リーガレックス合同会社

コラム

コラム一覧14.デジタル・フォレンジックス(各論)「COC」

14.デジタル・フォレンジックス(各論)「COC」

2020.05.12

今回は、これまで説明してきたDFの手順全般を通して重要な手続きである、COCchain of custody)について解説したいと思います。

chain of custodyとは、DF作業における「それぞれの段階とそこから次の段階に移る際に行われた作業の、場所、日時、内容等をはじめとして、詳細な履歴を文書に残しておくことで、証拠の真正性に疑義がないことを証するもの」とされています。(安冨潔・上原哲太郎編著 特定非営利活動法人デジタル・フォレンジック研究会著『基礎から学ぶデジタル・フォレンジック』(日科技連、2019年、P.187))

COCのステップを分解すると、DF対象データの保全元となる対象物の授受に関する項目と、対象物からどのようにデータ保全を行ったのか、どのような媒体にデータを保全したのかといった具体的な作業に関する項目の二つに分けられます。前者は、対象物の収集に関して、対象物の所有者から許諾を得ているという記録を残す必要があり、所有者(主に調査対象会社の担当者)から作業者(DF業者)へ受け渡す際や、作業者から所有者に返却する際にサインをもらう必要があるためです。後者は、技術的に専門性が高い記載となるため、前者とは別に作業上の記録として残しておき、最終的な報告書作成時に活用することが一般的です。

COCには、作業対象機器類の情報や作業結果、作業担当者や実施日時だけでなく、複製先ハードディスクがどこでどのように保管されていたかを記録しておく必要があります。また、データ収集時の収集データのハッシュ値を記録しておくことで、データ収集の実施者以外でもハッシュ値によって複製元と複製先のデータが完全に一致していることの検証が可能となります。このCOCは複製先ハードディスクと一緒に保管されることが通例であり、ハードディスクと一緒に保管されているCOCを参照すれば、DF担当者が変わってもDFの作業内容や対象物の授受に関する手続きを確認できるようになります。

COCは、法執行機関でのDF作業なのか、民間でのDF作業なのかにかかわらず、世界中で共通して行われている手続きです。このことから例えば、大型の不正や不祥事件で、民間でのDF調査が行われた後、警察や検察が刑事事件として再度調査する場合にも、COCを参照し保全データを再度検証することで、DF調査として引き継ぐことができるということになります。逆に、証券取引等監視委員会や公正取引委員会等が立ち入り調査を行い、その後、対象会社による調査委員会が立ち上がった場合に、データとCOCの引継ぎにより、DF調査を引き継ぐことができるということになります。このような引継ぎは国をまたいで行われることもあり、DF作業では必ずCOCを作成することが重要といえます。