**（症例）**

Microsoft Officeで作成したファイルには、メタデータと呼ばれる属性が付く。ファイル作成者、ソフトのバージョンなどのほか、ユーザーが自由にコメントを書き込めるようになっている。これがデータ漏洩の元になるということで、某社のシステム管理部門は、メタデータ削除ツールを配布して注意を促した。それによってPC音痴のユーザーでもメタデータというものの存在を知ることになった。

某社員は、システム開発案件予定価格を入札者に知らせるのに四苦八苦していた。口頭で告げるのは疚しいし、メールで伝えれば証拠が残る。そこでメタデータの存在に着目し、Word文書で表向き「システム仕様追加要件」というどうでもいい文書を作成し、メタデータに予定価格を書き込んでメール添付送信していた。スパイ大作戦ならぬメタデータ大作戦により、無事談合は成立し、誰も手が後ろに回ることはなかった。（犯罪である。念のため）

※メタデータに秘密情報を書き込んだ例（本データは架空のものです。）

**（処方箋）**

セキュリティ教育というのは難しい。データ漏洩のリスクを教えることは、すなわち漏洩の方法を教えることになりがちだ。まさしく「知らせぬ方がよかった」という事例である。

このメタデータ大作戦を、内部監査で発見することは難しい。メール本文であれば、管理者権限で閲覧することができ、全文検索で漏洩を発見することは可能であるが、添付ファイルのメタデータを検索するには、専門のツールを使用する必要がある。

メタデータの危険性については、セキュリティ業界ではかなり問題視されており、送信前にメタデータを削除するツールも存在するが、完璧な対策はないのが現状だ。

内部統制上の措置としては、外部へのメール送信は上司の承認を得て行う仕組みを作ることだ。あるいは一定職位以上の者にしか外部メール送信権限を与えないというシステム的対処も考えられる。

しかし、多忙な上司が、部下からの膨大な外部メール送信依頼に、いちいち対応してられるかという現実的な問題の前に挫折するケースが多いであろう。

メールの添付ファイルは一切認めていない会社も存在する。不便であるが、次善の策としては有効である。

（編集部　長谷部祐二）