【コラム】フォレンジック調査のための従業員「退職前」のデータ保全

フォレンジック調査ユースケース 番外編②



最近「退職者による営業秘密情報の持ち出し事案」がニュースになることが多くあります。


このフォレンジックコラムでも「退職者による営業秘密持ち出し編」としてユースケースを紹介させていただきましたが、万が一、そのような事案が発生した場合にデジタル・フォレンジック調査を行いたいとなったとしても、調査を行えない場合もあります。


それは「データが何も残っていない、すでに消去されてしまっている」という場合です。


これは「退職者が意図的に退職前にデータを削除した」というケースだけではなく、「会社として退職者のデータを保存しておく運用をしていなかった」というケースも多数あります。


今回は「会社として退職者のデータを保存しておく運用をしていなかった」というケースについて紹介したいと思います。



関連記事

【コラム】退職者による営業秘密持ち出し
今回のコラムでは、退職者による営業秘密情報の持ち出しをユースケースとして、ヒアリング時に確認する事項、調査・解析を行い報告するまでのフォレンジック調査がどのように進められるかを説明します。複数のフォレンジック調査結果を組み合わせることで核となる証拠を見つけることができるケースもあります。……続きを読む



営業秘密持ち出しの疑い


先日、ある企業から「半年前に退職した社員がいるのだが、その社員が退職前から外部に営業秘密情報を持ち出していた疑いがあるのでデジタル・フォレンジック調査を行えないか」という問い合わせがありました。


そこでまず企業の担当者に当該社員が在籍時に使用していたPC/スマートフォン等の状況や、社内での情報管理体制についてヒアリングを行いました。


その結果、その企業では社員の退職時にはPCとスマートフォンはデータを完全に削除したうえで初期化を行い、別の従業員が再利用できるようにしていました。


またPCについては操作ログやインターネット閲覧履歴などの情報を一括で記録しておく監視ツールや監査システムは導入されていませんでした。


営業秘密情報については社内サーバに保存されていましたが、アクセスログやファイルダウンロード履歴などの情報を記録するシステムは導入されていませんでした。


このヒアリングの結果、今回の事案ではデジタル・フォレンジック調査は行えず、関係者への聞き取り調査のみを行うこととなりました。






営業秘密が漏えいの備え


上記の事案のように、「会社として退職者のデータを保存しておく運用をしていなかった」という企業は多数あると思います。


平時からPC/スマートフォン/サーバ等に対して監視ツールや監査システムを導入しておくことが望ましいですが、企業にとっては費用的負担も大きいと思います。


そこでTMIP&Sフォレンジックとして推奨しているのは、有事に備えて退職社員が使用していたPC/スマートフォンのデータだけでも保全しておくということです。



関連記事

【コラム】デジタル・フォレンジック作業の解説③「データ保全」
前回のコラムで「ヒアリング」について説明をしましたが、今回はその次に行う「データ保全」について解説したいと思います。ヒアリングによって特定したフォレンジック調査対象の機器に対して、適切なフォレンジックソフトウェアを使用してデータをコピー(保全)します。……続きを読む



退職前にデータ保全をしておけば、データを削除して別の従業員が再利用することも可能ですし、もし退職した社員が疑わしい行為をしていたとしても保全データを利用してデジタル・フォレンジック調査を行うことも可能です。


またメールデータがサーバ側に保存されるという運用ならば、退職者のメールデータを削除する前に保全や退避させておくという運用にすることも大切だと思います。


削除データの復元作業を行うためにも、専用のフォレンジックソフトウェアを用いて適切な手順でデータ保全を行う必要がありますので、お気軽にお問い合わせいただければと思います。