企業不祥事・国際訴訟における事前・事後対策セミナー

8月24日に大阪で「 企業不祥事・国際訴訟における事前・事後対策」というタイトルで

セミナーを開催しました。
不祥事セミナー.jpg

金融庁におけるインサイダー取引に対する罰則強化の動きや、米国連邦民事訴訟規則

の改正の動きなど、企業を取り巻く法的リスクが高まっている中で、最近の事例を踏
まえた具体的な事前・事後対策を各分野の専門家がご紹介するという内容で行いました。
山口利昭弁護士とAOSテクノロジーズの佐々木隆仁社長と上智大学特別研究員の北村
浩先生が講師として、以下の内容で話をしていただきました。
・企業不祥事と社内調査の進め方
~社内調査委員会外部支援の経験から~
山口利昭先生(山口利昭法律事務所 弁護士)
山口利昭先生には、社内調査委員会などで企業を外部から支援したご経験を元に
企業不祥事と社内調査の進め方を具体的に話していただきました。
山口利昭弁護士.jpg
不祥事に対して自浄能力が求められる企業が具体的に、リスク管理の視点から何をして
いけばいいのか、役員の訴訟リスクにどう対処すればいいのか、社内調査をどうすすめて
いいのかなどのポイントを具体的にご説明されていました。
また、社内調査にフォレンジックを活用することでどういう成果が上がっているかなどを具
体的な事例を交えて講演されていました。
内部不正に対して効果のある対策として、経営者は、重要情報が特定の職員のみがアク
セスできるように管理する仕組み作りが一番大事だと考えているが、従業員は、社内シス
テムの操作の証拠が残ることが一番大事だと考えているなど、従業員と経営者で大きな
意識ギャップがあり、不正対応で重要になるのは不正の痕跡を見つけるデジタルフォレン
ジック調査である。
しかし、実際にフォレジック調査では、証拠改竄、証拠削除などのも起こるため、専門業者
と協業して調査をしていくことが必要となります。
また、弁護士の観点から社内調査行う上で人権への配慮も大事であるというお話もいただ
きました。
・インサイダー取引などに対する、デジタルデータ証拠調査方法の具体的ノウハウ
佐々木隆仁(AOSテクノロジーズ株式会社 代表取締役社長)
佐々木隆仁社長2.jpg
AOSテクノロジーズの佐々木隆仁社長からは、今年に入って、大手証券会社からの情報漏
れにより発生したインサイダー取引が次々と摘発されており、このままでは投資家の日本市
場離れを招きかねないということで金融庁は、インサイダー取引の罰則強化について議論を
開始し、関連法案を来年の国会に提出しようと準備を進めているというお話や、現行の金融
商品取引法では、インサイダー取引を行なった者に情報を伝達しただけでは罰則の対象に
ならなったものが、相次ぐ不祥事の再発防止のために、米国や欧州連合のように情報漏洩
も罰則の対象に加えることを検討しているという動きがある。このような動きを受けて、
インサイダー関連の情報漏洩の予防対策はどのように実施すればいいのか、実際に問題が
発生した場合の調査はどのように行えばいいのかを、デジタル証拠データ復元技術などを
ご紹介しながら、具体的にご説明いただきました。
インサイダー取引に関連する情報漏洩対策としては3つの対策がある。
1)不用意なデータは、抹消ソフトを使って、完全に抹消する
データは、削除されていても復元されることがあります。不要なデータは、
専用の抹消ソフトを使って、定期的に抹消する。
2)ログ管理ソフトを導入して、パソコン、スマホの利用状況を記録する
操作ログの記録を取ることで、不正調査を迅速に行うことが可能となり、
記録されていることを従業員に告知することで不正抑止効果も期待できる。
3)情報漏洩防止ソフトを社内のシステムに導入する
機密ファイルのアクセス制限、コピー防止などの機能を備えた情報漏洩防止
ソフトを導入することで、情報漏洩を防止する
・知財・民事の海外訴訟対策(eDiscovery対策) 
~ “Predictive Coding”によるコンプライアンス・ビッグデータ対応の視点~
上智大学の北村先生からは、eディスカバリの最新手法となるPredictive Codingについて
お話していただきました。
北村浩先生.jpg
日本企業は、米国・欧州での有事の際に生じる経営リスクを極力抑制するために、行政当局、
裁判所や訴訟相手からのeDiscovery(電子情報開示)について効果的な対策を講じることで、
コンプライアンス情報の管理力を発揮することが必須になっています。その中でも、これまで
高コスト負担であった人間系主体の作業、特に、文書レビューについて、いかに可視的な効果
を導くかが問われており、eDiscovery対策の変革を示すことが重要になっています。
有事の追跡対象となるコンプライアンス分野の膨大な社内文書について、eDiscoveryにおける
リーガルレビューの前処理として、”Predictive Coding”(予測符号化)を適用することで、有事に
関係する文書を重み付け、種別ごとに分類し、レビューの工数減
と品質確保を支援するリーガル
テクノロジーを紹介します。この手段によるeDiscoveryの推進が、レビューのコスト軽減と一定
以上の均質化によって、経営リスクの評価をより容易にし、有事対策の有力な手段として活用
を検討する企業がなぜ増加しているのかをご講演されました。
当日は、非常に多数のお客様にご参加いただき、誠にありがとうございました。
開場の様子.jpg
申し込み総数が定員をオーバーしたため、急遽、開場を大きなものに変更しましたが、
それでもご参加できない人が多数おりましたので、急遽、追加でセミナーを開催すること
といたしました。
——————————————————————
講演:
【大阪開催無料セミナー】
      企業不祥事・国際訴訟における事前・事後対策
——————————————————————
日時:
平成24年09月14日(金) 13:30~17:30 (受付開始13:00)
——————————————————————
場所:
[大阪]TKP大阪御堂筋カンファレンスセンター ホール3A
   大阪府大阪市中央区淡路町3-5-13
      創建御堂筋ビル3F・8F
【地図】
【アクセス】
・地下鉄 御堂筋線「淀屋橋駅」より徒歩3分
  地下鉄 御堂筋線、中央線、四つ橋線「本町駅」より徒歩4分
——————————————————————
講演スケジュール:
プログラム1
企業不祥事と社内調査の進め方
~社内調査委員会外部支援の経験から~
【講師】
山口利昭 氏(山口利昭法律事務所 弁護士)
プログラム2
インサイダー取引などに対する、デジタルデータ証拠調査方法の具体的ノウハウ
【講師】
佐々木隆仁(AOSテクノロジーズ株式会社 代表取締役社長)
プログラム3
知財・民事の海外訴訟対策(eDiscovery対策) 
~ “Predictive Coding”によるコンプライアンス・ビッグデータ対応の視点~
【講師】
北村浩 氏(上智大学特別研究員(Ph.D.))
——————————————————————
参加費:無料(事前にお申込ください)
——————————————————————
定員:50名
※定員制のため、満席でお受けできない場合もございます。予めご了承下さい。
※お申込み者が定員を超えた場合は、抽選とさせて頂きます。予めご了承下さい。
——————————————————————
主催:レクシスネクシス・ジャパン株式会社 ビジネスロー・ジャーナル
——————————————————————
後援:AOSテクノロジーズ株式会社
——————————————————————
▼お申込み・詳細はこちら▼
——————————————————————
同様の内容で10月5日に東京でもセミナーを開催する予定です。

第9回 情報セキュリティEXPO【春】

 

2012年5月9日(水曜日)~11日(金曜日)に東京ビッグサイトにて

 

開催された第9回 情報セキュリティEXPO【春】に出展しました。
 
 
 
isexpo_01.jpg
 
 
AOSのブースでは、証拠復元、フォレンジックなどのe法務ソリューションを展示しました。
isexpo_03.jpg
近年、日本企業が海外で訴訟に巻き込まれる事例が増加しています。
 
あらかじめ法務的視点のもとにデータ管理をしておくことで、eディスカバリー(電子情報開示)への
 
的確な対応が可能となります。
 
AOSではPCやスマートフォンの現存するデータだけでなく、故意に削除・捏造されたメールなどの
 
データを復旧・復元し、詳細にデータを解析をします。
 
資料の印刷記録などあらゆるデータの証拠調査をし、企業・官公庁における裁判準備、
 

判例:電子ディスカバリーの対応ミスによる、巨額の制裁金

弁護士が訴訟の対象となり、電子ディスカバリーが注目されたケースをご紹介します。
Moreno v. Ostly, No. A127780, 2011 WL 598931 (Cal. Ct. App. Feb. 22, 2011)
Alison MorenoさんはThomas Ostly弁護士の下で働くパラリーガル(法律事務職員)でした。何らかの理由でOstly氏はMorenoさんを解雇したのですが、Morenoさんは「Ostly氏が解雇した理由は、彼との恋愛関係を続ける事を拒否したのが理由」というセクハラ訴訟を起こしたものです。実際この2人は一時期恋愛関係があったようです。
結果から述べると陪審員はMorenoさんへ「Ostly氏に対して155万ドルの賠償金を支払え」との評決をしました。
何故こういう結果になったのでしょうか…
今回のケースで被告側は、関連するメールやテキストをディスカバリーする為にMorenoさんのコンピュータと携帯電話のデータ提出を要求しました。
原告側は対象となる電子データの範囲が広すぎると拒否をしましたが、裁判所は電子ディスカバリーの必要性を認め、コンピュータと携帯電話の提出を要請。その電子データを調査しましたが、コンピュータ内に存在する電子メールにはディスカバリーの対象となる期間のものは存在しませんでした。
また携帯電話は対象期間以降に発売された機種だったのです。つまり原告側から提出されたコンピュータや携帯電話には本訴訟に関連する電子データを何も発見する事が出来なかったのです。
原告側は「現在所有しているコンピュータと携帯電話の提出を求められたのでそれに従ったまで」と回答。被告側から「本訴訟に関連のある期間中に被告は何台のコンピュータと携帯電話を所有していて、それらはどこにあるのか?」と追求され、原告側はしぶしぶ対象期間中にMorenoさんが2台の携帯電話を所有していた事実を明らかにしたのです。
但しその2台の携帯電話は提出が出来ないとの事。1台は破棄されて残りの1台が「不明」との説明でした。裁判官が「どうして最初からこの2台の携帯電話が存在する事を明らかにしなかったのか?」という問いに対し、原告側は「弁護士・依頼者間の秘匿特権」が理由としました。
裁判官は原告側の供述は信用が出来ず、また電子ディスカバリーの証拠開示が不十分として、原告側に被告側の弁護士費用の$13,500の支払いを命じました。その後Ostly氏はMorenoさんを名誉毀損でカウンター訴訟し、最終的に陪審員はMorenoさんに155万ドルの損害賠償をせよという評決を下したのです。
今回のケースは原告側の弁護士が「電子ディスカバリーにおける証拠開示」を甘く見ていたようです。
米国での訴訟では、両サイドの弁護士が「Meet & Confer」という以下のようなプロセスを踏んで、電子ディスカバリーのルール決めをします。それに際して担当弁護士はクライエントの電子データのポリシーに関して十分調査しておく必要があり、企業側もそれに対応出来る体勢になっていなければなりません。
1) 電子データの保存及び破棄のポリシー
2) アクセス可能なデータと不可能なデータの把握
3) 訴訟ホールドとその通達への準備(証拠改ざん防止)
4) 関連電子データが紛失もしくは破棄されていないか
それ以外に訴訟に対して:
1) 訴訟予算の推定
2) 電子データコレクションの期間、種類、サイズを特定
3) 電子データコレクションの方法を決定
4) 重複文章の排除
5) 提出用のアウトプット方式
6) データが収集できなかった際のプラン
などの戦略的な訴訟対応をすべく電子ディスカバリーへの対応をしておく必要があるのです。
企業活動をしている以上、訴訟を避けることは出来ません。企業にとって電子ディスカバリーは大変重要なビジネスプロセスとなっています。

コピー機内のデータもe-Discoveryの対象となるか?

コピー機や多機能プリンターには、ハードディスクドライブが内蔵されています。
先頃、中古コピー機内のHDDを取り外してフォレンジックツールで調査したところ、過去にコピーされた文書データが続々と検出された、というセンセーショナルなTV報道がありました。
それでは果たして、コピー機のハードディスクに保存された記録も、電子証拠開示(eディスカバリー)、訴訟ホールド(Litigation Hold)の対象となるのでしょうか?
コピー機のハードディスクには、印刷、コピー、スキャンなどのために一時的に文書データが記録されるため、フォレンジックツールで復元される可能性があることは確かだと言えます。
しかし現実的には、最近のほとんどのコピー機は印刷ジョブが終わると自動的にデータが抹消されるようになっており、訴訟ホールドの対象としてコピー機のデータを保全できる可能性は非常に限られているのが実情です。また、コピー機で保全できなくとも、オリジナルデータを作成したPC側のHDDを保全できるケースが殆んどでしょう。
訴訟に関連しうる全ドキュメントやデータを他から区別して、改ざんや破棄、隠匿されないように確保する「訴訟ホールド」。訴訟ホールドの対象となるデータが適切であることは、最も重要なeDiscovery対策のひとつです。今後、コピー機以外にも、身近なデジタル機器で訴訟ホールドの対象となりうるものが増えていくでしょう。訴訟コストを適切に抑えるためにも、何のデータを対象とすべきか、正確な判断が求められます。

IDFが「証拠保全ガイドライン第1版」公開

デジタル・フォレンジック研究会(IDF)から「証拠保全ガイドライン第1版」が公開された。

電磁データを、その証拠としての信頼性を保ちながら収集、取得、保全するフォレンジックの手続きについてのガイドラインである。海外(欧米)の保全手続きを参考に、日本国内の特殊事情や関係者からの意見を反映してまとめられた労作である。

eディスカバリーのような法的制度のない日本では、まだまだ電磁的証拠の扱いにはばらつきがある。しかし、このガイドラインの「趣旨」にもあるように、日本のデジタルフォレンジックの必要性・有用性がますます高まることは必須だ。今回の策定は、将来への大きな一歩と言えるだろう。

—以下、「趣旨」より抜粋引用—

この電磁的証拠の収集・取得・保全に関し、運用上の課題は「取得の対象となるデータはどの範囲であるべきか」、「保全した証拠の原本同一性の保証はどの程度確実にするべきか」の2つである。

デジタル・フォレンジックの歴史が比較的浅い我が国においては、未だに広く認識された標準的な取得手続きのガイドラインが存在しない

来年の期末には新版発行予定とのことで、実際にフォレンジックに関与する企業や担当者が広く参照することにより、運用を通じて改良されていくことが期待される。

IDF(特定非営利活動法人デジタル・フォレンジック研究会)

NISTが開発する、新しい携帯電話用フォレンジックツール

NIST(the National Institute of Standards and Technology/アメリカ国立標準技術研究所)より、携帯電話のフォレンジクスツールについてレポートを発表した。

それによれば、NISTは、犯罪科学捜査用のモバイルフォレンジック(鑑識)ツールに関する新技術を開発した。初期の実験で既に、従来の手法より簡単かつ高速に、より厳密な査定が可能になるという結果が得られている。

携帯電話は、各個人のコミュニケーション状況についての主要な情報源の一つであり、いつ、どこで、誰と、どのような会話やテキストメッセージを交わしているか、などの情報を携帯電話から取得できる。
大多数の携帯電話には、IMという小さなチップカードが内蔵されており、利用者(Subscriber)の各種利用履歴などが記録される。SIMカードには、電話の発着信情報、テキストメッセージの内容、アドレス帳、電話会社の情報などが蓄積されている。その中の情報をすべて引き出して、事件発生時の利用履歴や関連情報を洗い出していくことがフォレンジック技術者の仕事だ。

しかし、収集した情報が正式証拠とされるためには、フォレンジックソフトウェアの使用適合性が正式に認証されている必要がある。この新しいツールの査定には、新しいコマンド言語を学ぶ必要もあり、まだ非常に多くの労力を要する状態だ。NIST技術者は、多くのフォレンジック鑑識官のテスト使用、そして多くの検証を経た後には、将来的にはオープンソース化も視野に入れているようである。

犯罪捜査におけるモバイルフォレンジックの重要性は高まる一方だが、コンピュータフォレンジクスとは異なり、国やメーカー、そして機種ごとに大きく仕様が異なることが捜査の障害となる例も多い。
日本におけるモバイルフォレンジックツール、フォレンジック調査に関しては、Japan Forensic Instituteまでお問合せいただきたい。

マルウェアが着せた汚名 - フォレンジックで無実を証明

現代社会では、事件・犯罪調査において、PC内のデータが決定的な証拠とされることも多い。  
しかし、ごく稀に 「データがある=(イコール)証拠」と考えてはいけない事例がある。

そのようなケースでは、適切なコンピュータ・フォレンジックを実施しないことで、無実の人を犯罪者と誤認してしまう危険すらある。 今後は、一見シンプルに見える事件についても、フォレンジックは必須となっていくのかもしれない。
最近アメリカで、マルウェア(悪意のあるプログラム)によって犯罪者の汚名を着せられたケースが報道され反響を呼んだ。
マサチューセッツ州職員だったMichael Fiola氏は、2年前のある日、児童ポルノ犯として逮捕された。多額のインターネット料金を不審に思った上司と技術者の調査により、Fiola氏が使用していた州配布PCから大量の児童ポルノ写真が発見されたためだ。

さらに読む

デジタル・フォレンジック・コミュニティ2008 in TOKYO

12月15日(月)~12月16日(火)に東京で開催されたデジタル・フォレンジック・コミュニティ2008
が開催されました。

AOSForensic0.jpg

会場には、多数の専門家が集まりました。

AOSForensicTool.jpg

AOSブースでは、フォレンジックツールを出展しました。

AOSForensic1.jpg

多数のご来場、誠にありがとうございました。

ガンホー元従業員による不正アクセスの賠償訴訟、550万円で確定

ガンホー元従業員による不正アクセスの賠償訴訟、550万円で確定

 オンラインゲームのガンホーの元従業員の不正アクセス事件で、被告の元従業員は、IDを不正に利用して、同社オンラインゲーム「ラグナロクオンライン」へアクセスし、不正に得た仮想通貨を売却し、
約5800万円の利益を得ていたという。同社は、元従業員の行為により信用毀損や機会損失など発生したとして約7486万円の賠償を求めていたが、賠償額550万円で確定した。賠償額が被害額の10分の1という金額で判決が確定しました。

 手で触れないもの、目に見えないものを過小評価するのは、日本人の民族性かもしれません。今回の判決は、バーチャル世界に対する日本法曹界の評価を象徴的に表している結果といえるのでしょう。デジタルデータ(=手で触れないもの、目に見えないもの)を過小評価する風潮が、バーチャル世界での犯罪を助長することになっているなら、そのような意識は変えていかないといけませんね。

個人情報が安全に保護されていると考える人は8%~US調査

 アメリカ人のうち、企業、銀行、政府等が管理する個人情報が安全だと考えている人は8%にすぎない~とCAは報告しています

 世論調査によると、22%が個人情報を盗まれた経験があり、48%が知人が個人情報を盗まれたという話をきいたことがあるとのこと。

 CAによると、大多数の消費者は企業や政府がオンラインセキュリティ及びプライバシー保護改善に対し、十分な投資を行っていないと考えているようです。

 ・企業のオンラインセキュリティ及びプライバシー保護に対する投資が不十分である:72%

 ・政府のオンラインセキュリティ及びプライバシー保護に対する投資が不十分である:68%

 ・金融機関のオンラインセキュリティ及びプライバシー保護に対する投資が不十分である:58%

 この調査を裏付けるかのように、アメリカのセキュリティ企業幹部の32%が自社のセキュリティへの投資が不十分と認めています。

 CAによると、セキュリティ攻撃の脅威が外部から内部へと変化しており、機密データを保護するため、ID管理やアクセス管理のための製品を導入する企業が増加しているとのこと。