労災認定(従業員側調査)
故人が使用していた自宅パソコンのデータ調査
死亡した従業員の遺族から、労災認定に関する調査を依頼されました。
ゼネコンの30代の社員が、残業し現場監督及び工事の進捗確認を積極的に実施していたところ、現場で高所から足を滑らせて転落し死んでしまいました。そこで遺族は、本人が自宅で事故の前日深夜まで仕事をしていたので、労災認定につながる証拠がないか自宅のPCを調査してほしい、としてAOSに依頼をいただきました。
オフィスファイルデータ、メールの復元などPCの使用状況を調査
まず故人が使用していた自宅PCのデータを保全したうえで、削除されたオフィスファイルのデータ及び削除されたメールの復元を行うとともに、PCの使用状況、具体的にはログオン・ログオフの情報を取得し、さらに使用していた管理ソフトなどのプログラムのログの調査を行いました。
パソコンのログオン・ログオフ情報や、エクセル・ワードなどの各種プログラムを使用していたログの解析を実施
PCのログオン・ログオフ情報や、エクセル・ワードなどの各種プログラムを使用していた記録、いわゆるログの解析により、事件直前にPCに連続して長時間ログインしている状況で、大量の文書ファイルを扱っていたという、事件直前の相当過酷な労働状況をうかがい知る資料が発見されました。
調査の結果
これらを資料として、遺族は労働基準監督署に対して労災の申請を行いました。
HDDのデータ保全を行うことが不可欠
パソコンのハードディスク内の削除されたデータは、パソコンの使用に伴って上書きされていくため、データの上書きが進行していくのに伴いファイルアクセス履歴などを抽出することは難しくなっていきます。そのため、パソコンを調査する場合には、データの上書きが進行する前に、直ちにハードディスク内のデータを保全する必要があります。「保全」とは、調査対象のオリジナルのハードディスクと完全に同一内容のハードディスクを複製することをいいます。
フォレンジック調査では、オリジナルのハードディスクではなく、コピーしたハードディスクのデータを解析します。これによりオリジナルのデータを書き換えることなく調査を行うことが可能になります。この保全作業を行わない場合は、証拠データの価値は大きく損なわれてしまいます。フォレンジック調査を行う場合には、上書きなどが進行する前に素早く保全作業を行うことが不可欠です。
ファイナルフォレンジックとは
ファイナルフォレンジックは、強力なデータ復元機能を持っており、消されてしまったデータを復元して、証拠データを抽出します。
全国の検察機関がフォレンジック調査ツールとしてファイナルフォレンジックを採用、全国の検事がこのツールを使って、デジタルデータの証拠調査を行うようになりました。
FinalForensics画面
デジタル訴訟の最先端から学ぶ
『コンピュータ・フォレンジック完全辞典』
Michael G. Solomon,K Rudolph,Ed Tittel ほか・著
AOS法務IT推進会・訳 佐々木隆仁、柳本英之・監修
デジタル証拠を扱うためには、フォレジックの基本からツールの使用方法、実践における様々なテクニックを学ぶ必要があります。これらを効率よく学ぶため、コンピュータ・フォレンジック完全辞典を出版しました。
