2023年11月9日(木) 13:30~14:30に開催されたセミナーをコラム化した記事になります。

営業秘密情報の持ち出し事案におけるデジタル・フォレンジック調査の活用

今回のコラムでは、実際に、営業秘密の持ち出し事案が発生した際にどのようにデジタルデータの証拠を収集して、分析、調査していくか、また、その調査結果を踏まえて、どのような実態が見えてくるのかを簡単に説明したいと思います。

１．ユースケース〜退職者による営業秘密情報の持ち出し

営業秘密持ち出し事件の発生

今回のユースケースとしては、T社の営業部長であったA氏が昨年退職して、T社の競合であったW社に転職しました。その後、T社の既存顧客から、T社との契約を取りやめて、新たにW社と契約する話が相次いだという実情がありました。

この契約の取りやめが相次いだので、T社としては、退職の際にA氏がT社の営業秘密情報を持ち出して、転職後にW社でその営業秘密情報を利用しているのではないかという疑いを持ちました。

そこでT社は、フォレンジック調査を行って、営業情報を持ち出したという形跡をつかめないかと考えました。

２．フォレンジック調査での証拠の収集と分析

データの保存状態、コミュニケーションツールのヒアリング

調査の第一段階としては、まず、ヒアリングを行います。具体的には事案の詳細に加えて、社内で営業秘密情報をどのように保存していたのか、ファイルサーバーに保存していたのか、顧客管理システムやクラウドに保存していたのか、という点を確認していきます。

また、社内外でのコミュニケーション方法の確認も重要となります。主にパソコンのメールが使われているのか、それともチャットツール（例えば、TeamsやSlackなど）が使用されているのか、私物のスマートフォンでのやり取りもあったのかどうかも確認します。

このようなヒアリングを通じて、フォレンジック調査を行う対象機器を選定していきます。

また、関係者についてもヒアリングを行い、A氏と同行して外出することが多い社員や、A氏と仕事上の関係が深い社員がいるかどうかも確認します。これらのヒアリングを行った後、調査対象を選定したら、実際にデジタルデータを保全していきます。

• 社内における営業秘密情報の保存方法について
  • ファイルサーバ
  • クラウドサーバ
  • CRM（顧客管理）システム
• 社内・社外でのコミュニケーション方法について
  • PCメール
  • チャット（Teams、Slack等）
  • 私物スマートフォン（LINE、SMS等）
• 関係者について
  • A氏と営業同行することが多かった社員
  • A氏と付き合いの長かった社員
  • T社とW社のマーケットにおける競合関係

データ保全

今回のケースではヒアリングの結果、営業秘密情報は顧客管理システムに保存されているということでしたので、そのシステム管理者に依頼して、A氏による操作ログ情報やアクセス履歴などの情報をダウンロードしてもらいました。

また、コミュニケーション方法としては会社貸与PCでのメールで行われているとのことだったので、会社貸与PCのデータとメールデータを保全します。

T社の場合は、従業員が退職する際に必ずPCのデータとサーバのメールデータを保全するという方針であったので、A氏が退職時に保全されていたデータと、合わせてMicrosoft 365にアーカイブされたメールデータを受け取りました。

今回のケースではスマートフォンは調査対象となりませんでしたが、私物のスマートフォンや機器が調査対象となる場合は、本人の同意を得た上で調査を進めます。

• サーバ
  • CRM（顧客管理）システムの管理者IDを利用してログ情報をダウンロード
• 会社貸与PC
  • 会社貸与PCは退職時に保全済み
  • Microsoft365にアーカイブされたメールデータを受領
• スマートフォン
  • 私物ならば本人の同意が必要

実際にデータの保全と収集が完了したら、次は調査と解析に移ります。

調査・解析

保全したデータに対して調査・解析を行っていきます。

まず顧客管理システムのログ情報を解析していきます。A氏のアカウントによるログイン履歴や、ダウンロード履歴などを調査します。また、パソコンからUSBメモリなどを使用してデータをコピーしたかどうかの調査や、インターネットアクセス履歴、クラウドストレージへのアクセス履歴、ファイルのダウンロードやアップロード履歴の調査も行います。

さらに、会社のパソコン自体の起動ログや、アプリケーション実行履歴などの調査も行います。また、A氏がW社とのやり取りをしていたメールの調査や、他の従業員の関与の調査も行います。

• CRMシステムのログ情報解析
  • A氏のアカウントによるログイン日時、ファイルのダウンロード履歴
• USB媒体接続履歴調査
  • USBメモリ等にデータをコピーしたかどうかの調査
• インターネットアクセス履歴調査
  • クラウドストレージへファイルをアップロードしたかどうかの調査
• 会社貸与PCの起動ログ調査
  • 業務時間外にデータを持ち出したかどうか
• メールレビュー
  • A氏がW社と接触していた形跡
  • 他の営業部員の関与の有無

３．フォレンジック調査結果を踏まえた実態把握

フォレンジック調査の結果

このような調査を行った結果、A氏の不審な行動が分かってきました。

まず、顧客管理システムのログ情報を解析した結果、A氏のアクセス履歴が休日にも関わらず記録されており、さらにファイルをダウンロードした履歴が抽出されました。

T社では会社貸与のパソコンは、社外への持ち出しはできない方針でしたが、休日のアクセス履歴があったということからA氏が私物のパソコンから顧客管理システムにアクセスした可能性が浮かび上がりました。

また、USBの接続履歴調査では、A氏が退職する数か月前から特定のシリアル番号を持つUSBメモリーを頻繁に接続していたことがわかりました。これらのUSBメモリーは会社で管理されているものとシリアル番号で照合したところ該当するUSBメモリーはなかったため、 A氏が私物として使用していたものである可能性が高まりました。

インターネットアクセス履歴の調査では、クラウドストレージへのアクセス履歴は見つかりませんでした。また、会社貸与パソコンの起動ログの調査では、業務時間外や休日のアクセスログや起動ログは抽出されませんでした。

この結果により、A氏が休日に顧客管理システムにアクセスしていたのは、私物のパソコンを使用していた可能性が高まりました。メールレビューの結果からは、直近1年間でA氏がW社と会食などの行動を頻繁に行っていたことがわかりました。

さらに、W社との会食の前後にUSBメモリーの接続履歴や顧客管理システムからのファイルダウンロード履歴が記録されており、営業情報のW社への持ち出しやコピーの可能性が高まりました。

さらに、A氏の部下であるF氏が、A氏とW社の外食に頻繁に同席していたことが明らかになりました。他の社員からの情報によれば、F氏も数ヶ月後に転職する予定であり、A氏との関係が疑わしい状況が浮かび上がりました。

• 会社貸与PCの起動ログ調査
  • 業務時間外や休日にPC起動履歴は抽出されず
  • A氏が休日にCRMシステムへアクセスしていたのは私物PCを使用していた可能性が高まる
• メールレビュー
  • A氏が直近１年間で頻繁にW社と会食を行っていたメールのやり取りを抽出
  • W社との会食をした日の前後に、USBメモリの接続履歴とCRMシステムからファイルダウンロード履歴があり、営業情報をW社へ渡していた可能性が高まる
  • A氏の部下であったF氏が、A氏とW社の会食に頻繁に同席していたことが明らかになり、他の社員からの情報によるとF氏も数か月後に転職する予定があるとのこと

このように、1つのフォレンジック調査結果だけでは調査の実態が分からないこともありますが、複数のフォレンジック調査結果を組み合わせることでより確度の高い証拠が得られることをご紹介いたしました。

追加調査

また、これまでのフォレンジック調査結果を元に、T社はA氏及びW社への追求が行われます。

休日にも関わらず私物のパソコンから顧客管理システムへのアクセスやUSBメモリーを使用したことから、A氏及びW社に営業秘密の持ち出しがあったという疑いが持たれています。

今回は営業秘密情報の持ち出し事案におけるフォレンジック調査の活用事例をご紹介しましたが、横領や談合、ハラスメントなど、様々な不正事案に対してフォレンジック調査は有効です。

フォレンジック調査のアプローチ方法や費用などにつきましては、下記のお問い合わせフォームからお気軽にご連絡ください。