sg sg-security-management asset_management data_leakage
まず結論
メタデータとは、データそのものを説明するために付いている情報です。
SG試験では、本文や画像そのものだけでなく、ファイルに付いている作成者名、作成日時、更新履歴、位置情報などから情報が漏れる可能性を判断させる問題で登場します。
選択肢では、「ファイル本文だけ確認すればよい」と書かれていたら注意です。メタデータにも、業務上の情報や個人情報につながる情報が含まれることがあります。
直感的な説明
メタデータは、荷物に貼られた「送り状」のようなものです。
箱の中身がデータ本体だとすると、送り状には次のような情報が書かれています。
- 誰が作ったか
- いつ作ったか
- どこで作ったか
- どのような形式か
- どのような履歴があるか
送り状だけでも、送り主や配送先が分かることがあります。同じように、ファイルの中身を見なくても、メタデータから作成者、部署名、撮影場所、編集履歴などが分かる場合があります。
そのため、外部にファイルを送るときは、本文だけでなく、付随する情報も確認することが大切です。
定義・仕組み
メタデータは、一般に「データに関するデータ」と説明されます。
たとえば、次のような情報がメタデータに当たります。
| 対象 | メタデータの例 |
|---|---|
| 文書ファイル | 作成者、作成日時、更新日時、編集履歴、コメント |
| 写真ファイル | 撮影日時、カメラ情報、GPS位置情報、向き |
| メール | 送信者、受信者、送信日時、件名、経路情報 |
| データベース | テーブル名、項目名、データ型、更新日時 |
| Webページ | タイトル、説明文、文字コード、キーワード |
メタデータは、検索、分類、管理、監査、証跡確認などに役立ちます。
一方で、公開・共有する場面では、不要なメタデータが情報漏えいの原因になることがあります。
特に注意したいのは、写真や文書に含まれる次の情報です。
- 氏名やアカウント名
- 会社名や部署名
- 撮影場所の位置情報
- 編集前のコメントや変更履歴
- 内部向けのファイルパス
個人情報保護委員会の情報でも、個人情報は氏名だけでなく、他の情報と容易に照合して個人を識別できる情報も含まれると説明されています。メタデータも、他の情報と組み合わせることで個人や組織の特定につながる場合があります。
参考:個人情報保護委員会|個人情報保護法等
SG試験では、メタデータを「便利な管理情報」として見るだけでなく、外部共有時に確認・削除すべき情報として考えることが重要です。
どんな場面で使う?
メタデータは、情報を整理したり、探しやすくしたり、管理しやすくしたりする場面で使われます。
たとえば、社内文書を管理するとき、作成日や作成者が分かれば、最新版の確認や責任者の特定がしやすくなります。写真の撮影日時や位置情報があれば、記録の整理にも役立ちます。
一方で、次のような場面では注意が必要です。
- 顧客や委託先へ文書ファイルを送る
- WebサイトにPDFや画像を公開する
- SNSに写真を投稿する
- 外部監査や調査で資料を提出する
- 社外向け資料を社内資料から流用する
このような場面では、本文から機密情報を消していても、メタデータに作成者名、内部コメント、位置情報などが残っていることがあります。
SG試験では、外部へ出す情報は本文だけでなくメタデータも確認する、という判断が問われることが多いです。
よくある誤解・混同
誤解1:メタデータは本文ではないので安全
これは誤りです。
本文ではなくても、作成者名、更新履歴、撮影場所などから情報漏えいにつながることがあります。
選択肢で「本文に機密情報がなければ問題ない」と書かれていたら注意します。
誤解2:メタデータは必ず削除すべき
これも言い切りすぎです。
メタデータは、文書管理、検索、監査、証跡確認に役立つ情報でもあります。
大切なのは、内部管理では活用し、外部共有時には必要性を確認することです。
誤解3:ログとメタデータは同じもの
ログは、システムや利用者の操作・通信などの記録です。
メタデータは、データそのものを説明する属性情報です。
| 用語 | 見る対象 | 例 |
|---|---|---|
| メタデータ | データの属性 | 作成者、撮影日時、位置情報 |
| ログ | 操作や通信の記録 | ログイン日時、アクセス履歴、エラー履歴 |
SG試験では、ログは「いつ誰が何をしたか」を追う証跡として出やすく、メタデータは「ファイルやデータに付いている説明情報」として出やすいです。
誤解4:メタデータは個人情報ではない
これも注意が必要です。
メタデータ単体では個人情報に見えなくても、他の情報と組み合わせると個人や場所を特定できる場合があります。
写真のGPS情報、文書の作成者名、端末名、アカウント名などは、外部公開時に確認すべき情報です。
まとめ(試験直前用)
- メタデータは、データを説明するための情報
- 作成者、日時、位置情報、更新履歴などが含まれることがある
- 情報管理には役立つが、外部共有時は漏えいリスクになる
- 「本文だけ確認すればよい」は誤り選択肢として疑う
- ログは操作記録、メタデータはデータの属性情報と切り分ける
🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- 匿名加工情報の第三者提供とは?公表義務と注意点【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 保証型監査と助言型監査の違い【SG試験】