フォレンジック調査ユースケース③
記事一覧
デジタルフォレンジックに関する記事の一覧はこちらから
今回のコラムでは、リモートワーク時の従業員による不正な残業代請求をユースケースとして、ヒアリング時に確認する事項、データ保全時のポイント、調査・解析を行い報告するまでのフォレンジック調査がどのように進められるかを説明します。
残業代の未払い事案に対するフォレンジック調査のケースはよくありますが、反対に、過大な残業時間の実態調査にもフォレンジック調査は有効です。
目次
1.残業代の不正請求(カラ残業)事例の概要
T社の従業員であるO氏はリモートワークをしており、月に平均20~30時間の残業を行っていた。しかしO氏の所属している部署ではO氏以外の従業員の残業時間は月に平均5時間ほどであったため、O氏の過大な残業時間について人事部は疑いを持ちフォレンジック調査を行いました。
2.社内調査のためのヒアリング
フォレンジック調査を行うために、まずはO氏の上長や同僚社員から普段の業務内容をヒアリングします。O氏に過剰な業務負荷がかかっている状態なのか、ほかの従業員と比べて担当業務量が多いのかどうか、またクライアントとのやり取りは会社支給PCでのメール以外にもあるのかなどをヒアリングします。
ヒアリングの結果、O氏の担当業務はほかの従業員と比べて特別に多いということはなく、上長や同僚社員も最近はリモートワークのため普段のO氏の詳細な業務内容まではあまり分からないということでした。
クライアントとのメールではチームのメーリングリストのメールをCCに含めてメールするというルールがありましたが、O氏がそれほど大量のクライアントとのやり取りのメールをしているということもなかったため、O氏が残業時間にどのような業務を行っていたのか、O氏のPCをフォレンジック調査することにしました。
3.フォレンジック調査のデータ保全
O氏は普段はリモートワークをしていたため、会社のIT部門から「PCのメンテナンスのために出勤してPCを一晩預からせてほしい」とO氏へ依頼をしました。PC保全作業にはPC内のHDD容量にもよりますが、約3~6時間を要しますので業務を行っている日中の時間帯ではなく、終業後から翌朝の始業時間までの時間帯に保全作業を行うこともあります。
今回のケースにおいても、IT部門がO氏からPCを預かった夜間から保全作業を開始し、翌日の始業時間前までに終了させてからIT部門へPCを返却しました。フォレンジック調査の対象者本人に調査をしていることを悟られないためにも夜間のデータ保全や週末を利用してデータ保全を行うケースもあります。
4.証拠を見つける調査・解析
保全を行ったデータに対して以下の調査・解析を行っていきます。
①アプリケーション実行履歴調査
保全したデータに対して解析用フォレンジックソフトウェアを使用してアプリケーション実行履歴の調査を行います。この調査ではメールソフトやワード・エクセルなどのOffice系ソフトがいつ起動していたかという履歴を調査できます。
調査の結果、O氏のPCではほかの従業員と比べてワード・エクセルなどのアプリケーション実行履歴が特別に多いということはなく、逆に比較的少ないという結果が確認できました。
②インターネットアクセス履歴調査
保全したデータに対して解析用フォレンジックソフトウェアを使用してインターネットアクセス履歴の調査を行います。業務に無関係なサイトの閲覧があるかどうか確認します。調査の結果、日中の時間帯及び残業時間中にも業務とは無関係なサイトの閲覧や動画サイトへのアクセス履歴が確認できました。
③PCの起動ログ調査
O氏のアプリケーション実行履歴がほかの従業員と比べて少ないという調査結果から、O氏のPC起動ログ調査を行いました。調査の結果、O氏がリモートワークをしていた際に、定時の終業時にはPCをシャットダウンしていたにもかかわらず、残業していたとして残業申請を行っていた日が複数回確認できました。
④メールレビュー
O氏のメールをレビューしたところ、クライアントと個別にメールでやり取りをしていたということも確認されず、O氏がほかの従業員と比べて大量のメールのやり取りをしていたために残業時間が多くなったのではないということが確認できました。
5.フォレンジック調査の報告
それぞれのフォレンジック調査結果を突合すると、O氏の長時間の残業時間は不適切なものである疑いが高いということをT社へ報告を行いました。またそれぞれの調査結果と調査報告書をT社へ納品し、それらの調査データをもとにT社はO氏へ聞き取りを行いさらなる追求をすることにしました。
6.まとめ
昨今のリモートワークの普及により、従業員の勤怠管理はこれまでよりも難しくなっている状況にあります。これまでであれば会社内でほかの従業員がどのような業務を何時まで行っていたのかを直接見ることができていましたが、リモートワークではそれもできません。「うちの社員がそんなことをするはずはない」と思いたい気持ちもあると思いますが、フォレンジック調査を行うことで裏付けとなる証拠を見つけだすこともできます。
関連記事
皆さんは「デジタル・フォレンジック」という言葉を聞いたことがありますでしょうか….続きを読む
TMIプライバシー&セキュリティコンサルティング
首席フォレンジック・エンジニア
デジタルフォレンジックとeDiscoveryサービスを提供する日系ベンダーにて約12年間勤務し、第三者調査委員会対応、コンプライアンス事案における社内調査対応、米国当局調査におけるeDiscovery対応など、多くの日本企業を支援してきた。その後、国内弁護士事務所にてフォレンジックチーム立上げに携わり、第三者調査委員会や内部通報事案においてフォレンジック調査を担当した。常に高いプレッシャーのかかるフォレンジック調査の現場においても、持ち前の冷静さとポーカーフェイスを崩すことなく淡々と仕事を進め、クライアントの要求に120%の対応をすることを信条とする。