フォレンジックに関する記事一覧はこちら
近時、長時間労働を理由に過労自殺が生じたり、様々なハラスメントが社会問題化していることから、今回のコラムでは、長時間労働やハラスメント事案における事実認定やデジタルフォレンジックを活用した効果的な証拠収集のポイントなどについて解説していきます。
1.企業における長時間労働及びハラスメント対応の実情
(1)長時間労働について
前提として、まず、平時においては、労務管理を行う部署で従業員の労働時間を適切に管理・把握し、残業過多を解消するための措置を講ずる必要があります。
一方で、有事には、
- 内部通報などを通じて記録がされていないサービス残業があるとの申告を受ける
- 従業員から訴訟などで残業代請求を受ける
- 労働時間の過多を理由として過労死を招いたり、うつ病などの精神疾患に罹患したりしたことなどを理由とした労災申請を受ける
といったことが起こり得ます。
これらの場合、企業の立場としては、まず、事実確認が必要であることに加え、裁判や労災の調査との関係では、証拠をもって、長時間労働を否定することができるかが重要になります。
もっとも、実際の裁判などの場面では、主に証拠不足が原因で、必ずしも企業が把握している通りの事実が認定されない場合もあります。
例えば、労働時間の認定について、労災や裁判実務では、労働者側からタイムカードや入退館記録などにより一定の立証がなされてしまうと、これを覆す別の客観証拠が無い限り、企業側の反証は認めてもらえないことが多いです。
また、リモートワークの普及により、稼働していない時間が労働時間として記録されてしまうリスクも増しており、実際、タイムカード上の記録では深夜までの時間外労働が記録されている一方で、
例えば、
- (ある日は)夕食のために離席した時間が長時間にわたっている
- 就業時間中にSNSやネット動画の視聴を行っている
などの事情を立証できたとしても、長時間の離席が1日だけであったり、SNS投稿が一部見つかったり、という程度では、労働時間の認定を大幅に減らすことはできません。
また、メールなどを手作業でさかのぼることによる客観証拠の収集も、そのような作業がリソースの観点から難しく、企業側で立証活動を断念するケースもあります。このように、長時間労働がないことを立証するのは困難な側面もあるのが実情です。
そこで、デジタルフォレジンックを活用して、従業員が申告した残業時間と実際の残業時間が異なることを立証するために、パソコンの起動時間のみならず、Webサイトへのアクセス履歴、アクセス時間やパソコン内の各アプリケーションの起動ログ、各ファイルの編集履歴についても相関的に分析・調査することが可能となります。
関連記事
【コラム】リモートワークにおける従業員による残業代「不正請求」
リモートワーク時の従業員による不正な残業代請求をユースケースとして、ヒアリング時に確認する事項……続きを読む
(2)ハラスメント対応について
ハラスメントは、密室で行われることが多いため、その行為の存在が被害者の供述、又は、録音などの証拠によって裏付けられることが通常です。
もっとも、実際にハラスメントがあったか否かが争われるケースにおいて、ハラスメントが行われた時点の社員間のやり取りのみではなく、社員間の継続的な関係をデジタル証拠を踏まえて事案を分析すると、被害者の供述や録音から推認される事案とは違った事実関係が見えてくることがあります。
例えば、パワハラが問題となるケースでは、パワハラに該当する叱責行為の録音が証拠の決め手となりますが、パワハラであると主張される発言について、録音がなく、パワハラを受けたと主張する社員の供述が唯一の証拠であり、しかもパワハラをしたとされる上司の供述と真っ向から食い違うことがしばしばあります。
この場合には、どちらの供述が、実際に体験した者でなければ語ることのできないほど具体的で、迫真性に富んでいるかという観点から、供述の信用性を判断します。
このように、ハラスメントの調査対応の場面でも、特にハラスメント行為についての供述のみに依拠することなく、前後の経緯や背景事実などについてデジタル証拠に基づく事実認定を行う必要性は極めて高いと考えられます。
そこで、デジタルフォレジンックを活用して、ハラスメントが問題となるケースでは、特定の従業員同士で行われたメールなどのやり取りの中から、ハラスメントが行われているメールを抽出する作業を行うことがしばしばあります。
デジタルフォレンジックにより、従業員が削除してしまったメールやファイルの復元を行いつつ、関連するドキュメントをレビューし仕分けるための専用ツール(レビュープラットフォームと言います。)を利用することで、特定のワードを含むメールやオフィスファイルの抽出、一定の宛先のメールアドレスとのやり取りを効率良く一覧化して抽出することが可能になります。
関連記事
デジタル・フォレンジック調査において一番やってはいけない対応としては、「対象機器(原本データ)を直接触る」ことだと思います。……続きを読む
2.証拠収集におけるデジタルフォレンジックの活用等
以上のように、効率的な証拠収集とその選別のための証拠収集の場面では、当事者の供述のみならず、デジタルフォレンジックを活用することが重要となります。
これらのデジタルフォレジンックの技術やツールは、実際に紛争などが表面化した有事に活用することが特に有用です。近時は、多くの企業でコンプライアンス意識が向上し、長時間労働やハラスメントについて適切な対応を行う取り組みがなされています。
関連記事
デジタル・フォレンジックにおけるパソコンやスマホの削除データ復元について
今回はパソコン上でデータを削除した場合にどのような処理が行われていて、削除データの復元はどのように行うのかということを解説したいと思います。……続きを読む
一方で、証拠収集や、事実調査の不備により、企業として不本意な結果を招いてしまうケースも少なくないため、コンプライアンス体制の構築の次のステップとしては、デジタルフォレンジックの活用も視野に入れた、企業としての対応精度の向上を目指していくべきだと考えています。
TMIP&Sでは、長時間労働(過労死)やハラスメント事案が発生した際のフォレンジック調査をはじめ、これらを検知・防止するための平時のフォレンジック調査も可能ですので、お気軽にご相談ください。
関連記事(外部サイト)
TMIプライバシー&セキュリティコンサルティング 代表
TMI総合法律事務所 パートナー弁護士
日本企業のサイバーインシデント対応およびデータ利活用・EUデジタル規制対応の双方に特化した国内でも数少ないIT・プライバシー法務の専門家。日本企業のサイバー危機対応およびデータ規制分野における第一人者の一人として上場企業、グローバル企業を含む多数の企業を支援している。
クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバーセキュリティ分野における法務を専門とする。
主な専門領域:
- 企業へのサイバー攻撃・情報漏えいインシデント対応
- 個人情報保護法に適合したDMP/CDP導入支援
- GDPR、EUデータ法、EU AI法、サイバーリジリエンス法対応
- 国内外データ保護規制に基づくセキュリティアセスメント
セキュリティISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省情報セキュリティタスクフォース委員を歴任。
主な実績:
【サイバー攻撃・情報漏えいインシデント対応(有事対応)】
- 初動調査・ディレクション: インシデント発生時の初動調査支援や、フォレンジック調査のスコープ決定、業者選定のディレクション
- トリアージと被害拡大防止: 被害状況の初動把握(トリアージ)を行い、システム稼働停止の判断や二次被害防止のアドバイス
- 第三者委員会の組成・運営: 外部の情報漏えい事故調査委員会や再発防止委員会の組成、および委員長への就任
- 当局および対外対応: 個人情報保護委員会への速報・確報、警察への被害届出、プレスリリース作成、記者会見の支援まで総合的サポート
- 法的手続・被害回復: インシデントに伴う損害賠償請求、ベンダへの責任追及、刑事告訴などの法的措置
【データ利活用・プライバシー対応支援】
- 高度データの利活用支援: 人事・顧客データに加え、Cookie、バイタルデータ、生体情報データ、IoT、AI等の利活用における適法性評価
- 匿名加工情報の評価: ビッグデータ利活用における「匿名加工手続き」の個人情報保護法適合性評価
- DMP/CDP・アドテクノロジー: アドテクノロジーやビッグデータアナリティクス分野における実務支援
【プライバシーガバナンス構築の支援】
- 体制構築・規程整備: セキュリティ管理委員会の組成、各種ポリシー、管理規程、インシデント対応マニュアル等の策定・改定支援
- リスクアセスメント: セキュリティアセスメントやプライバシーインパクトアセスメント(PIA)を通じた分析
- 教育・研修: 経営層向けのレクチャーから事業部向けのセキュリティ研修
- リスク転嫁支援: 経済的インパクトを抑えるためのサイバーセキュリティ保険の導入支援や、保険料割引のためのセキュリティ診断
【IT・先端技術の法的支援】
- 多産業分野のアドバイス: クラウド、インターネット・インフラ、SNS、アプリ・システム開発、スマートシティ等の各分野で法的助言
- 適合性評価: クラウド導入に伴う国内外の個人情報保護法、およびガイドライン等の適合性評価
【国内外の個人情報保護規制へのアドバイス】
- 国内法: 個人情報保護法、不正競争防止法、電気通信事業法等に加え、資金決済法、特定商取引法等
- 海外法・規制: EUのGDPR、米国のCCPA、およびアジア・アフリカ・南米・中東各地域の個人情報保護法への対応、EUデータ法、EU AI法、サイバーリジリエンス法などEUデジタル規制対応、海外当局対応、IGDTA(Intra-Group Data Transfer Agreement)対応
- 国際基準: PCI-DSS要件やISMS認証基準への対応、米国財務省のOFAC規制(身代金支払いに関する制裁リスク)
TMIプライバシー&セキュリティコンサルティング 執行役員
TMI総合法律事務所 パートナー弁護士
インターネット、アプリ・システム開発のトラブル、また、セキュリティインシデント有事対応に関する法務を専門とし、特に、これらのトラブルが訴訟も含めて紛争化した場合の対応業務を数多く取扱う。また、これらの有事対応の経験に基づきアセスメントを行った上でのサイバーセキュリティ体制構築支援業務にも従事する。有事の場合におけるクライアントの不安な気持ちに十分配慮しながら、クライアントに安心してもらうための充実したサービス提供の徹底を信条とする。