Согласился с gbn (так +1), но я думаю, что есть еще две возможности:
Вполне возможно, что их концептуальная схема во многом совпадает с их физической схемой. Знание имен таблиц дает вам хороший старт при планировании атак SQL-инъекций.
Весьма вероятно, что их концептуальная схема не документирована. Организации, которые позволяют программистам разрабатывать свои собственные базы данных, часто не проявляют строгости в процессе проектирования баз данных, переходя непосредственно к физической реализации без какого-либо первоначального проектирования. Они могут не хотеть признать это, или они могут не хотеть тратить время и проблемы на создание концептуального документа, который никогда не существовал.
Изменить: OP прокомментировал, что организация, запрашиваемая для их концептуальной схемы, является государственным агентством. Это, на мой взгляд, добавляет еще одну вероятную возможность:
Государственные служащие не известны своей любовью к риску, и поэтому чиновник среднего звена в правительственном департаменте вряд ли выкинет шею и выпустит информацию на случай, если это может привлечь внимание или гнев кого-то еще выше по иерархии ,
Я все еще думаю, что № 2 является наиболее вероятным.