フォレンジック調査ユースケース①
デジタルフォレンジックの調査案件で多い事例に社内のハラスメント調査があります。内部通報などでパワハラやセクハラなどのハラスメント報告があった場合は、どのように対応すれば良いでしょうか。今回のコラムでは、ユースケースを紹介しつつ、デジタルフォレンジックを活用した企業のハラスメント調査方法をご紹介します。
関連記事
皆さんは「デジタル・フォレンジック」という言葉を聞いたことがありますでしょうか….続きを読む
目次
(1)ハラスメントの事例
上司であるA氏から、不当な業務指示や暴言といったパワハラを受けたとしてB氏から内部通報を受けた担当者から、A氏によるB氏へのパワハラの証拠を獲得したいという依頼がありフォレンジック調査を行いました。
(2)デジタルフォレンジック調査のためのヒアリング
①ハラスメント被害者との面談
フォレンジック調査を行うために、まずはB氏がどのような内容のハラスメント被害があったのか、またどのようなコミュニケーション方法によってA氏からのパワハラを受けていたかをヒアリングします。口頭によるものなのか、会社のメールによるものなのか、スマホのメッセージによるものなのかなど、どのような方法によるパワハラであったのかをまずはヒアリングをして、フォレンジック調査対象とすべき機器を選定します。
またヒアリングではパワハラがいつごろ行われたものなのか、どのような内容だったのかも聞き取りをして、フォレンジック調査でのデータの絞り込みのために使用する条件も確認し調査方針を策定します。
②パソコンやメール、スマホなどのコミュニケーション方法に関するヒアリング
A氏によるパワハラが会社のメールによるものだった場合、次にそのメールの保存形態をIT部門の担当者と確認します。メールデータが各従業員のPC内に保存されているのか、それともPCではなく会社のサーバに保存されているのかということを確認します。
会社のサーバにすべてのメールデータが保存されているケースであれば、IT部門にて対象者のメールデータを抽出してもらい、そのメールデータに対してフォレンジック調査を行っていきます。各従業員のPCに保存されている場合は、対象のPCのデータ保全を行い、保全したデータに対してフォレンジック調査を行っていきます。
関連記事
内部通報制度とは、企業内から不正行為や法令違反に関する通報を受け付ける窓口を設置して….続きを読む
(3)ハラスメントの証拠となるデータの保全
会社のメールデータが各従業員のPCに保存されている場合は、B氏のPCのデータ保全を行います。データ保全を行う理由としては以下の2点があげられます。
①削除データの領域も含めた保全
専用のフォレンジックソフトウェアを使用して削除領域も含めてデータ保全を行うことで、削除されたデータの復元を行うことができます。PC上でデータの削除を行った場合、HDD内の当該データそのものが削除されるのではありません。PC上で削除を行うと、まずは当該データがどこに保存されていたかという管理情報が変更され、当該データにはアクセスできなくなりますが、当該データ自体はまだHDD内に一定期間は残っています。
データを削除したあともそのままPCを使用していると、新たに作成や編集したデータの管理情報が上書きされてしまうので、削除データの復元を行うならば早期に対応することが重要です。
②ハラスメントの証拠性の担保
会社の調査担当者がB氏のPCを直接操作してA氏によるパワハラメールを抽出することも可能ですが、PCを操作している際に誤って重要な証拠データを削除してしまったり、編集してしまい日付情報が更新されてしまう危険性もあります。そのようなことを防ぐためにも、適切なフォレンジック技術を用いてデータ保全を行います。専用のフォレンジックソフトウェアを使用することで、原本データと保全データのハッシュ値を算出し、それぞれのハッシュ値が一致していることでデータの同一性を確認することもできます。
またフォレンジックソフトウェアの作業ログも作成されるので、保全作業を行った日時やPC・HDDの媒体情報などが記載されたEvidence Information and Chain of Custodyシートも作成し証拠性を担保します。
(4)保全データの調査・解析
保全したデータに対して以下の調査・解析を行っていきます。調査内容は事案によって変わってきます。今回はヒアリングの結果、パワハラの証拠となるメールを見つけるためにドキュメントレビューを行うこととなりましたので、下記の手順でドキュメントレビュー対象のデータを抽出・絞り込んでいきます。
①削除データ復元
保全したデータに対して解析用フォレンジックソフトウェアを使用して削除データの復元を行います。フォレンジックソフトウェアを使用することでごみ箱から削除したデータも復元できる場合があります。
②テキスト情報とプロパティ情報を抽出
ドキュメントレビューを行うためのレビュープラットフォームへデータをアップロードしていきます。アップロードと同時に、データからテキスト情報とプロパティ情報を抽出し、検索に使用するインデックスデータが作成されます。
プロパティ情報とはファイルの作成日時や最終更新日時といった日時情報や、作成者や保存者といった情報、またメールデータのFrom/To/Cc/Bccの情報、送受信日時や件名といった情報のことです。これらのプロパティ情報とOffice系データやメール本文のテキスト情報を抽出しインデックスデータを作成することで、キーワード検索や日付情報での絞り込みが行えるようになります。
③キーワードや日付情報などによる絞り込み
レビュープラットフォームへのアップロードが完了し、インデックスデータが作成されたら、ヒアリングによって作成した絞り込みの条件を用いてパワハラの証拠となるデータを絞り込んでいきます。
保全データにはPCに残っていた全データが格納されているので、本件とは全く関係の無いデータも多く含まれています。膨大なデータから本件の証拠となるデータを適切に絞り込んでいくためのキーワードや対象期間といった検索条件を複数組み合わせて何度も検索を行っていきます。
④レビュー
キーワードや日付情報で絞り込みを行ったファイルについて、実際にファイルの内容をレビューして確認していきます。キーワードが含まれているメールであっても、パワハラの証拠とはならないメールは除外してきます。絞り込んだファイル数が多い場合には、複数名のレビューチームを組成して、手分けしてレビューを行っていくこともあります。
(5)ハラスメント調査の結果報告
レビューの結果、A氏によるパワハラの証拠となるメールデータを見つけることができました。証拠となるメールデータの内容や、実施したフォレンジック作業全体の内容(データ保全、調査・解析、レビュー等)を裁判証拠としても提出可能な形式の調査報告書として作成する場合もあります。また証拠となるメールデータ等は、外付けHDDやUSBメモリ等に格納してデータとして納品します。
調査報告書と納品データをもとに、実施した一連のフォレンジック調査内容について直接説明するための調査報告会を担当者に対して実施し、調査完了となります。
(6)ハラスメント調査の注意点
①ヒアリングとデジタルフォレンジックの順序
内部通報を受けた際、「被通報者」、つまり不正行為やハラスメントを行ったと指摘された人に直接ヒアリングすることは避けることが望ましいです。
「不正の通報があった」「ハラスメントの心当たりは」といったことを尋ねる直接的なヒアリングだけでなく、さりげなく最近の取引状況や部下との関係を尋ねることも好ましくありません。最悪の場合は、被通報者に不審に思われ、証拠となるデータを意図的にすべて消去されてしまう可能性もあります。
②デジタルフォレンジック調査の前に端末を触らない
担当者が通報を受けた時点ですぐに自分たちで対応しようとして、端末やデータに直接触ってしまうと、「いつ」、「誰が」アクセスしたのかといった貴重なログ情報が上書きされてしまい台無しとなる恐れがあります。
もし何か不正が疑われる事案があったら、通報担当者や当該従業員の上司が何とかしようとするのではなく、デジタル情報は事実認定のための貴重な「証拠」ととらえ、そのまま保管をしてください。また可能なら触る前にフォレンジック調査の専門家に相談することです。
関連記事
【コラム】長時間労働・過労死・ハラスメント対応における証拠収集のポイント
近時、長時間労働を理由に過労自殺が生じたり、様々なハラスメントが社会問題化していることから….続きを読む
TMIプライバシー&セキュリティコンサルティングでは、TMI総合法律事務所と連携しハラスメントの調査・対応を一貫してサポートすることが可能です。
TMIプライバシー&セキュリティコンサルティング
首席フォレンジック・エンジニア
デジタルフォレンジックとeDiscoveryサービスを提供する日系ベンダーにて約12年間勤務し、第三者調査委員会対応、コンプライアンス事案における社内調査対応、米国当局調査におけるeDiscovery対応など、多くの日本企業を支援してきた。その後、国内弁護士事務所にてフォレンジックチーム立上げに携わり、第三者調査委員会や内部通報事案においてフォレンジック調査を担当した。常に高いプレッシャーのかかるフォレンジック調査の現場においても、持ち前の冷静さとポーカーフェイスを崩すことなく淡々と仕事を進め、クライアントの要求に120%の対応をすることを信条とする。