メールやオフィスファイルを復元し退職従業員の情報漏えいを調査した事例
情報漏えいの有無・流出先を見つけるには?
退職従業員が会社の営業秘密や製品情報を持って新会社を設立したり、これらを手土産に競合他社に転職したりするケースは非常に多いです。このような場合、企業としては損害賠償請求、販売の差止め及び刑事告訴(不正競争防止法違反等)を行うことが可能です。
もっとも、この際には、流出経路や漏えいした情報を特定することが必要になりますが、退職従業員はPC内のデータを削除している場合が多く、証拠の収集は難しい場合が多いです。
退職従業員のPCのHDDを保全し、フォレンジック調査することが重要
このような場合には、退職従業員のPCにつき直ちにフォレンジック調査を行い、情報漏えいの証拠を探し出すことがポイントになります。
フォレンジック調査は、単に削除されたデータの復旧にとどまるものではなく、証拠価値を最大限維持しつつ証拠を収集する調査です。そこで、調査に際しては、通常のデータ復旧に比べ高度な技術及び法的知見が必要となり、専門家が行わなければなりません。
フォレンジック調査の内容
情報漏えいの証拠を発見し確保するためには、以下のような項目を調査する必要があります。
- メールおよび添付ファイルを復元。
機密情報に関するファイルをメールに添付し外部に送信することで情報漏えいが行われたことが疑われる場合には、この調査が有効です。 - ファイルアクセス履歴調査およびUSB接続履歴調査
ファイルアクセス履歴(アクセス先のファイル名およびアクセス日時)及びUSB接続履歴(接続されたUSB機器のシリアルナンバーおよび接続日時)を調べ、両者を照合することで、いつどのファイルがUSB機器にコピーされたか把握することができます。 - オフィスファイルの復元
退職従業員は情報を流出させた後に当該ファイルを削除する場合が多いため、削除されたファイルの復元調査を行うことが有効です。
調査の結果
上記3点の調査により、流出した機密情報を特定し、その流出先や流出経路を把握することができ、調査対象となった退職従業員が会社にとって重要な機密情報を流出させた有力な証拠を提出することで、訴訟を有利に展開できました。
直ちにHDDのデータ保全を行うことが不可欠
このようなフォレンジック調査によって証拠を確保する場合には、まずHDDのデータを保全する必要があります。「保全」とは、調査対象のオリジナルのHDDと完全に同一内容のHDDを複製することをいいます。フォレンジック調査では、オリジナルのHDDではなく、複製したHDDを解析します。これによりオリジナルのHDD内のデータを書き換えることなく調査を行うことが可能になります。
保全を行わずにオリジナルのHDD自体を解析してしまうと、証拠となるべきHDD内のデータの書換えが生じてしまうため、その証拠価値は大きく損なわれてしまいます。
退職従業員のPCの保全作業は初期化の前に行うことが重要
フォレンジック調査にはデータの保全が必要ですが、重要なのは保全のタイミングです。
削除されたデータは、データの上書きがされてしまうと復元ができなくなります。そのためデータ保全は上書きが生じる前に行わなければなりません。もっとも、退職従業員による情報漏えいは退職後かなりの期間が経ってから発覚する場合がほとんどであり、その時点ではすでに当該PCは初期化され、次の従業員が使用していることも少なくありません。したがって、この時点ではすでにデータの上書きが生じている場合が多く、データを十分に復元することができないおそれがあります。
そこで、退職従業員のPCについては、「退職時に必ず保全を行う」という運用を行うことで、将来情報漏えいの疑いが生じた場合のフォレンジック調査に備えることが可能です。ただ、退職者が発生するたびに社内にて保全作業を行うことは困難であり、また調査会社に逐一保全作業の見積もりを依頼することも現実的ではありません。
このような観点から、弊社では「退職者PC保全サービス」をご提供しており、退職従業員のPCについてまとめておとくな料金にて保全サービスをご提供しております。詳しくはお気軽にお問い合わせください。
ファイナルフォレンジックとは
ファイナルフォレンジックは、強力なデータ復元機能を持っており、消されてしまったデータを復元して、証拠データを抽出します。
全国の検察機関がフォレンジック調査ツールとしてファイナルフォレンジックを採用、全国の検事がこのツールを使って、デジタルデータの証拠調査を行うようになりました。