残業中のインターネットアクセス履歴やファイルアクセス履歴を調査した事例

残業時間中の勤務実態を把握するには?

従業員が勤務時間中にインターネットを私的に閲覧する時間は、毎日30分にのぼるといわれています。このようなパソコンの私的利用は、上司の監督が及びづらい残業時間中に行われる場合が多いです。
インターネットの閲覧などパソコンの私的利用が著しい従業員に対しては、懲戒処分、解雇及び退職金の減額の措置を検討する必要があります。もっとも、これに対し従業員から不当解雇を理由とする従業員の地位確認訴訟や未払い残業代請求訴訟などを提起される場合も少なくありません。
このような場合には、企業としては残業時間中の職務怠慢の事実を反論として主張することが有効です。そのため従業員の勤務実態を裏付ける証拠を収集することが重要になります。

従業員のPCのHDDを保全し、フォレンジック調査をすることが重要

このような場合には、従業員のPCにつき直ちにフォレンジック調査を行い、不当な勤務実態を裏付ける証拠を探し出すことがポイントになります。
フォレンジック調査は、単に削除されたデータの復旧にとどまるものではなく、証拠価値を最大限維持しつつ証拠を収集する調査です。そこで、調査に際しては、通常のデータ復旧に比べ高度な技術及び法的知見が必要であり、専門家が行わなければなりません。

フォレンジック調査の内容

不当な勤務実態を裏付ける証拠を発見し確保するためには、以下のような項目の調査が有効です。

  • インターネットアクセス履歴の調査
    いつ、どのサイトにアクセスしたかを調査することで、残業時間を含む勤務時間中のインターネットの私的利用の有無を把握できます。
  • ファイルアクセス履歴の調査
    残業時間中の、ワードやエクセルなどオフィスで作成された業務に関連するファイルへのアクセス履歴を調査し、いつ、どのファイルにアクセスしたかを調査します。業務に関連するファイルへのアクセス頻度が低い場合には、PCの私的利用を疑わせる事情になります。
  • 在籍従業員に気づかれずに上記調査を行う(現地保全作業)
    なお、調査対象者が在籍中の従業員である場合、本人や周囲の従業員に気づかれることなくPCからデータを抽出する必要があります。具体的には、オフィスに従業員がいない平日深夜や休日に調査を行う必要があります。

調査の結果

技術者が休日にオフィスへ出張し、その場で調査対象者のPCを解体し、HDDのデータを保全しました。保全後は解体したPCを元に戻し、当該従業員に気づかれることなくPCのデータを確保できました。このデータをもとにインターネットアクセス履歴を調査したところ、残業時間中に業務と無関係なサイトを閲覧している履歴が多数発見でき、その時間は毎日1時間以上にのぼりました。また、ファイルアクセス履歴を調査したところ、残業時間中に業務に関連するファイルにアクセスしている履歴はほとんどありませんでした。そこで、これらの結果を当該従業員に示したうえで、円滑に諭旨退職させることに成功しました。

直ちにHDDのデータ保全を行うことが不可欠

HDD内の削除されたデータは、PCの使用に伴って上書きされていくため、データの上書きが進行していくのに伴いインターネットアクセス履歴やファイルアクセス履歴を抽出することは難しくなっていきます。そのため、従業員のPCを調査する場合には、データの上書きが進行する前に、直ちにHDD内のデータを保全する必要があります。「保全」とは、調査対象のオリジナルのHDDと完全に同一内容のHDDを複製することをいいます。フォレンジック調査では、オリジナルのHDDではなく、複製したHDDを解析します。これによりオリジナルのHDD内のデータを書き換えることなく調査を行うことが可能になります。保全を行わずにオリジナルのHDD自体を解析してしまうと、証拠となるべきHDD内のデータの書換えが生じてしまうため、その証拠価値は大きく損なわれてしまいます。
もっとも、退職した従業員が未払い残業代請求などの訴訟を提起している場合には、当該従業員の在職中の職務怠慢の事実を主張する必要があり、そのために退職従業員が在籍していた当時のデータの確保が必要になりますが、従業員の退職後は当該PCを他の従業員が使用している場合も多く、データの上書きが進んでしまっている場合もあります。そのため、一刻も早く保全作業を行うことが不可欠です。

従業員に気づかれることなく調査をする必要性

他方で、調査対象者が在籍中の従業員の場合、本人や周囲の従業員に気づかれないように保全を行うことが必要です。自らのPCが調査されると分かれば、データ抹消ソフトなどを使用し復元調査を困難にされる場合があるため、そのような不測の事態が起こる前に、速やかにハードディスクの保全作業を完了させる必要があります。
弊社では、このような緊急の対応が必要な場合に備えて、夜間や休日など調査対象者や他の従業員のいない時間帯に技術者を現地に派遣して行う出張保全も承っております。
「保全の必要があるのは分かるが、従業員に気付かれたくない・・・」とお悩みのお客様も、ぜひお気軽にご相談ください。

ファイナルフォレンジックとは

ファイナルフォレンジックは、強力なデータ復元機能を持っており、消されてしまったデータを復元して、証拠データを抽出します。
全国の検察機関がフォレンジック調査ツールとしてファイナルフォレンジックを採用、全国の検事がこのツールを使って、デジタルデータの証拠調査を行うようになりました。

FinalForensics画面

コンピュータ・フォレンジック完全辞典

デジタル証拠を扱うためには、フォレジックの基本からツールの使用方法、実践における様々なテクニックを学ぶ必要があります。これを効率よく学習するため、コンピュータ・フォレンジック完全辞典を出版しました。

コンピュータ・フォレンジック完全辞典
デジタル訴訟の最先端から学ぶコンピュータ・フォレンジック完全辞典
Michael G. Solomon,K Rudolph,Ed Tittel ほか・著
AOS法務IT推進会・訳 佐々木隆仁、柳本英之・監修

大手企業、国家機関などのフォレンジック調査を手がける最高峰のITチームが書き下ろしたコンピュータフォレンジック専門家になるための指南書。裁判事例からコンピュータ・フォレンジックの基本、ツールの使用方法、実践における様々なテクニック、上級者となるための知識まで、犯罪調査と企業インシデント対応のどちらにとっても役に立つ、幅広い情報を紹介します。自分の理解度を確認できる復習問題付き!