すべてのメタデータを削除すべき？

いいえ。著作権やクレジットに必要な情報は残すべきです。機微情報（GPS 等）は削除し、必要に応じて置換します。

既存アセットはどう対応？

バッチで監査→自動サニタイズ→差分レビューの 3 段階移行が現実的です。

同意の撤回が発生したら？

紐付け ID から全コピーを検索し、公開/CDN キャッシュ/バックアップを順に削除。証跡を残し SLA を設けます。

画像生成AIのメタデータは？

プロンプトや生成履歴は個人・企業機密になり得ます。公開前に除去し、内部監査ログのみで保持するのが安全です。

サードパーティ CDN で ICC/メタが勝手に落ちる

最適化プロファイルでメタ削除が既定になっている可能性。法務/デザイン要件に応じ、保持プロファイルへ切替えるか、保持対象（著作権/ライセンス）だけを再注入します。

同意撤回の自動反映は？

発行IDで全コピーを逆引きし、公開/CDN/バックアップを順に削除。監査ログで SLA 遵守を証跡化します。

位置情報を完全に消せる？

EXIF/GPS を削除しても、画像内容から推測可能な場合があります。必要に応じて背景・看板の自動マスキングも併用します。

メタデータ

同意駆動の画像メタデータ・ガバナンス 2025 — プライバシーと信頼性を両立する運用

公開: 2025年9月20日 · 読了目安: 1 分 · 著者: Unified Image Tools 編集部

背景

画像は個人情報・位置情報・著作者情報などのメタデータを含みます。2025 年は「同意を中心に据えた自動ガバナンス」が標準です。本記事は運用フローと技術実装を結びつけ、収集→加工→公開→アーカイブの全工程を通した再現可能なルール作りを解説します。

原則

収集最小化（必要最小限のメタデータのみ保持）
同意の明確化（公開範囲・加工可否・二次利用）
可観測性（監査証跡・変更ログ）

実装パターン

取り込み時に exifr などで EXIF/IPTC を解析し、ポリシーマトリクスへ正規化。
公開ルートに入る直前で「消す/残す/置換」を自動判定。
クライアント側では Content-Security-Policy とオフラインキャッシュを適正化。

ポリシーマトリクス（例）

機微情報（GPS/顔ID/デバイスID）: 既定で削除。明示同意時のみ保持。
権利情報（著作権者/ライセンス）: 既定で保持。公開時に UI 表示へ転写。
連絡先/作者URL: 同意と目的限定のもと限定公開。

Next.js でのパイプライン例

import exifr from 'exifr';

export async function sanitize(buffer: ArrayBuffer) {
  const meta = await exifr.parse(buffer, { iptc: true, xmp: true });
  // ポリシー評価（例）
  const allowGps = false;
  // 実際には画像を書き戻して EXIF を除去
  return { ok: true, redacted: !allowGps };
}

CMP（同意管理）との連携

TCF v2 などのコンセント信号をサーバーで受け取り、加工方針に反映。
例えば「位置情報の処理不同意」で GPS/方位/撮影時刻の丸め/削除を適用。

// サーバー側（Edge/Node）での同意判定
type Consent = { gps: boolean; aiTraining: boolean; credit: boolean };

function decidePolicy(consent: Consent) {
  return {
    removeGps: !consent.gps,
    allowAiTraining: consent.aiTraining,
    showCredit: consent.credit,
  } as const;
}

ポリシーマトリクスの詳細

位置情報: 既定削除。イベント/報道で同意がある場合のみ保持。
連絡先/作者URL: 同意あれば UI に露出。なければ内部メタへ退避。
生成AI由来メタ（プロンプト/モデル）: 公開前に除去。内部監査に限定。
肖像権: 顔検出/特徴量の保存禁止。必要に応じモザイク等の加工を自動適用。

ストレージと保持ポリシー

原本は暗号化ストレージ（WORM で改ざん防止）。
公開版はサニタイズ済みのみ。CDN キャッシュ期限は 7–30 日で短期化。
保持年限を分類（広告用: 1 年、報道アーカイブ: 5–10 年等）。

監査/インシデント対応プレイブック

監査: 月次で n% サンプリング、逸脱は自動チケット化。
インシデント: 24–72 時間の SLA を設け、公開/CDN/バックアップの順にパージ。
監査ログは改ざん検知付き（ハッシュチェーン）で保存。

// 監査ログの例
type AuditLog = {
  inputSha256: string;
  outputSha256: string;
  removedFields: string[];
  actor: string;
  timestamp: string; // ISO8601
};

パイプライン詳細（イベント駆動）

Upload: S3 などに到着→キューイング
Sanitize: メタ抽出→ポリシー適用→画像書き戻し
Classify: 権利/同意カテゴリを付与
Publish: 署名付き URL で CDN へ配信、UI に権利表記を転写
Audit: ログ保存/可視化ダッシュボード

UI への権利表示転写（例）

function Credit({ xmp }: { xmp?: { creator?: string; license?: string } }) {
  if (!xmp) return null;
  return (
    <figcaption className="mt-2 text-xs text-muted-foreground">
      {(xmp.creator && `© ${xmp.creator}`) || ''}
      {xmp.license && (
        <>
          {' '}· ライセンス: <a href={xmp.license} target="_blank" rel="noreferrer noopener">{xmp.license}</a>
        </>
      )}
    </figcaption>
  );
}

セキュリティとプライバシー強化

EXIF サムネイル内のメタ残存に注意（本体と別に削除）。
署名付き URL / 短寿命トークンで直リンク濫用を緩和。
CSP/Referrer-Policy でメタ URL の漏洩を防止。

自動化の要点

取り込みキューで非同期サニタイズ（ユーザー待ち時間を増やさない）。
オリジンに保存するのは「サニタイズ後」のみ。原本は暗号化ストレージへ。
ログ: 入力ハッシュ/出力ハッシュ/除去フィールド/操作者/日時。

運用: 監査とログ

変更前後のハッシュと差分を保存。
ユーザー毎の同意ステータスをトレーサブルに管理。

監査の定例運用

月次でランダムサンプルを抽出し、ポリシー逸脱を検出。
公開済みアセットの逆監査（意図しない GPS/作成アプリ痕跡が残っていないか）。
インシデント時はロールバック可能なよう、ハッシュチェーンを維持。

チェックリスト

[ ] 収集最小化の原則を文書化
[ ] 同意スキーマと UI を用意
[ ] 自動サニタイズの仕組みを導入
[ ] 監査ログの保存/検索を整備
[ ] 公開 UI へ権利表示を転写
[ ] バックアップ/削除ポリシーを実装

FAQ

Q: すべてのメタデータを削除すべき？
A: いいえ。著作権やクレジットに必要な情報は残すべきです。機微情報（GPS 等）は削除し、必要に応じて置換します。
Q: 既存アセットはどう対応？
A: バッチで監査→自動サニタイズ→差分レビューの 3 段階移行が現実的です。
Q: 同意の撤回が発生したら？
A: 紐付け ID から全コピーを検索し、公開/CDN キャッシュ/バックアップを順に削除。証跡を残し SLA を設けます。
Q: 画像生成AIのメタデータは？
A: プロンプトや生成履歴は個人・企業機密になり得ます。公開前に除去し、内部監査ログのみで保持するのが安全です。
Q: サードパーティ CDN で ICC/メタが勝手に落ちる
- A: 最適化プロファイルでメタ削除が既定になっている可能性。法務/デザイン要件に応じ、保持プロファイルへ切替えるか、保持対象（著作権/ライセンス）だけを再注入します。
Q: 同意撤回の自動反映は？
- A: 発行IDで全コピーを逆引きし、公開/CDN/バックアップを順に削除。監査ログで SLA 遵守を証跡化します。
Q: 位置情報を完全に消せる？
- A: EXIF/GPS を削除しても、画像内容から推測可能な場合があります。必要に応じて背景・看板の自動マスキングも併用します。