2022年6月、兵庫県尼崎市の全市民46万人の個人情報が入ったUSBメモリーが一時紛失した問題で、紛失した人物が業務を再々委託している企業であったことが発覚。11月28日の調査報告書にて紛失報道の直後から市民のみならず市外居住者からも問い合わせや苦情が殺到し、通常業務に支障が出たことや、本事案が尼崎市のイメージダウンにつながり、本来不要な経費などが発生したことを理由に、委託していた情報システム会社に対し、損害賠償請求を行うと発表しました。調査報告書では、一時紛失していたUSBからは個人情報が漏えいしていないとデジタル・フォレンジック調査にて結論付けられています。昨今の情報漏洩事件や経済事件などは必ずと言っていいほどにパソコンや電子データが絡みます。そしてそれらを解析して得られた証拠により立証、立件されるケースが数多く報告されています。このフォレンジック調査が企業内の不祥事や不正の解明にも使われつつあり、電子文書やEメールの送受信履歴などが復元されて、その証拠を元に懲戒解雇や損害賠償請求に至るケースも報告されるようになりました。（2023/01/31更新）

この記事では、フォレンジック調査で何ができるかの解説とともに、実際に利用された事件や不祥事の数々の事例によりどんな場面で活用できるのかの理解を深めていただきます。

 

フォレンジック (forensic) は本来、「法廷の」「法医学的な」「科学的捜査の」といった意味で、もともとは警察の科学捜査の現場で使われてきた言葉です。
特にコンピュータやそれに準じる機器類によるデジタル犯罪立証のための電磁的記録の解析技術及びその手続きのことをデジタル・フォレンジックと呼びます。

 

操作やデータが記録保存される電子機器類の大半がフォレンジック調査の対象となります。

① パーソナルコンピュータ
② サーバー
③ 外部記憶媒体（外付けHDD、USBメモリ、SDカード、DVD、フロッピーディスク等）
④ 携帯電話（ガラケー）
⑤ スマートフォン
⑥ タブレット端末
⑦ デジタルカメラ

　　　 　　　 

掛けられる時間と費用によっては解析できるものとできないものがありますが、下記のような情報は概ね解析・読解が可能です。上司に見せたくない顧客からのクレームメールや意図的に作成してしまった虚偽の報告書などを、削除しゴミ箱を空にしても無駄だということです。

① Eメール送受信記録と文面、添付ファイル
② 各種アプリケーションで作成されたドキュメントファイル
③ 操作ログファイル
④ SNS通信記録（LINE、Instagram、Facebookなど）
⑤ 画像ファイル
⑥ ログオン・ログオフ情報
⑦ WEB閲覧記録

　　　  

かつてパソコンのハードディスクにドリルで穴を開けた国会議員の関係団体がありましたが、このレベルの物理的破壊をすればデータの復元は相当に困難になるようです。
一方でディスクそのものに破損が無ければ解析は以下に列記したようなケースで可能となります。

① 通常の保存状態
② 削除しゴミ箱を空にした状態
③ ケースや駆動機能が破損した状態
④ 水没した状態
⑤ 初期化してしまった状態

 

日本のフォレンジック調査の歴史は、パソコンの普及の進展と歩みをほぼ同じくしていると言えます。90年代にマイクロソフト社のWindowsが爆発的なヒットをしてビジネスにおけるパソコンの利用が急速に進みました。このことにより、それまで不正解明やビジネス犯罪での証拠はもっぱら紙類であったものから、パソコン・フロッピーディスク・USBメモリ・スマートフォンなどを押収して解析しなければ証拠が得られない状況になったのです。

 

『犯罪に悪用された電子機器等に保存されている情報は、犯罪捜査において重要な客観証拠となる場合があることから、犯罪捜査の現場では、電磁的記録の解析が必要不可欠となっています。このため、警察庁では、犯罪の立証のための電磁的記録の解析技術やその手続、すなわちデジタルフォレンジックに係る取組の強化を行っています。』

これは警察庁のホームページで紹介されているフォレンジック調査への警察の取り組みを紹介した一文です。
前述しましたとおり、フォレンジック調査は警察の科学捜査の現場で使われ始め発展してきました。
現在では犯罪捜査においてフォレンジック調査は極めて重要なツールになっているのです。

 

2010年 (平成22年) 9月に発覚した、障害者郵便制度悪用事件での大阪地検特捜部による証拠改ざん及び犯人隠避事件は、各方面に大きな衝撃を与え多大な影響が及ぶことになりました。
被告人のひとりが作成したとされる障害者団体の偽の証明書に関し、作成日付が検察の捜査のもくろみに沿うように書き換えられるという証拠隠滅行為は、朝日新聞が業者に依頼して証拠品のフロッピーディスクを解析した結果判明したものでした。この事件により、電子データは容易に書き換えができるため、裁判所としては安易に証拠品として受け付けられないという方向性が明確になりました。

（解明の経緯を詳しくお知りになりたい方はこちらへ⇒　大阪地検特捜部証拠改ざん事件報道を、朝日・板橋記者と語る）

これを受けて検察は、供述頼みの捜査の見直しや客観証拠の重視に伴い「証拠の保全」が欠かせなくなり、フォレンジック調査への取り組みを強化し始めました。東京地検は上記事件から遅れること6年、2017年5月にデジタルフォレンジックを専門に扱う拠点「DFセンター」を開設しました。

 

昨今は警察や検察だけでなく、民間レベルでのフォレンジック調査の利用が広まっています。
重要データの保管から日常業務まであらゆるシーンでパソコンを使われることが当たり前になった今日、「機密情報の漏えい」や「書類の改ざん」など業務上の不正の大半がパソコン内で行われています。こうした不正・不祥事の実態解明に際し、フォレンジック調査により必要な証拠の保全が図られるため、重大インシデント発生後の素早い対応を可能にしたり、問題の根本的解決を目指したりすることが実現されます。そしてセキュリティの積極的な維持管理、不正行為の未然防止、それぞれがもつ法的権利の保全にもつながります。
こうした企業防衛・危機管理の観点から民間企業でのフォレンジック調査が広がりを見せているのです。

【事件概要】
2010年5月 夏場所開催中の週刊誌の報道により明るみに出た、大関琴光喜や大嶽親方をはじめ数十名に及ぶ力士や年寄などが野球賭博などの違法賭博に関与した事件。同年名古屋場所は中止を検討されながら開催に至ったが、大量の力士の謹慎休場処分が下され、全国系一般新聞紙で連日一面のトップで報道されるなど、賭博や維持員席問題などの大相撲と暴力団との係わりについてなど大きく関心と注目が集まった。そして、この賭博事件の捜査の過程で現役力士による八百長問題が発覚、2011年2月6日には翌月の春場所の開催が中止された。

【調査で得られた証拠】
違法賭博の捜査に際し、関係者の携帯電話を押収しEメールの削除された記録を含め送受信履歴をフォレンジック調査で解析された。力士と仲介者あるいは胴元との送受信記録が詳らかになるとともに、それらのEメールに混ざって八百長を行っているらしきやり取りがあることが判明した。
これがきっかけとなり、前代未聞の場所開催の中止にまで至る八百長事件が明るみになった。

 

【事件端緒】
襲撃や爆破・殺人の犯行予告をインターネットの掲示板に書き込んだり、Eメールで送信したとして、2012年7月から9月にかけて、東京・大阪・福岡・三重の4人の男性が逮捕された。書き込みやEメールに残されたIPアドレスを主な証拠として逮捕され、そのうちの2人は厳しい尋問と追い込まれた精神状態から事実にない容疑を認め上申書まで書いていた。

【調査とその後の経緯】
警察の当初のフォレンジック調査では、各々のパソコンに遠隔操作ウィルスの感染は確認されず、IPアドレスを頼りに捜査が進められ、対象パソコンのメール送信や掲示板書き込みの履歴が決め手となり逮捕に至っており、真犯人の策略にまんまと嵌まっての誤認逮捕となった。
10月以降5回にわたって真犯人からの犯行声明メールが送られ (その中には江の島にいる猫の首輪に証拠となるSDカードを隠したといった内容も含まれていた)、押収パソコンの再度の解析により遠隔操作ウィルスの痕跡が確認されて4人の無実は立証されていった。
最終的には保釈中の真犯人の尾行調査で河川敷に埋められたスマートフォンが発見され、そのフォレンジック調査による解析結果が最後の決定打となり事件は解決することになる。

この事件が示唆することは、国家権力が粋を集めてフォレンジック調査に取り組んでいても、その時点でネットワークやパソコンに関する知識・技術でその先を走っている民間人や法人が存在しているということ。犯罪捜査において、一面的な解析結果にだけ頼ってはいけないという警鐘になった。

 

【事件概要】
2012年12月の衆議院議員総選挙において、鹿児島2区選出の徳田毅衆院議員陣営が医療法人徳洲会グループの病院職員に報酬を支払ったうえで選挙運動をさせていたとして、東京地検特捜部、警視庁、鹿児島県警が2013年11月12日、公職選挙法違反 (運動員買収) 容疑で、毅氏の姉2人のほか、グループ幹部4人を逮捕した事件。

【調査で得られた証拠】
内偵捜査初期の段階で徳洲会グループ幹部の1人からの捜査協力を得て、容疑を裏付けるためグループ東京本部など数十カ所を家宅捜索し、パソコン・書類等を押収。
毅氏の姉のパソコンのフォレンジック調査による解析で、消去されていた裏金明細書データ・現金配布先の資料などが復元され重要な証拠として事件解明に繋げられた。

 

【事件概要】
2015年9月30日、二軍本拠地の読売ジャイアンツ球場での練習直後にある不動産会社の元社員が所属選手の福田聡志選手のもとへ借金百数十万円を取り立てに来たことをきっかけに明るみに出た問題。福田の他、笠原将生、松本竜也、高木京介ら3選手の関与も判明し、選手資格のはく奪や刑事処分として、笠原選手に執行猶予付きの禁固刑、他3選手には罰金刑などが課された。

【調査で得られた証拠】
4選手は携帯電話での賭博に関するやり取りを削除していたため追及を逃れられるとみていたのか事情聴取に対して嘘の供述をしていたが、投票メールなど賭博に関するEメールが復元され関与が立証された。

 

【事件概要】
2017年1月7日、朝日新聞社が報じた学校法人森友学園に対する国有地の売却に関する事件。同校の名誉校長は安倍晋三元首相の妻・昭恵氏であったことから、国会にて野党によって追及された。
翌2018年3月2日、朝日新聞社より「森友文書　書き換えの疑い」が報じられ、2016年6月の売買契約の当時の文書に記載されていた『特例』などの文言が、疑惑が発覚した2017年2月に財務省から提出された文書からは削除または改ざんされているというものであった。

【調査で得られた証拠】
決裁文書改ざん問題で、改ざんは大阪地検特捜部が実施したデジタル・フォレンジック調査によって、判明しました。財務省は改ざん後の文章を特捜部に提出していたが、パソコン内に残されたデータを復元し、貸付決議書や売払決議書など14の文書の改ざんが見つかりました。財務省は「森友学園案件に関わる決裁文書の改ざん等に関する調査報告書」と幹部ら20名の処分について公表するに至りました。（2023/01/31追記）

 

【事件概要】
2016年タイトル戦3番勝負の対局中に将棋ソフトを不正に利用していたのではないか、という告発をされたM棋士が約3カ月間の出場停止処分を受けた事件。

【調査とその後の経緯】
公益社団法人日本将棋連盟は第三者委員会を立ち上げ、実際に不正行為が行われたのか、連盟の出場停止処分が妥当であったのかを検証するために調査を行った。
これに際し、M棋士から提出された電子機器 (スマートフォン2台、デスクトップパソコン3台、ノートパソコン3台、タブレット端末1台) をフォレンジック調査により解析を行い、少なくともこれらの機器を使って、対局の最中 (休憩時間などを含む) にスマートフォンで直接将棋ソフトを操作したり、通信機能で遠隔地にあるパソコンを操作したり、第三者に差し手に関する情報提供を受けたりしていた事実は確認できなかった。

この報告を受け当時の連盟会長・常務理事の辞任、他3理事の解任などの処分が行われる将棋界全体を揺るがす大問題となった。

 

【違反発覚】
内部通報により勤務時間内での遊興を指摘された営業幹部社員Ｂへの懲戒処分に際して、状況を確認し裏を取るためにフォレンジック調査が利用された。

【調査で得られた証拠】
会社から社員Ｂに貸与されていたパソコンとスマートフォンが抜き打ちで回収されフォレンジック調査が行われた。パソコンでは服務規程違反に類する目立った情報は見つからなかったが、スマートフォンではEメールの送受信記録などは削除されていたものの、復元作業の結果、大半の送受信記録が解読され、他の社員を誘い込んで勤務時間中の麻雀店やゲームセンターでの遊興の事実が発覚。この他に本人は既婚であるにも関わらず、女性社員との不適切な異性関係も露見した。
これらの結果をもって、降格・減給の懲戒処分がくだされた。

 

【不正発覚】
退職した元営業幹部社員Dの携わった派遣社員の退職が相次ぎ、それが元で重要なクライアントの喪失が発生。後にDは同業種のE社に転職していたことが判明した。C社は派遣社員の流出やクライアントの喪失はDの仕業との疑いをもち、Dが使用していたパソコンのフォレンジック調査を実施することにした。

【調査で得られた証拠】
在籍当時のメールの送受信記録や作成されたファイルなどはすべて削除されていたが、ほぼすべての記録を復元・解析することができた。それによるとメールの送信記録には、派遣社員に対するE社への転籍勧誘の送信メールが見付かった。また、Dが設立したとみられる法人の出納帳ファイルの存在が確認され、E社からのバックマージンの入金の記録が確認された。
こうした情報からDによる派遣社員引き抜き不正のスキームが解明され、C社はDに対する損害賠償請求の法的措置に踏み切る決断をした。

 

【調査実施への動機】
不倫が原因で別居状態の夫に対する離婚申立てに際し、相談した弁護士から財産分与の面で夫の資産をしっかりと確認した方が良いとのアドバイスを得た妻。弁護士の提案で、夫が残していった夫婦共有の古いパソコンのフォレンジック調査を実施することにした。

【調査で得られた資産情報】
残されたパソコンにはログインパスワードが設定されていたが首尾よく解明でき、青色申告用の税務ソフトの存在が確認され、申告書類とともに申告用の資産情報が発見された。その中には妻に知らされていなかった別荘が含まれており、弁護士の見立てでは財産分与の対象となる不動産であることが判明した。このケースは、財産分与や債権回収における資産探しにおいて、パソコンは宝の山となる可能性を示した好例である。

 

昨今、日々のニュースで聞かない日はないのでは？というくらいに「第三者委員会」という言葉を耳にします。上場企業での不正・不祥事の場合、第三者委員会による調査報告書は公開されるのが通例ですが、「第三者委員会ドットコム」まとめの2022年開示の報告書13件のうち、じつに77％になる10件でフォレンジック調査が行われています。
不正・不祥事の実態解明において、人の証言や紙のドキュメントなどと同等かそれ以上に電子機器内に眠る電子データが動かぬ証拠として重要視されてきている証しです。（2023/01/31更新）

この記事をお読みのあなたの会社でも、貸与しているパソコンやモバイル機器が不正の温床になっているかもしれません。不正・不祥事の実態解明にはフォレンジック調査の利用を常に頭に入れておくべきでしょう。

不正・不祥事の調査はトクチョーにご相談を

社員不正の実態解明には外部の調査を使わなければならないケースが多くあります。

１９６５年創業の総合調査会社 株式会社トクチョーは

　　　※取材による素行調査
　　　※尾行調査（行動監視調査）
　　　※パソコンのログ収集、フォレンジック調査

など充実の調査メニューにてお客様の問題解決に貢献しております。

ご相談・お見積は一切費用を頂戴しておりません。

調査のご検討の際は、まずはお気軽にご相談をしてみてください。

社員不正の実態解明には外部の調査を使わなければならないケースが多くあります。

１９６５年創業の総合調査会社 株式会社トクチョーは

※取材による素行調査
※尾行調査（行動監視調査）
※パソコンのログ収集、フォレンジック調査

など充実の調査メニューにてお客様の問題解決に貢献しております。

ご相談・お見積は一切費用を頂戴しておりません。

調査のご検討の際は、まずはお気軽にご相談をしてみてください。

【この記事のダウンロード（ＰＤＦ）はこちらから】