デジタル証拠の識別

これは、具体的なデジタル証拠のデータにアクセスし、データの内容を覚知する過程のことをいいます。デジタル証拠の発見の過程ということもできるでしょう。この過程には、どこに、またはだれのもとにデータがあるかという探索の問題も含めて考えることができます。

この識別の過程は、

(1)探索の過程

(2)アクセスの過程

(3) データ認識

(4)同一性判断の過程

にわけることができます。

 技術的な論点

この識別の論点については、以下のようなものがあります。

(ア)探索の過程

これは、どこに、誰の、どのようなデータがあるかを突き止めることをいいます。

どこにという観点からは、モバイル機器のどこにデータが存在するのかというのを突き止めることがポイントになります。

また、現代においては、モバイル機器のみならず、主たるデータは、クラウドで、仮想OSによって管理されているということもありえます。

誰のデータという点については、問題のデータについて誰がどのような権限を有するのかということになります。

もっとも、この論点については、攻撃者を突き止めるという作業もポイントになります。

攻撃者のIPアドレスをつきとめたりする作業がポイントとなります。また、攻撃者のプロファイリングなども議論されています。

また、攻撃者を突き止めた場合には、サイバーインテリジェンスの観点からは、それに対する「封じ込め」や反撃の論点も存在しています。

この点についてネットワーク法科学の分野であるということができよう。さらに、「ネットワーク法科学データおよびデータベース 」「Visual query interface 」「Network forensic data visualizers」などの手法が議論されています。

(イ)アクセスの過程

これについては、インシデントがあることを発見し、それに関する証拠の収集が問題となります。

まず、インシデントの発見という観点があります。

これついては、「侵入検知サービス」が議論されるし、また、さらに過去の事実を再現する行為を「デジタル探偵(Digital Detective )」をするということがあります。

また、実際に、法執行などの局面においては、コンピュータの捜索・押収なども、この点で議論がなされています。

具体的には、捜索の前の準備、捜索の手順(ガイドライン)、記録の重要性、実際の捜索・押収(準備、スナップショット、移動、検査)などの論点があります。

特にコンピュータの捜索・押収という論点では、「アメリカにおけるハイテク犯罪に対する捜査手段の法的側面」報告書に関与しました。これは、もともと、司法省の「「犯罪捜査におけるコンピュータ捜索・差押および電子的証拠の獲得」 というマニュアルの翻訳業務と並行してなされた作業でした。このマニュアル自体、非常によくできているものです。また、翻訳の対象は、2001年版ですが、上のリンクは、2009年版になっています。

(ウ)データ認識

この論点のもとにおいては、隠されたデータ(スワップファイル、メモリ上のデータ、ファイルスラック、消去されたファイルなど)、データ回復(リカバリー)や暗号の問題が議論されることになります。また、データのコンバージョンなどの問題もあります。このコンバージョンというのは、どのようなソフトウエア、ハードウエアなどを利用して、利用し得る形態に返還するかという問題のことをいいます。

(エ)同一性判断

これは、まさに狭義の「識別」と呼ぶこともできる問題です。

デジタル証拠をめぐる過程では、種々のコンピュータ上に種々のデータが、認識される。そのうち、どれとどれが同一であるのかを判断していくことが問題となります。

とくに正確な時間の問題が議論されることもあります。また、同一であることを技術的に認識するということがあります。cullingという技術の問題になります。

(2)法的な論点

上記の各項目ごとに対応させる法的論点を指摘することができることになります。

(ア)探索の過程

どこにデータがあるか認識するという問題については、訴訟ホールドなどの場合には、だれが、関連する情報を保有するのかということも関連します。ちなみに、この保有者をcustodianといいます。

それは、さておき、訴訟ホールドにおいては、モバイル機器、SNSに存在するデータ、クラウドに保存されているデータなどのデータのありかを確定するという問題があります。BYODなどと浮かれている新聞社があるかもしれませんが、訴訟ホールドになった場合に、識別が不十分で、制裁を受けたら、責任をとってくれるのでしょうか。

また、攻撃者を突き止めるという作業については、これをなしうる法的根拠、また、得た結果について、法執行機関に対する自発的開示が許容されるのかということが問題となると考えられます。例えば、これ自体が、通信の秘密などの観点から許されるのか、という問題があります。

また、法執行機関がなす一般的な電子的監視といわれる行為についていえば、その根拠がポイントとなります。保全との違いでふれたように、電子的監視は、通信に関するプライバシーの合理的な期待の保護との衝突の懸念もあるので、一定の場合に限って、厳重な要件のもと許容されるのが一般的な枠組みです。但し、侵害行為が発生した場合には、合理的な範囲で電子的監視が許容されるのではないかということも問題になります。この点については、また、別の機会で検討するのがいいでしょう。

サイバーインテリジェンスの観点からは、情報取得の根拠、分析とプライバシーの問題、また、サイバー戦争概念にともなう諸問題などの概念をどのように位置づけるかという論点も存在するということができます。

(イ)アクセスの過程

これに関する法的論点としては、そもそも、アクセスをなしうる法的な権限というのはなにかという問題があります。

上記で紹介した司法省マニュアルで議論されていますが、法執行などでコンピュータの捜索・押収の権限として議論されている点である。

また、 民間企業などで、従業員の企業秩序違反行為に対して企業がどのような根拠から、どのような調査をなしうるかという点もこのデジタル・フォレンジックスでの論点として認識されることになります。この点については、紹介したIPAのインシデント対応の報告書で、詳しく検討しています。

また、ここでアクセスされるデータについては、後にデジタル証拠として事実認定に使われることになります。その際には、証拠として認証の過程が正当であると評価される必要があることになります。

証拠については「許容性」「真正性」「完成性(Complete)」「信頼性(reliable)」「証明力(believable)」などの論点がありますが、そのうちの、かなりの部分は、このアクセスの過程における問題として認識することができることになります。

(ウ)データ認識の過程

法的問題としては、どの記憶媒体のどこにデータが存在するか認識するという問題があります。

現代では、仮想OSによって管理されているデータの存在という問題も大きいといえます。というのは、もし、仮想OSによって管理されているデータが、仮に、不正行為の証拠だったとしましょう。その場合に、そのデータが、どこの法域にあるのか、また、そのデータが、消去・改ざんされていないのかというのがきわめて重要な意味を持ってくるのです。しかも、仮想OSは、その仕組みから、どこにデータがあるのか、というのを把握しにくい仕組みになっています。

また、暗号の問題というのは、きわめて重要な問題です。90年代に、通信に暗号がかけられていたら、その暗号を解読できるような仕組みを社会的に構築しておかないと問題があるのではないかというのが議論されました。これらは、また、おって紹介していきますが、現代においても、きわめて重要な問題であるということができるでしょう。

また、認識の際に正確にデータを認識することなどは、証拠についての基本的なルールの問題でもあります。物証が保管され、裁判所に提出されるまでの経過が、きちんと記録され、その責任者とともに、問題がないことが検証できるようでなければなりません。「チェーン・オブ・カスティディ」として議論されている論点ということになります。

(エ)同一性判断

狭義の「識別」の問題については、むしろ、実際のeディスカバリーの実務について検討するところで諸問題を検討することになります。

特に2バイトコードの問題、略語・種々の表示の問題などが種々の困難を引き起こすということがいえます。

法的には、時間がキーポイントとなることも多く、重要な問題です。刑事的なアリバイの問題もあるでしょうし、不正競争における相手方の対するスパイ行為などとその不正性などの観点から正確な時間の記録といった問題があります。