Xの過去投稿から住所・勤務先・学校が特定されるリスクと対策

「特定班」と呼ばれるネットユーザーが、過去のポスト・写真・リプライを組み合わせて個人を割り出す手法は、もはや都市伝説ではない。2019年にはアイドル女性の瞳に映った景色から最寄り駅を特定され、ストーカー被害に発展した事件が起きている。2025年にはChatGPTの画像解析モデル「o3」が、EXIFデータなしで写真1枚から撮影場所を高精度で推定できることが確認され、プライバシーリスクの構造が根本から変わりつつある。

以下では、Xの過去投稿から個人情報が特定される具体的なメカニズム、実例、そして今すぐ取れる対策を、一次情報に基づいて整理する。

Xの公式ポリシーは「個人情報の投稿」をどう規定しているか

Xはプラットフォーム規則（Rules）の中で、他者の私人情報を許可なく投稿する行為を「ドクシング（doxxing）」として明確に禁止している。対象となる情報の範囲は以下の通りだ。

"You may not post or threaten to post anyone else's private information, such as a home address or information that provides specific location, without their authorization. This includes: home address, GPS coordinates, identity documents, contact information, biometric data, medical records."

出典: X Rules — Doxxing and Privacy https://help.x.com/en/rules-and-policies/doxxing-and-privacy（最終確認: 2026-06-19）

この規定がカバーするのは「他者が投稿した私人情報」だけではない。問題なのは、自分自身が何気なく投稿した情報が、第三者によってパズルのように組み立て直されるケースだ。Xのルールは他者の情報投稿を禁じているが、ユーザー自身の投稿から情報が漏れる構造までは防いでくれない。

もう1つ重要な制約がある。Xは位置情報について「位置情報を全て削除」する機能を提供しているが、これは過去投稿に付随した位置情報メタデータのみを削除するものであり、投稿本文や画像に写り込んだ視覚情報までは消去しない。

写真1枚から住所が特定される6つの経路

Xに写真を投稿すると、プラットフォーム側がEXIFデータ（GPS座標を含むメタデータ）を自動で削除する仕様になっている。しかし、メタデータが消えても「画像内に写り込んだ視覚情報」はそのまま残る。特定班が実際に使っている経路は以下の6つだ。

• マンホールの柄：デザインは自治体ごとに異なる。足元のおしゃれなマンホール写真から「〇〇市の〇〇地区」まで絞り込まれる
• 電柱番号・街区表示板：電柱には必ず番号が記載されており、Googleマップと照合すればピンポイントで撮影場所が割り出される
• 看板・自動販売機のラインナップ：チェーン店でも店舗ごとの外観特徴や隣接建物との位置関係から店舗名が特定され、生活圏が算出される
• 反射物（窓ガラス・サングラス・瞳）：2019年のアイドルストーカー事件では、自撮りの瞳に映った景色をGoogleストリートビューで照合し最寄り駅を特定された
• 間取り・日当たり・カーテンの位置：部屋の写真から間取りを抽出し、不動産ポータルサイトと照合して物件を特定。光の入り方から階数と方角まで計算される
• 郵便物・レシート・学校のプリント：加工アプリで住所を隠しても、再加工で復元されるケースが報告されている

2025年4月以降は、ChatGPTの画像解析モデル「o3」「o4-mini」がEXIFデータなしで写真から撮影場所を推定できることが確認され、このリスクはさらに拡大している。

「OpenAIのo3、o4-miniによる画像からの位置推定が、EXIFデータを利用しないにもかかわらず高精度で可能である点が注目されている。写真の構図、背景の色味、建築様式といった情報を手がかりに、場所を高精度で推測できるモデル構造は、従来の検索エンジンにはない強みを持つ。」

出典: Reinforz Insight「ChatGPT新モデルによる画像逆検索が拡散」 https://reinforz.co.jp/bizmedia/80224/（最終確認: 2026-06-19）

発言の「パズル化」で勤務先・学校が特定される仕組み

写真だけでなく、テキストの発言も単体では无害でも組み合わせると個人を割り出す材料になる。特定班は以下の情報をクロス参照する。

• タイムスタンプの規則性：毎朝8:15に「電車遅延」の投稿 → 通勤路線と始発駅の推定
• 固有名詞の断片：「〇〇大学の近くでランチ」「△△線の快速が止まった」→ 生活圏の絞り込み
• 他SNSとのID使い回し：XのハンドルネームとInstagram/Facebook/LinkedInのアカウントが紐づくと、実名系SNSから勤務先・学校が一気に特定される
• リプライ先の分析：頻繁にやり取りしているアカウントの属性から、所属組織や学校が推測される
• 季節イベントと地域の結びつき：「地元の祭りが始まった」「〇〇花火大会の音が届く」→ 居住地域の絞り込み

学術研究でもこのリスクは実証されている。NDSS（Network and Distributed System Security Symposium）で発表された論文「LPAuditor」は、Twitterの位置情報メタデータからユーザーの自宅住所を郵便アドレスレベルで特定できることを示し、既存手法を18.9%〜91.6%上回る精度を達成している。

"We demonstrate how our system can pinpoint users' key locations at an unprecedented granularity by identifying their actual postal addresses. Our evaluation on Twitter data highlights the effectiveness of our techniques which outperform prior approaches by 18.9%-91.6% for homes and 8.7%-21.8% for workplaces."

出典: NDSS 2019「Please Forget Where I Was Last Summer: LPAuditor」 https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_01A-6_Drakonakis_paper.pdf（最終確認: 2026-06-19）

この論文が特に警告しているのは、ユーザーが正確な位置情報の公開を控える意識がある場合でも、過去の位置情報メタデータが残っている限りリスクは継続するという点だ。Xの設定で位置情報をオフにしても、過去にオンで投稿したデータはそのまま残る。

特定された後の実害：裁判例から見る法的対応の限界

個人情報が特定された後の実害は、ストーカー・空き巣・職場への嫌がらせ・学校への問い合わせなど多岐にわたる。インドのデリー高等裁判所は2024年2月、X上で匿名投稿を行った女性の個人情報が第三者によって暴露された事案について、以下の判断を示した。

"There can be no doubt that acts of Doxing if permitted to go on unchecked could result in violation of right to privacy. [...] Whatever happens online has very real life i.e., offline repercussions for a subject."

出典: Delhi High Court（SCC Times報道） https://www.scconline.com/blog/post/2024/03/06/delhi-high-court-directs-x-twitter-disclosure-subscriber-information-doxing-case-legal-news/（最終確認: 2026-06-19）

裁判所はXに対して該当投稿の削除と、加害者アカウントの加入者情報開示を命じた。しかし、この判断が示すように、被害が発生した後の法的救済は可能でも、情報が一度拡散された事実を取り消すことはできない。スクリーンショットやウェブアーカイブに残った情報は、投稿削除後も半永久的にアクセス可能な状態になる。

日本の場合も同様だ。プロバイダ責任制限法に基づく発信者情報開示請求は可能だが、請求から開示までに数ヶ月、費用も数十万円かかる。Xのログ保存期間は3ヶ月〜6ヶ月と短く、被害に気づいた時点ではすでにデータが消滅しているケースも珍しくない。

今すぐできる対策：設定変更と過去投稿の削除

対策は「今後の投稿で出さない」と「過去の投稿を消す」の2軸で構成される。前者だけでは不十分で、後者が最も効果が高い。

設定レベルの対策（再発防止）

• 位置情報をオフ：「設定とプライバシー」→「プライバシーとセキュリティ」→「位置情報」→「位置情報を追加する」をオフ。スマホ本体のGPS権限も無効化
• プロフィールから個人情報を除去：居住地、勤務先、学校名、年齢、誕生日はすべて削除対象
• 他SNSとのID使い回しを避ける：Xのハンドルネームと実名系SNSのアカウント名が同一だと、クロスプラットフォームで紐づかれる

過去投稿の削除（最も効果が高い対策）

Xの「位置情報を全て削除」機能は、過去投稿の位置情報メタデータのみを消去する。しかし、写真に写り込んだ視覚情報やテキスト内の固有名詞は消えない。これらを除去するには、問題のある投稿そのものを削除するしかない。

削除の優先順位は以下の通りだ。

1. 住所・位置情報が含まれる投稿：自宅周辺の写真、通勤経路の投稿、位置情報タグ付きポスト
2. 勤務先・学校が推測できる投稿：社内風景、制服の写真、「〇〇大学の近く」等の発言
3. 家族が写っている投稿：子供の学校名がわかる写真、家族の行動パターンが推測できる投稿
4. リアルタイムの位置情報を含む投稿：「今〇〇にいる」系の投稿。特に同日の位置情報は物理的安全リスクに直結する

数千件の投稿を手動で確認するのは非現実的だ。特定班の手法を解説した記事で述べたように、リスクは「1つの投稿」ではなく「投稿の蓄積」から生じる。だからこそ、過去の投稿を包括的に見直し、リスクのあるものを一括削除するアプローチが有効になる。

X Deleterの一括削除機能を使えば、X API経由で安全に過去投稿を削除できる。投稿一括削除の実務手順で詳しく解説しているが、レート制限（50件/15分）の自動待機、中断からの再開、削除ログの保存が組み込まれている。

「消す」が最も確実な自衛手段

Xのポリシーは他者によるドクシングを禁止しているが、自分自身の投稿から情報が漏れる構造までは防げない。設定変更で「今後は出さない」ようにしつつ、すでに公開済みの過去投稿を削除することが、住所・勤務先・学校の特定リスクに対する最も確実な対策だ。

情報が一度拡散されると、法的対応にも時間と費用がかかるうえ、スクリーンショットやキャッシュから完全に消去することは不可能になる。デジタルタトゥーのリスクでも説明したように、予防的削除は事後対応よりも常にコストが低い。

まずは自分の過去投稿にどのような情報が含まれているかを確認し、リスクの高い投稿から順次削除していく。この地道な作業が、住所・勤務先・学校の特定に対する最も効果的な防衛になる。