのジャーナリストがジョン・マカフィーのグアテマラの隠れ家を見つけたのは、インタビューと共に公開された写真のGPSデータを分析したことが一因でした。 Officeファイルの作成者や組織の項目は、ソフトウェアライセンスから取得されます。契約書を作成した場合、ファイルの内部XMLにはあなたのフルネームと会社名が記載されます。それを交渉相手に送れば、誰がいつ最初の草稿を書いたかが丸わかりです。変更履歴やコメントももう一つの地雷で、削除されたテキスト、プライベートなコメント、すべての編集者の名前が暴露される可能性があります。法律事務所が、戦略全体が誤って変更履歴に残ったままの文書を相手方の弁護士に送ってしまったという有名な話もあります。 PDFの場合、XMPブロックにはファイル作成に使用されたソフトウェア(攻撃者にOSやパッチレベルを知らせることになる)、作成者、さらには `C:\Users\sarah.johnson\Documents\ClientProposals\AcmeCorp_draft3.pdf` のような元のファイルパスまで含まれることがあります。このパスだけで、従業員の名前と社内のフォルダ構造がわかってしまいます。埋め込まれたサムネイルプレビューも忘れてはいけません。一部のRAW画像や古いOfficeファイルでは、これらが文書の初期段階のスナップショットを表示することがあり、削除したはずのコンテンツがまだ見えてしまうかもしれません。
誰が、どのようにメタデータを読み取るのか
メタデータを読み取るには、何かハッカーのようなスキルが必要だと思うかもしれません。そんなことはありません。無料で一般的なツールを使えば、驚くほど簡単にできてしまいます。 Phil Harvey氏によるExifToolは、その道の標準です。すべての主要OSで動作し、100以上のファイル形式からメタデータを読み取ります。ターミナルで「exiftool filename.jpg」とタイプするだけで、すべてが表示されます。GUIを好む人向けには、Jimpl.comやMetaPiczのような、写真をアップロードするだけでそのデータを即座に確認できるラッパーやブラウザベースのツールもあります。 Office文書の場合はさらに簡単です。特別なソフトウェアは一切必要ありません。.docxファイルを.zipにリネームし、アーカイブを開き、docProps/core.xmlファイルまで移動してプレーンテキストエディタで開くだけです。生のデータがそこにあります。 では、実際に誰が見ているのでしょうか?あなたが思うより多くの人々です。ジャーナリストは情報源から受け取ったすべての文書をチェックします。弁護士はメタデータを法廷証拠として使用します。EXIFのタイムスタンプは、写真が本当にいつ撮影されたかを証明するために使われ、証人の証言を覆したこともあります。企業スパイは、競合他社の組織構造を把握するために利用します。 法執行機関はこれに大きく依存しています。2000年代初頭にBTK連続殺人犯が特定された一因は、彼が警察に送ったフロッピーディスクにありました。削除されたWord文書のメタデータが「Christ Lutheran Church」と「Dennis」というユーザーを指し示しており、それが犯人のデニス・レイダーだったのです。 これは警鐘を鳴らしすぎたいわけではありません。レシピを共有するほとんどの人は危険にさらされていません。しかし、コンテンツの機密性が高まるにつれて、リスクは増大します。フリーランサーが新しいクライアントにポートフォリオを送るのと、プライベートなチャットで家族の写真を共有するのとでは、リスクの度合いが違うのです。
共有する前にメタデータを削除する方法
実践的な話をしましょう。プラットフォームごとに、ファイルからメタデータを削除する方法を紹介します。思ったより簡単ですよ。 **Windowsの画像の場合:** ファイルを右クリックし、「プロパティ」へ進み、「詳細」タブを選択します。一番下にある「プロパティや個人情報を削除」をクリックします。これにより、クリーンなコピーを作成でき、ほとんどのEXIFデータを処理できますが、XMPタグを見逃すこともあります。 **macOSの画像の場合:** 標準のプレビューアプリは当てにしないでください。この点では悪名高いです。最良の選択はImageOptimで、これはEXIF、IPTC、XMPデータを徹底的に削除しつつファイルを圧縮もしてくれる、無料でオープンソースのツールです。または、写真アプリから書き出す方法もありますが、その前に「写真」>「環境設定」>「iCloud」で「公開する項目に位置情報を含める」をオフにしていることを確認してください。 **WordとExcelファイルの場合:** 外部に何かを送る前に、「ファイル」>「情報」>「問題のチェック」>「ドキュメントの検査」を行う習慣をつけましょう。ドキュメント検査では、コメント、変更履歴、作成者情報、その他の隠しデータを見つけて削除を提案してくれます。これは不可欠です。ただし、変更履歴の削除は元に戻せないので、必要であれば自分用にマスターコピーを保存しておきましょう。 **PDFの場合:** 扱いにくいPDFと格闘したことがある人なら誰でも、PDFが独自の生命を持っていることを知っています。メタデータに関しては、最も堅牢な解決策は有料のAdobe Acrobat Proにある「墨消し」>「文書をサニタイズ」機能です。Acrobatを持っていない場合、ファイルを新しいPDFに「印刷」するのも良い回避策です。macOSの標準PDFプリンターはほとんどのメタデータを削除してくれますが、常にすべてとは限りません。 **CocoConvertを使用する場合:** CocoConvertを使ってDOCXをPDFに、あるいはJPEGをPNGに変換するような場合、そのプロセスで元のメタデータのほとんどが自然に抜け落ちます。私たちは全く新しいファイルを構築しているので、EXIFのGPSデータやWordの作成者情報などは引き継がれません。これは専用のセキュリティ機能ではなく、便利な副産物と考えてください。本当に機密性の高いファイルの場合は、まず専用のサニタイズツールを使用してください。私たちは変換ツールであり、フォレンジックツールではありません。その点については正直でありたいと思っています。
ファイル変換で削除されるもの、されないもの
CocoConvertはファイルコンバーターなので、処理中にメタデータに何が起こるか具体的に説明しましょう。JPEGをPNGに変換する場合、私たちは元のピクセルから新しいPNGファイルを作成します。PNGには独自のメタデータ保存方法(tEXt, iTXt, zTXtチャンク)がありますが、元のEXIFデータをそこへコピーすることはありません。実際には、これはJPEGにあったGPS座標、カメラモデル、レンズ情報が最終的なPNGには存在しないことを意味します。JPEGからWebPへの変換でも同様です。 DOCXをPDFに変換する場合、私たちは文書の最終的なレンダリングされた見た目からPDFを生成します。新しいPDFの作成者フィールドには、通常、Wordの元の作成者ではなく、変換ソフトウェアの名前が記載されます。変更履歴や修正履歴はすべてフラット化されて消えます。なぜなら、PDFはその最終的な一つの状態しか表現しないからです。 しかし、いくつか落とし穴があります。大きなものは埋め込みファイルです。もし元のWord文書に、独自のEXIFデータを持つ写真が挿入されていた場合、その写真が最終的なPDFに埋め込まれる際にメタデータを保持する可能性があります。つまり、その一枚の写真からPDFにGPSデータが含まれてしまうことがあるのです。 また、当たり前のことかもしれませんが、念のため言っておきます。変換はファイルの内容から機密情報を削除するものではありません。もし文書にあなたの住所が入力されていれば、それはそのまま残ります。それはコンテンツであり、メタデータではありません。 音声ファイルの場合、CocoConvertでMP3をAACに変換しても、デフォルトではID3タグはコピーされません。 結論として、CocoConvertによる変換は、日常的な使用におけるメタデータの漏洩を大幅に減らす、優れた第一防衛線です。ただし、これを専用の高度なセキュリティを持つサニタイズツールと混同しないでください。
業務や法的な文脈におけるメタデータ
もしあなたが法律、金融、医療、あるいはその他の規制された業界で働いているなら、メタデータは単なるプライバシーの思考実験ではなく、コンプライアンス上の地雷原です。 例えばHIPAA(医療保険の相互運用性と説明責任に関する法律)の下では、メタデータは保護対象の医療情報(PHI)の一部となり得ます。医療スキャン画像にはクリニックを指すGPSデータや、患者の名前を含むアーティストタグが含まれているかもしれません。その組み合わせは、画像自体が匿名化されていてもPHIとなります。米国保健福祉省の公民権局は、記録の非識別化を行う際にメタデータを考慮することを明確に要求しています。 法的手続きにおいて、メタデータは完全に証拠開示の対象となります。米国の連邦民事訴訟規則第34条は、電子的に保存されたすべての情報(ESI)を対象としており、裁判所はメタデータがそのESIの一部であることを繰り返し確認しています。訴訟のために文書を保全するよう指示され、メタデータを削除した場合、それは証拠隠滅にあたります。それは裁判に負けかねない、致命的なミスです。 ジャーナリストとその情報源にとって、これは理論上の話ではなく、身の安全に関わる問題です。だからこそ、報道の自由財団、ニューヨーク・タイムズ、ガーディアンなどが使用するSecureDropのようなツールが存在するのです。これらのツールは、情報源を保護するために投稿からメタデータを自動的に削除します。もしあなたが情報源であるなら、自分で削除しない限り、送るすべてのファイルに自分の身元がタグ付けされていると想定しなければなりません。 企業の合併・買収の世界では、データルーム内のメタデータが交渉戦略、非公開の評価額、アドバイザーの身元を明らかにする可能性があります。賢明な交渉相手は、間違いなくこの情報を探します。現在、大手法律事務所では、いかなる取引においてもメタデータのレビューを必須のステップとして扱っています。 私たちのほとんどにとって、職業上のリスクはそこまで高くありません。しかし、原則は同じです。ファイルが自分の管理下を離れる前に、それが自分について何を語っているのかを知っておくことです。
ファイルを共有する前の実践的チェックリスト
すべての細かいルールを暗記する必要はありません。99%の状況では、「送信」や「アップロード」を押す前に、この実践的なチェックリストがあれば十分です。 **1. ファイルタイプとそのメタデータのリスクを特定する。** 主要なものだけ覚えておきましょう。写真にはGPSデータ、Office文書には作成者と変更履歴、PDFには作成者データと作成パスが含まれる可能性があります。音声ファイルはID3タグ、動画ファイルはGPS、デバイスモデル、作成タイムスタンプを保持します。 **2. 共有相手を評価する。** これは誰のためですか?お母さんに家族の写真を送るのは低リスクです。公開フォーラムに写真を投稿したり、新しいクライアントに提案書を送ったりするのは高リスクです。実際のリスクに合わせて手間をかけましょう。 **3. 用途に適したツールを使う。** Windowsでは内蔵のプロパティ削除機能、MacではImageOptimを使いましょう。Officeファイルではドキュメント検査を実行します。PDFではAcrobatのサニタイズ機能を使うか、PDFに再印刷します。大量の処理やフォーマット変更には、CocoConvertの変換プロセスが副産物としてほとんどのフォーマット固有メタデータを削除してくれます。 **4. 出力を確認する。** 削除や変換が終わったら、結果を確認しましょう。Windowsでは右クリック > プロパティ > 詳細。Macではプレビューで開き、ツール > インスペクタを表示 > EXIF。完全な情報を得るにはコマンドラインからExifToolを使います。「exiftool -all filename.jpg」。削除がうまくいったと決めつけず、確認してください。 **5. コンテンツはメタデータではないことを忘れない。** これは非常に重要です。文書に社会保障番号を入力してしまった場合、どんなツールもそれを削除してはくれません。それはコンテンツの問題であり、ファイルの目に見える部分を別途レビューする必要があります。 **6. リスクの高い状況では専用ツールを使う。** MAT2 (Metadata Anonymisation Toolkit 2)は、セキュリティ専門家が使用するオープンソースツールで、数十のファイル形式に対応し、ほとんどの消費者向けオプションよりも徹底的です。Linuxや、高リスクな用途向けに設計されたTails OSで利用できます。 メタデータは悪ではありません。便利な機能が、私たちのファイルがボタン一つで世界中を旅するようになったことで、厄介な存在になったのです。自分のファイルが何を運んでいるのかを理解し、共有する前に30秒かけてクリーンにする。これは、あなたのプライバシーを劇的に向上させる、小さな習慣です。