【コラム】フォレンジック活用による、パワハラの証拠収集

フォレンジック調査ユースケース①



 1.事案の概要

 上司であるA氏からパワハラを受けたとして、B氏から訴えのあった人事部から、A氏によるB氏へのパワハラの証拠を獲得したいという依頼がありフォレンジック調査を行いました。





 2.ヒアリング



 フォレンジック調査を行うために、まずはB氏がどのようなコミュニケーションでA氏からのパワハラを受けていたかをヒアリングします。口頭によるものなのか、会社のメールによるものなのか、スマホのメッセージによるものなのかなど、どのような方法によるパワハラであったのかをまずはヒアリングをして、フォレンジック調査対象機器を選定します。
 会社のメールによるものだった場合、次にそのメールの保存形態を確認します。メールデータが各人のPCに保存されているのか、それともPCではなく会社のサーバに保存されているのかということを確認します。会社のサーバにすべて保存されているケースであれば、IT部門にて対象者のメールを抽出してもらい、そのメールデータに対してフォレンジック調査を行っていきます。各人のPCに保存されている場合は、対象のPCのデータ保全を行い、保全したデータに対してフォレンジック調査を行っていきます。
 またヒアリングではパワハラがいつごろ行われたものなのか、どのような内容だったのかも聞き取りをして、フォレンジック調査でのデータの絞り込みのための条件も確認し調査方針を策定します。


 3.データ保全

 会社のメールデータが各人のPCに保存されている場合は、B氏のPCのデータ保全を行います。データ保全を行う理由としては以下の2点があげられます。

①削除データの復元
 専用のフォレンジックソフトウェアを使用して削除領域も含めてデータ保全を行うことで、削除されたデータの復元を行うことができます。PCでデータの削除を行った場合、HDD内の当該データそのものが削除されるのではありません。PCで削除を行うと当該データがどこに保存されていたかという管理情報が変更され当該データにアクセスできなくなりますが、当該データ自体はまだHDD内に一定期間は残っています。削除した以降もPCを使用していると、新たに作成や編集したデータの管理情報が上書きされてしまうので、削除データの復元を行うならば早期に対応することが重要です。



②証拠性の担保
 B氏のPCを直接操作してA氏によるパワハラメールを抽出することも可能ですが、PCを操作している際に誤って重要な証拠データを削除してしまったり、編集してしまい日付情報が更新されてしまう危険性もあります。そのようなことを防ぐためにも、適切なフォレンジック技術を用いてデータ保全を行います。専用のフォレンジックソフトウェアを使用することで、原本データと保全データのハッシュ値を算出し、それぞれのハッシュ値が一致していることでデータの同一性を確認することもできます。
 またフォレンジックソフトウェアの作業ログも作成されるので、保全作業を行った日時やPC・HDDの媒体情報などが記載されたEvidence Information and Chain of Custodyシートも作成し証拠性を担保します。


 4.調査・解析

 保全したデータに対して以下の調査・解析を行っていきます。



①削除データ復元
 保全したデータに対して解析用フォレンジックソフトウェアを使用して削除データの復元を行います。フォレンジックソフトウェアを使用することでごみ箱から削除したデータも復元できる場合があります。

②テキスト情報とプロパティ情報を抽出
 現存しているデータと復元したデータからテキスト情報とプロパティ情報を抽出し、検索するためのインデックスデータを作成します。プロパティ情報とはファイルの作成日時や最終更新日時といった日時情報や、作成者や保存者といった情報、またメールデータのFrom/To/Cc/Bccの情報、送受信日時や件名といった情報のことです。これらのプロパティ情報とメール本文のテキスト情報を抽出しインデックスデータを作成することで、キーワード検索や日付情報での絞り込みが行えるようになります。

③キーワードや日付情報などによる絞り込み
 インデックスデータが作成されたら、ヒアリングによって策定した絞り込みの条件を用いてパワハラの証拠となるデータを絞り込んでいきます。保全データにはPCに残っていた全データが格納されているので、本件とは全く関係の無いデータも多く含まれています。膨大なデータから本件の証拠となるデータを適切に絞り込んでいくためのキーワードや対象期間といった検索条件を複数組み合わせて何度も検索を行っていきます。

④レビュー
 キーワードや日付情報で絞り込みを行ったファイルについて、実際にファイルの内容をレビューして確認してきます。例えばキーワードが含まれているメールであっても、パワハラの証拠とはならないメールは除外してきます。絞り込んだファイル数が多い場合には、複数名のレビューチームを組成して、手分けしてレビューを行っていくこともあります。


 5.報告



 レビューの結果、A氏によるパワハラの証拠となるメールデータを見つけることができました。証拠となるメールデータの内容や、実施したフォレンジック作業全体の内容(データ保全、調査・解析、レビュー等)を裁判証拠としても提出可能な形式の調査報告書として作成します。また証拠となるメールデータ等は、外付けHDDやUSBメモリ等に格納してデータとして納品します。
 調査報告書と納品データをもとに、実施した一連のフォレンジック調査内容について直接説明するための調査報告会を人事部に対して実施し、調査完了となります。


 6.まとめ

 調査内容や獲得証拠を明確にするためにまずはヒアリングを実施します。そのヒアリングの内容に応じて、調査機器を特定し、獲得すべき証拠に応じた適切なフォレンジック調査を実施していきます。デジタルデータは改変や削除が容易なので、調査は時間との勝負となります。どのような調査が行えるかまずはご相談ください。