How to Redact Sensitive Information from a PDF

3ページ目に社会保障番号、7ページ目にクライアントの自宅住所、12ページ目に表の中に埋もれた銀行口座番号が記載されたPDFがあります。このドキュメントを、相手方弁護士、規制当局、ビジネスパートナー、あるいは一般に共有する必要がありますが、その機密情報は削除しなければなりません。

そこでPDFを開き、SSNの上に黒い長方形を描いて保存し、送信します。

これは世界で最も一般的な編集ミスです。テキストはそのまま残っています。そのPDFを受け取った人は誰でも「編集済み」の領域を選択し、隠されたテキストをコピーしてテキストエディタに貼り付けることができます。あなたのクライアントのSSNは、すでに誰かのクリップボードにあります。

これは理論上のリスクではありません。米国司法省、TSA、フォーチュン500企業、そして著名な事件を扱う法律事務所でも実際に起こっています。実際の編集、つまり情報を永久に削除する編集には、特別なプロセスが必要です。テキストの上に図形を描くことではありません。

このガイドでは、実際の編集とは何か、偽の編集とどう違うのか、そしてそれを正しく行うための3つの方法（ブラウザ内でドキュメント全体を処理し、機密コンテンツがサーバーに触れないようにする方法を含む）を説明します。

編集とは実際には何を意味するか

Real Redaction vs. Fake Redaction - What Actually Happens to Your Data

編集とは、ドキュメントから情報を永久に、元に戻せないように削除することです。隠すことでも、覆い隠すことでもありません。削除です。

PDFを適切に編集すると、表示されているテキストは黒いボックスに置き換えられ、基盤となる文字データはPDFのコンテンツストリームから削除され、テキストは検索できなくなり、コピー＆ペーストやプログラムによる抽出で回復できなくなり、関連するメタデータ（ブックマーク、コメント、フォームフィールド）もクリーンアップされます。これらの条件のいずれかが満たされていない場合、それは視覚的なオーバーレイであり、編集ではありません。

PDFがテキストを保存する方法（そしてオーバーレイが失敗する理由）

黒いボックスが機能しない理由を理解するには、PDFがテキストをどのように保存するかを理解する必要があります。

A PDFページはコンテンツストリームです。これは、個々の文字をキャンバス上の正確なx、y座標に配置するオペレーターのシーケンスです。「SSN: 123-45-6789」というテキストは、各文字を特定の場所に配置する位置指定コマンドとして保存されます。そのテキストの上に黒い長方形を描くと、コンテンツストリームに新しいグラフィカル要素が追加されますが、元のテキストオペレーターはそのまま残ります。テキストはファイル内に残っています。選択可能です。抽出可能です。

印刷されたドキュメントの行の上に黒い紙をテープで貼るようなものだと考えてください。インクは下のページにもまだあります。実際の編集は、その行をページから完全に切り取り、スクラップを燃やすことのデジタル版です。

本物の編集 vs. 偽の編集

	本物の編集	偽の編集
視覚的な外観	コンテンツの上に黒いボックス	コンテンツの上に黒いボックス
基盤となるテキスト	永久に削除済み	ファイル内に残存
選択とコピー	選択するものなし	テキストをコピー可能
テキスト検索	一致なし	一致あり
プログラムによる抽出	データなし	全テキスト抽出可能
メタデータ	クリーンアップ済み	未変更
元に戻せるか？	いいえ - 情報は破壊される	はい - オーバーレイを削除

外部から見ると、本物の編集と偽の編集は同じように見えます。どちらの場合も黒いボックスがあります。違いはすべて表面下で起こっていることであり、その違いが近年の最も恥ずかしい情報漏洩のいくつかを引き起こしました。

有名な編集の失敗例

これらは仮説的なシナリオではありません。以下の各ケースでは、主要組織の専門家が機密情報を編集したと思い込んでいました。しかし、実際には編集されていませんでした。

マナフォート事件（2019年）

ポール・マナフォートの弁護士は、クライアントとロシア諜報機関とのやり取りに関する詳細を編集する意図で、米国地方裁判所に訴訟書類を提出しました。「編集済み」の部分は黒いボックスでしたが、基盤となるテキストは完全にそのまま残っていました。記者は隠されたテキストをコピー＆ペーストするだけで、マナフォートがロシアの協力者に世論調査データを共有していたことが明らかになりました。この話は一週間のニュースサイクルを独占しました。法務チームはワードプロセッサのハイライト機能（黒いテキストの上に黒いハイライト）を使用し、テキストレイヤーが保持されていることに気づかずにPDFにエクスポートしていました。

TSA空港セキュリティ設計図（2009年）

運輸保安庁は、空港セキュリティスクリーニング手順マニュアルの編集済みバージョンを公開しました。編集は、PDFのテキストの上に単純な黒い長方形を描画したものでした。セキュリティ研究者はオーバーレイを削除し、完全な未編集ドキュメントにアクセスしました。そこには、スクリーニング例外、法執行機関の識別手順、チェックポイントの脆弱性に関する詳細が含まれていました。TSAは、スクリーニングプロトコル全体を改訂する必要がありました。

AT&T / NSA盗聴事件（2006年）

AT&Tによる令状なし盗聴に関する電子フロンティア財団の訴訟で、AT&Tは「編集済み」の企業秘密を含む法的弁論書を提出しました。編集はPDFのテキストの上に黒いボックスを描いたものでした。NSAのAT&T施設内での監視インフラストラクチャを説明する完全なテキストは、簡単に抽出可能でした。ドキュメントは、削除される前に数千回ダウンロードされました。

パターン

すべてのケースで、失敗のモードは同じでした。テキスト自体を削除せずに、テキストの上に視覚的な要素が描画されたのです。そして、これらの間違いを犯した人々は不注意だったわけではありません。彼らは弁護士、政府関係者、セキュリティ専門家でした。彼らが使用したツール（ワードプロセッサ、基本的なPDFエディタ、注釈機能）は、実際の編集を実行しません。

どの情報を編集すべきか？

答えは規制環境によって異なりますが、以下のカテゴリはビジネス文書で最も一般的な機密データをカバーしています。

個人識別情報（PII）

社会保障番号（SSN）および納税者識別番号（TIN）
銀行口座番号およびルーティング番号
クレジットカード番号およびデビットカード番号
運転免許証番号およびパスポート番号
生年月日
自宅住所および個人の電話番号
メールアドレス（他のPIIと関連付けられている場合）
生体認証識別子

金融情報

口座残高および取引履歴
給与および報酬額
税務申告データ
投資口座の詳細
ローンおよび住宅ローンの情報
信用スコアおよび信用報告データ

医療および健康情報（HIPAA）

患者名と健康データの組み合わせ
医療記録番号
診断および治療の詳細
処方箋情報
健康保険証番号
検査結果および医療画像レポート

法的およびビジネス情報

未成年者の氏名（裁判書類）
被害者および証人の身元（刑事訴訟）
弁護士・依頼人間の特権通信
企業秘密および専有処方箋
封印された裁判記録および大陪審資料
事件番号および事件記録情報（特定の管轄区域）
機密和解条件

人事および雇用記録

従業員のSSNおよび税金源泉徴収データ
給与額およびボーナス額
懲戒記録および業績評価
病気休暇の詳細
身元調査の結果
内部調査メモ

一般的なルール：情報が特定の個人を特定したり、その経済状況を明らかにしたり、医療履歴を暴露したり、保護された法的通信を開示したりする可能性がある場合は、正当な閲覧権限を持たない誰かにドキュメントを共有する前に編集する必要があります。

書類の種類別

異なる種類のドキュメントは、機密データを異なる場所に隠す傾向があります。

法的文書: 当事者の氏名と住所（特に家族/少年事件）、特権通信、証人の身元、和解条件、財務証拠のSSN、未成年者の氏名
財務文書: 口座番号とルーティング番号、SSN/TIN、取引明細、残高、給与データ
医療記録（HIPAA）: HIPAAのプライバシールールは、氏名、地理的データ、日付、電話/ファックス/メール、SSN、医療記録番号、健康保険ID、口座番号、免許証番号、デバイス識別子、生体認証データ、写真など、非識別化のために削除する必要がある18の特定の識別子を挙げています。罰金は違反あたり100ドルから50,000ドルです。
人事文書: 税務フォーム（W-2、W-4、I-9）の従業員SSN、給与額、懲戒記録、病気休暇の詳細、身元調査の結果、個人連絡先情報

方法1: PDFSub編集ツール（推奨）

PDFSubのPDF編集ツールは、真の編集を実行します。編集マークの下のテキストはファイルから永久に削除され、単に視覚的に覆い隠されるだけではありません。また、ツールはブラウザ全体で実行されるため、機密情報を含むドキュメントはデバイスから離れません。

仕組み

ステップ1: PDFをアップロードします。 PDF編集ツールにドキュメントをドラッグ＆ドロップするか、クリックして参照します。ファイルはブラウザに直接読み込まれ、サーバーへのアップロードは発生しません。

ステップ2: 編集する領域をマークします。 削除したいテキストまたは領域を選択します。特定の単語、文、段落全体をハイライトしたり、画像や図の上に編集ボックスを描画したりできます。コミットする前に、ツールが正確に何が編集されるかを示します。

ステップ3: 編集を適用します。 クリックして適用します。ツールは、マークされたコンテンツをPDFのコンテンツストリームから永久に削除します。テキストは削除され、隠されたり、重ねられたりしません。コンテンツがあった場所には黒いボックスが埋め込まれます。

ステップ4: ダウンロードします。 編集済みのPDFを保存します。ダウンロードしたファイルには、削除された情報の痕跡は一切含まれていません。編集領域のテキストを選択しようとして（選択するものはありません）、削除されたコンテンツをテキスト検索して（一致するものはありません）、これを確認できます。

この方法が機密ドキュメントに最適な理由

ブラウザベースの処理。 すべての編集プロセスはブラウザ内で行われます。PDFはインターネットを通過せず、サードパーティサーバーに着陸せず、ログ、キャッシュ、または保持されることもありません。コンプライアンスが重要なワークフローでは、これは「あれば嬉しい」ものではなく、要件です。

注釈ではなく、真の編集。 テキストは、単に覆い隠されるのではなく、PDFの内部データ構造から実際に削除されます。編集後、コンテンツは回復不可能です。

手頃な価格。 年間240ドルのAdobe Acrobat Proとは異なり、PDFSubははるかに低価格でプロフェッショナルな編集を提供します。ツールのニーズに合っているか確認するために、7日間の無料トライアルから始めてください。

どのデバイスでも動作します。 Windows、Mac、Linux、Chromebook、タブレットからPDFを編集できます。最新のWebブラウザがあればどこでも利用できます。

方法2: Adobe Acrobat Pro

Adobe Acrobat Proには、真の編集を実行する専用の編集ツールが含まれています。これは、法的および政府のワークフローにおける業界標準です。

Acrobat Proでの編集方法

ステップ1: 編集ツールを開きます。 「ツール」>「編集」に移動します。これにより、編集ツールバーが開きます。

ステップ2: 編集するコンテンツをマークします。 クリック＆ドラッグしてテキストを選択したり、ページ全体を編集したり、「検索して編集」を使用してドキュメント全体でパターン（SSN形式など）を検索したりします。

ステップ3: 編集を適用します。 これは多くのユーザーが見落とす重要なステップです。マークすることは、テキストの周りに赤いアウトラインを置くことであり、まだ削除するわけではありません。コンテンツを永久に削除するには、「適用」をクリックする必要があります。

ステップ4: 隠された情報を削除します。 「隠された情報の削除」を使用して、メタデータ、コメント、フォームフィールド、埋め込みファイルなどをクリーンアップします。

長所と短所

Acrobat Proは、法務/政府機関で広く受け入れられている業界標準であり、バッチ「検索して編集」機能を提供し、隠された情報を削除します。しかし、年間240ドルかかり、デスクトップへのインストールが必要で、2段階のプロセス（マークしてから適用）は、ユーザーが適用ステップを忘れるとエラーの原因となることがよくあります。

2段階の落とし穴

これは、実際のデータ漏洩を引き起こすため、強調する価値があります。編集のためにコンテンツをマークすることは、編集することと同じではありません。 マークは視覚的なインジケーターを配置します。テキストはファイル内に残っています。適用のみがそれを削除します。マークした後、適用する前に保存して共有した場合、偽の編集が施されたドキュメントを共有したことになります。

方法3: Macのプレビュー

Appleのプレビューアプリ（macOSに組み込まれている）には、テキストの上に黒い長方形を配置できる注釈ツールがあります。多くのMacユーザーは、これが編集に相当すると考えています。それは違います。

プレビューが実際に行うこと

プレビューの長方形注釈ツールを使用してテキストを覆い隠すと：

PDFコンテンツの上に黒い図形が描画されます。
基盤となるテキストは完全にそのまま残ります。
長方形の下をクリック＆ドラッグすることで、テキストを選択できます。
テキストは検索結果（Cmd+F）にも表示されます。
あらゆるPDF解析ツールでテキストを抽出できます。
注釈は完全に削除でき、元のテキストが表示されます。

警告：プレビューは実際の編集を実行しません

プレビューの注釈は編集ではありません。 それらは、マナフォート事件、TSA事件、AT&T事件で説明されたのと同じ視覚的なオーバーレイです。プレビューを使用してPDFを「編集」し、それを共有することは、編集されていないドキュメントを共有することと機能的に同等です。

macOS Sequoia（2025年）以降でも、プレビューには真の編集機能は含まれていません。Macを使用している場合は、PDFSubのブラウザベースのPDF編集ツールまたはAdobe Acrobat Proを使用してください。

プレビューの失敗を確認する方法

自分で試してみてください。任意のPDFをプレビューで開き、テキストの上に黒塗り長方形を描き、保存し、再度開き、Cmd+Fを押して「隠された」テキストを検索します。見つかります。それは決して削除されていませんでした。この30秒のテストは、注釈ツールが編集に使用される場合に危険である理由を示しています。

編集のベストプラクティス

編集ツールを正しく選択することは、戦いの半分にすぎません。編集を取り巻くプロセスも同様に重要です。

1. 編集後は必ず確認する

編集を適用した後、出力をテストします。編集領域のテキストを選択してみてください。黒いボックスの下に何かを選択できる場合は、編集は失敗です。削除されるはずだったコンテンツを検索（Ctrl+F / Cmd+F）します。一部のビューアは注釈の処理方法が異なるため、別のPDFビューアでファイルを開きます。高リスクの編集（訴訟、規制当局への提出）の場合は、テキスト抽出ツールを使用してすべてのテキストをダンプし、編集されたコンテンツが存在しないことを確認します。

2. メタデータを削除する

表示されているテキストの編集は必要ですが、十分ではありません。PDFには機密情報が明らかになる可能性のあるメタデータが含まれています。ドキュメントのプロパティ（作成者、組織、作成日）、コメントと注釈、フォームフィールドデータ、埋め込みファイル添付、ブックマーク、JavaScript、XMPメタデータ。徹底的な編集ワークフローは、表示されるコンテンツに加えて、これらすべてを削除します。

3. コピーから作業する

元のドキュメントを編集しないでください。コピーを作成し、元のドキュメントを安全な場所に保管し、コピーに対してすべての編集を実行し、確認してから、編集済みのバージョンのみを配布します。未編集の元のドキュメントは、後で訴訟、監査証跡、または内部レビューのために必要になる場合があります。

4. 一貫した編集の外観を使用する

組織全体で編集の外観を標準化します。黒いボックスは、法的および政府のドキュメントの標準です。読者がコンテンツが削除された理由を理解できるように、編集ラベル（例：「REDACTED」、「PRIVILEGED」、「PII REMOVED」）を追加することを検討してください。

5. 文書化とレビュー

法的およびコンプライアンス上の目的のために、誰が編集を実行したか、いつ、どのカテゴリの情報が削除されたか、どのツールが使用されたかの記録を維持します。これにより、編集の適切さが疑問視された場合に監査証跡が作成されます。

ドキュメントが組織を離れる前に、2人目の担当者に編集済みドキュメントをレビューしてもらいます。新鮮な目は、見落とされた編集、不完全な削除、および周囲のテキストから編集されたコンテンツを推測できる可能性のあるコンテキストの手がかりを捉えます。2人によるレビューは、政府のFOIAオフィスでは標準的な慣行です。

バッチ編集：パターンの検索と削除

大規模なドキュメント全体で同じ種類の情報を編集する必要がある場合、手動選択は実用的でなくなります。バッチ編集は、パターンを検索してすべての一致を一度にマークすることでプロセスを自動化します。

バッチ編集する一般的なパターン：

データタイプ	パターン形式
社会保障番号	`XXX-XX-XXXX`, `XXX XX XXXX`, `XXXXXXXXX`
メールアドレス	`[email protected]`
電話番号	`(XXX) XXX-XXXX`, `XXX-XXX-XXXX`, `+1XXXXXXXXXX`
クレジットカード番号	13〜19桁のシーケンス、しばしば4桁ごと
口座番号	「Account #」または「Acct」の後に続く8〜17桁のシーケンス
生年月日	`MM/DD/YYYY`, `Month DD, YYYY`, `DD-MM-YYYY`

ワークフロー：パターンを定義し、すべてのページで検索を実行し、各一致を確認し（すべてのパターン一致が実際に機密であるとは限らない）、すべてを一度に適用し、その後、パターンに一致しなかったコンテンツを手動でスイープします。氏名、住所、自由形式の説明は、単純なパターンに一致することはめったになく、人間のレビューが必要です。

編集の法的要件

編集は単なるベストプラクティスではありません。多くの状況では、法的要件です。

FOIA（情報公開法）。 FOIAリクエストに応答する連邦機関は、ドキュメントを開示する必要がありますが、国家安全保障情報、企業秘密、個人のプライバシー、法執行記録を含む9つの特定の免除に該当する情報を編集する必要があります。州レベルの公開記録法も同様の要件を課しています。不適切な編集は、訴訟、裁判所命令、および機関の制裁につながる可能性があります。

GDPR。 EU一般データ保護規則の下では、データ主体アクセスリクエスト（第15条）に応答する組織は、同じドキュメント内の第三者の個人データを編集する必要があります。「消去権」（第17条）は、組織が保持しなければならないドキュメントから個人データを編集する必要がある場合もあります。違反すると、最大2000万ユーロまたは年間世界売上高の4％の罰金が科される可能性があります。

HIPAA。 保護されるべき健康情報は、治療以外の目的で開示される前に非識別化する必要があります。「セーフハーバー」方法は、前述の18の識別子すべてを削除する必要があります。罰金は違反あたり100ドルから50,000ドルです。

裁判所の命令。 裁判所は、公の提出書類で未成年者の氏名、企業秘密、情報提供者の身元、および封印された資料の編集を日常的に命じます。不遵守は、侮辱罪、事件の却下、または弁護士の懲戒処分につながる可能性があります。

州のプライバシー法。 カリフォルニア州のCCPA/CPRA、バージニア州のCDPA、コロラド州のCPA、および同様の州法は、GDPRに似た義務を課しています。消費者データリクエストに応答する組織は、開示前に第三者の情報を編集する必要があります。

実際の編集ツールを使用してください。 テキストの上に図形を描くだけでは何も編集されません。テキストはファイルに残ります。基盤となるコンテンツを削除するツールを使用してください。
毎回確認してください。 編集領域のテキストを選択しようとしたり、削除されたコンテンツを検索したり、別のアプリケーションでテストしたりしてください。
処理中にドキュメントを保護してください。 ツールがPDFをサーバーにアップロードする場合、機密ドキュメントはサードパーティサーバーに置かれます。PDFSubのPDF編集ツールはブラウザでドキュメントを処理します - ファイルはデバイスから離れません。

編集を間違えるコストは、露出したSSN、漏洩した医療記録、開示された企業秘密、そして数百万に達する規制罰金です。正しく行うコストは、数分の時間です。

PDFSubのPDF編集ツールを7日間無料でお試しください、機密コンテンツが永久に消去されたことをご自身で確認してください。