PDFの機密情報を赤く塗りつぶして削除する方法
PDFのテキストを黒いボックスで覆うだけでは削除されません。テキストは選択可能、検索可能、抽出可能なまま残ります。機密情報を完全に削除してPDFを赤く塗りつぶす方法を説明します。
3ページ目に社会保障番号、7ページ目にクライアントの自宅住所、12ページ目の表に埋め込まれた銀行口座番号が含まれるPDFがあります。この文書を、相手方弁護士、規制当局、ビジネスパートナー、または一般に共有する必要があるが、その機密情報は削除しなければなりません。
そこでPDFを開き、SSNの上に黒い四角形を描いて保存し、送信します。
あなたは世界で最も一般的な赤塗りつぶしの間違いを犯しました。テキストはまだそこにあります。そのPDFを受け取った人は誰でも、「赤塗りつぶし」された領域を選択し、隠されたテキストをコピーして、テキストエディタに貼り付けることができます。あなたのクライアントのSSNは、今や誰かのクリップボードにあります。
これは理論上のリスクではありません。米国司法省、TSA、フォーチュン500企業、および著名な事件を扱う法律事務所でも発生しています。実際の赤塗りつぶし — 情報を永久に削除する — には特別なプロセスが必要です。テキストの上に図形を描くことではありません。
このガイドでは、実際の赤塗りつぶしとは何か、偽のバージョンとどう違うのか、そしてそれを正しく行うための3つの方法 — 文書全体をブラウザで処理するため機密コンテンツがサーバーに触れない方法 — を含めて説明します。
赤塗りつぶしとは何か
赤塗りつぶしとは、文書から情報を永久に、元に戻せないように削除することです。隠すことでも、覆い隠すことでもありません。削除です。
PDFを適切に赤塗りつぶしすると、表示されているテキストは黒いボックスに置き換えられ、基盤となる文字データはPDFのコンテンツストリームから削除され、テキストは検索できなくなり、コピー&ペーストやプログラムによる抽出で回復できなくなり、関連するメタデータ(ブックマーク、コメント、フォームフィールド)もクリーニングされます。これらの条件のいずれかが満たされていない場合、それは単なる視覚的なオーバーレイであり、赤塗りつぶしではありません。
PDFがテキストを保存する方法(そしてオーバーレイが失敗する理由)
黒いボックスが機能しない理由を理解するには、PDFがテキストをどのように保存するかを理解する必要があります。
PDFページはコンテンツストリームです — 個々の文字を正確なx,y座標に配置するオペレーターのシーケンスです。テキスト「SSN: 123-45-6789」は、各文字を特定の場所に配置する位置指定コマンドとして保存されます。そのテキストの上に黒い四角形を描くと、コンテンツストリームに新しいグラフィカル要素が追加されますが、元のテキストオペレーターは変更されません。テキストはファイル内に残ります。選択可能です。抽出可能です。
印刷された文書の行の上に黒い紙をテープで貼るようなものだと考えてください。インクは下のページに残っています。実際の赤塗りつぶしは、その行をページから完全に切り取り、スクラップを燃やすことに相当するデジタル操作です。
本物の赤塗りつぶし vs. 偽の赤塗りつぶし
| 本物の赤塗りつぶし | 偽の赤塗りつぶし | |
|---|---|---|
| 見た目 | コンテンツの上に黒いボックス | コンテンツの上に黒いボックス |
| 基盤となるテキスト | 永久に削除済み | ファイル内に残存 |
| 選択とコピー | 選択できるものなし | テキストをコピー可能 |
| テキスト検索 | マッチなし | マッチあり |
| プログラムによる抽出 | データなし | 全テキスト抽出可能 |
| メタデータ | クリーン済み | 未変更 |
| 元に戻せるか? | いいえ — 情報は破壊される | はい — オーバーレイを削除 |
外部からは、本物の赤塗りつぶしも偽の赤塗りつぶしも同じように見えます。どちらの場合も黒いボックスがあります。違いは表面下で何が起こるかにあり、その違いが近年の最も恥ずかしい情報漏洩のいくつかを引き起こしました。
有名な赤塗りつぶし失敗事例
これらは仮説上のシナリオではありません。以下の各ケースでは、機密情報を赤塗りつぶししたと信じていた主要組織の専門家が関与していました。彼らは赤塗りつぶししていませんでした。
マナフォート事件(2019年)
ポール・マナフォートの弁護士は、ロシア諜報機関とのクライアントのやり取りに関する詳細を赤塗りつぶしする意図で、米国地方裁判所に訴訟書類を提出しました。「赤塗りつぶし」されたセクションは黒いボックスでしたが、基盤となるテキストは完全に無傷でした。記者は隠されたテキストをコピー&ペーストするだけで、マナフォートがロシアの協力者に世論調査データを共有していたことが明らかになりました。この話はニュースサイクル全体を支配しました。法務チームは、テキストレイヤーが保持されていることに気づかずに、ワードプロセッサのハイライト機能(黒いテキストの上に黒いハイライト)を使用し、PDFにエクスポートしていました。
TSA空港保安検査マニュアル(2009年)
運輸保安庁は、空港保安検査手順マニュアルの赤塗りつぶし版を公開しました。赤塗りつぶしは、PDFのテキストの上に単純な黒い長方形を描いたものでした。セキュリティ研究者はオーバーレイを削除し、完全な未赤塗りつぶし文書にアクセスできましたが、そこには検査例外、法執行機関の識別手順、およびチェックポイントの脆弱性の詳細が含まれていました。TSAは検査プロトコル全体を改訂しなければなりませんでした。
AT&T / NSA盗聴事件(2006年)
電子フロンティア財団によるAT&Tに対する無許可盗聴訴訟で、AT&Tは「赤塗りつぶし」された企業秘密を含む法的弁論書を提出しました。赤塗りつぶしはPDFのテキストの上に黒いボックスでした。AT&T施設内のNSAの監視インフラストラクチャを説明する完全なテキストは、簡単に抽出可能でした。文書は、削除される前に数千回ダウンロードされました。
パターン
すべてのケースで、失敗モードは同一でした。テキスト自体を削除せずに、テキストの上に視覚的な要素が描かれていました。そして、これらの間違いを犯した人々は不注意だったのではありません — 彼らは弁護士、政府関係者、セキュリティ専門家でした。彼らが使用したツール(ワードプロセッサ、基本的なPDFエディタ、注釈機能)は、実際の赤塗りつぶしを実行しません。
どの情報を赤塗りつぶしすべきか?
答えは規制環境によって異なりますが、以下のカテゴリはビジネス文書で最も一般的な機密データをカバーしています。
個人識別情報(PII)
- 社会保障番号(SSN)および納税者識別番号(TIN)
- 銀行口座番号およびルーティング番号
- クレジットカード番号およびデビットカード番号
- 運転免許証番号およびパスポート番号
- 生年月日
- 自宅住所および個人の電話番号
- メールアドレス(他のPIIと関連付けられている場合)
- 生体認証識別子
金融情報
- 口座残高および取引履歴
- 給与および報酬額
- 納税申告書データ
- 投資口座の詳細
- ローンおよび住宅ローンの情報
- 信用スコアおよび信用報告データ
医療および健康情報(HIPAA)
- 患者名と健康データの組み合わせ
- 医療記録番号
- 診断および治療の詳細
- 処方箋情報
- 健康保険証番号
- 検査結果および医療画像レポート
法的およびビジネス情報
- 裁判書類における未成年者の氏名
- 刑事訴訟における被害者および証人の身元
- 弁護士・依頼人間の特権通信
- 企業秘密および専有処方箋
- 封印された裁判記録および大陪審資料
- 事件番号および事件記録情報(特定の管轄区域)
- 機密和解条件
人事および雇用記録
- 従業員のSSNおよび源泉徴収データ
- 給与額およびボーナス額
- 懲戒記録および業績評価
- 病気休暇の詳細
- 身元調査結果
- 内部調査メモ
一般的なルール:情報が特定の個人を特定したり、その経済状況を明らかにしたり、医療履歴を暴露したり、保護された法的通信を開示したりする可能性がある場合は、正当な必要性を持つ者以外に文書を共有する前に赤塗りつぶしする必要があります。
書類の種類別
異なる種類の文書では、機密情報が異なる場所に隠されている傾向があります。
- 法的文書: 当事者の氏名および住所(特に家族/未成年事件)、特権通信、証人の身元、和解条件、財務証拠のSSN、未成年者の氏名
- 財務文書: 口座番号およびルーティング番号、SSN/TIN、取引詳細、残高、給与データ
- 医療記録(HIPAA): HIPAAのプライバシー規則は、氏名、地理的データ、日付、電話/ファックス/メール、SSN、医療記録番号、健康保険ID、口座番号、免許証番号、デバイス識別子、生体認証データ、写真など、非識別化のために削除する必要がある18の特定の識別子をリストアップしています。罰金は違反あたり100ドルから50,000ドルです。
- 人事文書: 税務フォーム(W-2、W-4、I-9)の従業員SSN、給与額、懲戒記録、病気休暇の詳細、身元調査結果、個人連絡先情報
方法1:PDFSub 赤塗りつぶしツール(推奨)
PDFSubの赤塗りつぶしツールは、真の赤塗りつぶしを実行します — 赤塗りつぶしマークの下のテキストはファイルから永久に削除され、単に視覚的に覆い隠されるだけではありません。また、ツールは完全にブラウザで実行されるため、機密情報を含む文書はデバイスから離れることはありません。
仕組み
ステップ1:PDFをアップロードします。 文書を赤塗りつぶしツールにドラッグ&ドロップするか、クリックして参照します。ファイルは直接ブラウザに読み込まれます — サーバーへのアップロードは発生しません。
ステップ2:赤塗りつぶしする領域をマークします。 削除したいテキストまたは領域を選択します。特定の単語、文、段落全体をハイライトしたり、画像や図の上に赤塗りつぶしボックスを描画したりできます。コミットする前に、ツールが正確に何が赤塗りつぶしされるかを示します。
ステップ3:赤塗りつぶしを適用します。 クリックして適用します。ツールはマークされたコンテンツをPDFのコンテンツストリームから永久に削除します。テキストは削除されます — 隠されたり、オーバーレイされたりするのではなく、削除されます。コンテンツがあった場所は黒いボックスで埋められます。
ステップ4:ダウンロードします。 赤塗りつぶしされたPDFを保存します。ダウンロードしたファイルには、削除された情報の痕跡は一切含まれていません。赤塗りつぶし領域のテキストを選択しようとして(選択できるものはありません)、削除されたコンテンツをテキスト検索して(一致するものはありません)確認できます。
この方法が機密文書に最適な理由
ブラウザベースの処理。 赤塗りつぶしプロセス全体がブラウザ内で行われます。PDFはインターネットを通過せず、サードパーティサーバーに着陸せず、ログ記録、キャッシュ、または保持されません。コンプライアンスが重要なワークフローでは、これはあって嬉しいものではなく、必須条件です。
真の赤塗りつぶし、注釈ではありません。 テキストは単に覆い隠されるのではなく、PDFの内部データ構造から実際に削除されます。赤塗りつぶし後、コンテンツは回復不可能です。
手頃な価格。 Adobe Acrobat Proの年間240ドルと比較して、PDFSubははるかに低コストでプロフェッショナルな赤塗りつぶしを提供します。ツールのニーズを満たすことを確認するために、7日間の無料トライアルから始めてください。
あらゆるデバイスで動作します。 Windows、Mac、Linux、Chromebook、タブレット — 最新のWebブラウザがあればどこでもPDFを赤塗りつぶしできます。
方法2:Adobe Acrobat Pro
Adobe Acrobat Proには、真の赤塗りつぶしを実行する専用の赤塗りつぶしツールが含まれています。これは、法律および政府のワークフローにおける業界標準です。
Acrobat Proで赤塗りつぶしする方法
ステップ1:赤塗りつぶしツールを開きます。 [ツール] > [赤塗りつぶし]に移動します。これにより、赤塗りつぶしツールバーが開きます。
ステップ2:赤塗りつぶしするコンテンツをマークします。 クリック&ドラッグしてテキストを選択するか、ページ全体を赤塗りつぶしするか、「検索と赤塗りつぶし」を使用してパターン(SSN形式など)をドキュメント全体で検索します。
ステップ3:赤塗りつぶしを適用します。 これは多くのユーザーが見落とす重要なステップです。マークするとテキストの周りに赤いアウトラインが表示されます — まだ削除されません。コンテンツを永久に削除するには、「適用」をクリックする必要があります。
ステップ4:隠された情報を削除します。 「隠された情報の削除」を使用して、メタデータ、コメント、フォームフィールド、埋め込みファイルなどをクリーニングします。
利点と欠点
Acrobat Proは業界標準であり、法務/政府機関での広範な承認を得ており、バッチ「検索と赤塗りつぶし」を提供し、隠された情報を削除します。しかし、年間240ドルかかり、デスクトップへのインストールが必要で、2段階のプロセス(マークしてから適用)は、ユーザーが適用ステップを忘れるとエラーの原因となることがよくあります。
2段階の落とし穴
これは実際のデータ漏洩を引き起こすため、強調する価値があります:赤塗りつぶしのためにコンテンツをマークすることは、赤塗りつぶしすることと同じではありません。 マークは視覚的なインジケーターを配置します。テキストはファイル内に残ります。適用するまで削除されません。マークした後、適用する前に保存して共有した場合、偽の赤塗りつぶしを含む文書を共有したことになります。
方法3:Macのプレビュー
Appleのプレビューアプリ(macOSに組み込まれている)には、テキストの上に黒い長方形を配置できる注釈ツールがあります。多くのMacユーザーは、これが赤塗りつぶしを構成すると考えています。それは違います。
プレビューが実際に行うこと
プレビューの長方形注釈ツールを使用してテキストを覆い隠す場合:
- PDFコンテンツの上に黒い図形が描画されます。
- 基盤となるテキストは完全に無傷のままです。
- 長方形の下をクリック&ドラッグして、テキストを選択できます。
- テキストは検索結果(Cmd+F)にも表示されます。
- どのPDF解析ツールでも抽出できます。
- 注釈を完全に削除すると、元のテキストが表示されます。
警告:プレビューは実際の赤塗りつぶしを実行しません
プレビューの注釈は赤塗りつぶしではありません。 これらは、マナフォート、TSA、AT&Tの失敗を引き起こしたのと同じ視覚的なオーバーレイです。プレビューを使用してPDFを「赤塗りつぶし」して共有することは、赤塗りつぶしされていない文書を共有することと機能的に同等です。
macOS Sequoia(2025年)以降、プレビューには真の赤塗りつぶし機能は含まれていません。Macを使用している場合は、PDFSubのブラウザベースの赤塗りつぶしツールまたはAdobe Acrobat Proを使用してください。
プレビューの失敗を確認する方法
自分で試してみてください:プレビューで任意のPDFを開き、テキストの上に黒く塗りつぶされた長方形を描き、保存し、再度開き、Cmd+Fを押して「隠された」テキストを検索します。見つかります。決して削除されていませんでした。この30秒のテストは、注釈ツールが赤塗りつぶしに使用されると危険である理由を示しています。
赤塗りつぶしのベストプラクティス
赤塗りつぶしツールを正しく使うことは、戦いの半分にすぎません。赤塗りつぶしを取り巻くプロセスも同様に重要です。
1. 赤塗りつぶし後は常に検証する
赤塗りつぶしを適用した後、出力をテストします。赤塗りつぶし領域のテキストを選択してみてください — 黒いボックスの下に何かを選択できる場合、赤塗りつぶしは失敗しています。削除されるはずだったコンテンツを検索(Ctrl+F / Cmd+F)します。別のPDFビューアでファイルを開きます。一部のビューアは注釈の処理方法が異なります。高リスクの赤塗りつぶし(法的手続き、規制提出)の場合は、テキスト抽出ツールを使用してすべてのテキストをダンプし、赤塗りつぶしされたコンテンツが存在しないことを確認します。
2. メタデータを削除する
表示されているテキストの赤塗りつぶしは必要ですが、十分ではありません。PDFには機密情報(文書プロパティ(作成者、組織、作成日)、コメントおよび注釈、フォームフィールドデータ、埋め込みファイル添付、ブックマーク、JavaScript、XMPメタデータ)を明らかにする可能性のあるメタデータが含まれています。徹底的な赤塗りつぶしワークフローは、これらすべてを可視コンテンツに加えて削除します。
3. コピーから作業する
元の文書を赤塗りつぶししないでください。コピーを作成し、元の文書を安全な場所に保管し、コピーに対してすべての赤塗りつぶしを実行し、検証し、赤塗りつぶしされたバージョンのみを配布します。赤塗りつぶしされていない元の文書は、後で法的手続き、監査証跡、または内部レビューのために必要になる場合があります。
4. 一貫した赤塗りつぶし外観を使用する
組織全体で赤塗りつぶしの外観を標準化します。黒いボックスは、法的および政府の文書の標準です。コンテンツが削除された理由を読者に知らせるために、赤塗りつぶしラベル(例:「REDACTED」、「PRIVILEGED」、「PII REMOVED」)を追加することを検討してください。
5. 文書化とレビュー
法的およびコンプライアンスの目的のために、誰が赤塗りつぶしを実行したか、いつ、どのカテゴリの情報が削除されたか、どのツールが使用されたかの記録を維持します。これにより、赤塗りつぶしの適切性が疑問視された場合に監査証跡が作成されます。
文書が組織を離れる前に、2人目の担当者に赤塗りつぶしされた文書をレビューしてもらいます。新しい視点は、見逃された赤塗りつぶし、不完全な削除、および周囲のテキストから赤塗りつぶしされたコンテンツを推測できる可能性のあるコンテキストの手がかりを検出します。2人でのレビューは、政府のFOIAオフィスでの標準的な慣行です。
バッチ赤塗りつぶし:パターンの検索と削除
大規模な文書全体で同じ種類の情報を赤塗りつぶしする必要がある場合、手動選択は非現実的になります。バッチ赤塗りつぶしは、パターンを検索し、すべてのマッチを一度にマークすることでプロセスを自動化します。
バッチ赤塗りつぶしの一般的なパターン:
| データタイプ | パターン形式 |
|---|---|
| 社会保障番号 | XXX-XX-XXXX, XXX XX XXXX, XXXXXXXXX |
| メールアドレス | [email protected] |
| 電話番号 | (XXX) XXX-XXXX, XXX-XXX-XXXX, +1XXXXXXXXXX |
| クレジットカード番号 | 13〜19桁のシーケンス、しばしば4桁のグループ |
| 口座番号 | 「Account #」または「Acct」の後に続く8〜17桁のシーケンス |
| 生年月日 | MM/DD/YYYY, Month DD, YYYY, DD-MM-YYYY |
ワークフロー:パターンを定義し、すべてのページで検索を実行し、各マッチを確認し(すべてのパターンマッチが実際に機密であるとは限らない)、すべて一度に適用し、次にパターンに一致しなかったコンテンツを手動でスイープします。氏名、住所、自由形式の説明は、単純なパターンに一致することはめったになく、人間のレビューが必要です。
赤塗りつぶしの法的要件
赤塗りつぶしは単なるベストプラクティスではありません。多くの状況では、法的要件です。
FOIA(情報公開法)。 FOIAリクエストに応答する連邦機関は、文書を開示する必要がありますが、国家安全保障情報、企業秘密、個人のプライバシー、法執行記録を含む9つの特定の免除に該当する情報を赤塗りつぶしする必要があります。州レベルの情報公開法も同様の要件を課しています。不適切な赤塗りつぶしは、訴訟、裁判所命令、および機関の制裁につながる可能性があります。
GDPR。 EU一般データ保護規則の下では、データ主体アクセスリクエスト(第15条)に応答する組織は、同じ文書内の第三者の個人データを赤塗りつぶしする必要があります。「消去権」(第17条)は、組織が保持する必要のある文書から個人データを赤塗りつぶしする必要がある場合もあります。違反すると、最大2000万ユーロまたは年間世界売上高の4%の罰金が科される可能性があります。
HIPAA。 保護されるべき健康情報(PHI)は、治療以外の目的で開示される前に非識別化する必要があります。「セーフハーバー」方法は、前述の18の識別子カテゴリすべてを削除する必要があります。罰金は違反あたり100ドルから50,000ドルです。
裁判所命令。 裁判所は、公判提出書類における未成年者の氏名、企業秘密、情報提供者の身元、および封印された資料の赤塗りつぶしを定期的に命じます。非遵守は、侮辱罪、事件の却下、または弁護士の懲戒につながる可能性があります。
州プライバシー法。 カリフォルニア州のCCPA/CPRA、バージニア州のCDPA、コロラド州のCPA、および同様の州法は、GDPRに似た義務を課しています。消費者のデータリクエストに応答する組織は、開示前に第三者の情報を赤塗りつぶしする必要があります。
よくある質問
赤塗りつぶしされたテキストは回復できますか?
赤塗りつぶしが真の赤塗りつぶしツールを使用して正しく実行された場合 — いいえ。文字データは永久に削除されます。隠されたレイヤー、暗号化されたバックアップ、フォレンジック回復パスはありません。もし「赤塗りつぶし」が単にテキストの上に描かれた図形(偽の赤塗りつぶし)だった場合、はい — 基本的なPDFビューアで誰でも隠されたテキストを選択、コピー、ペーストできます。
PDF内の画像から情報を赤塗りつぶしできますか?
はい。赤塗りつぶしツールは、埋め込み画像の領域の上にボックスを配置し、影響を受けた領域をソリッドフィルでラスタライズして、元のピクセルが破壊されるようにできます。これは、テキストが選択可能な文字ではなく画像の一部として存在するスキャンされた文書にとって重要です。
フォームフィールドの赤塗りつぶしについてはどうですか?
PDFフォームフィールドは、表示されているページコンテンツとは別にデータを保存します。フォームフィールドの表示されている場所に赤塗りつぶしボックスを配置しても、保存されたデータが必ずしも削除されるわけではありません。徹底的な赤塗りつぶしは、フォームフィールドとその関連データをフラット化または削除する必要があります。
赤塗りつぶしはページレイアウトを変更しますか?
いいえ。赤塗りつぶしされた領域は、削除されたコンテンツと同じスペースを占めるソリッドカラーボックスに置き換えられます。周囲のテキストとレイアウトは元の位置にそのまま残ります。
赤塗りつぶしを元に戻せますか?
いいえ — それがポイントです。赤塗りつぶしは永久的で元に戻せません。だからこそ、常にコピーから作業し、赤塗りつぶしされていない元の文書を安全に保管する必要があります。
赤塗りつぶしと暗号化の違いは何ですか?
暗号化は、文書全体に誰がアクセスできるかを制限します。赤塗りつぶしは、アクセス可能な文書内のどのコンテンツが表示されるかを制限します。これらは異なる目的を果たし、しばしば一緒に使用されます。
テキストを覆い隠した後にPDFに印刷するのは有効な赤塗りつぶし方法ですか?
信頼性が低い。一部の印刷-PDFドライバーは視覚レイヤーをフラット化し、基盤となるテキストを削除します。一部は保持します。この方法は、機密の赤塗りつぶしには決して依存すべきではありません。専用の赤塗りつぶしツールを使用してください。
パスワードで保護されたPDFを赤塗りつぶしできますか?
赤塗りつぶしする前にPDFをロック解除する必要があります。PDFにオーナーパスワード(編集を制限する)またはユーザーパスワード(オープンを制限する)がある場合、まずそのパスワードが必要です。ロック解除後、赤塗りつぶしプロセスは保護されていないPDFと同じです。
結論
赤塗りつぶしされているように見えるが、実際には赤塗りつぶしされていない文書は、赤塗りつぶしされていない文書よりも悪い — それは人々が保護すべきだった機密情報を共有してしまう偽の安心感を生み出します。
3つの要点:
- 実際の赤塗りつぶしツールを使用してください。 テキストの上に図形を描くだけでは何も赤塗りつぶしされません。テキストはファイルに残ります。基盤となるコンテンツを削除するツールを使用してください。
- 毎回検証してください。 赤塗りつぶし領域のテキストを選択しようとし、削除されたコンテンツを検索し、別のアプリケーションでテストしてください。
- 処理中に文書を保護してください。 ツールがPDFをサーバーにアップロードする場合、機密文書はサードパーティサーバーに置かれます。PDFSubの赤塗りつぶしツールは、ブラウザで文書を処理します — ファイルはデバイスから離れません。
赤塗りつぶしを間違えるコストは、露出したSSN、漏洩した医療記録、開示された企業秘密、および数百万に達する規制罰金です。正しく行うコストは、数分の時間です。
PDFSubの赤塗りつぶしツールを7日間無料でお試しください — 機密コンテンツが永久に削除されていることをご自身で確認してください。