「カラ残業」という言葉があるように、虚偽の勤務時間を申告して残業代等の時間外手当を不正受給するというケースが度々あるようです。タイムカードを不正打刻するとか、従業員同士が共謀して代理打刻するなど、実際には仕事をしていないのに勤務時間を水増しするという詐欺行為です。また、カラ残業の他に「生活残業」や「ダラダラ残業」という、わざと非効率に働いて残業代を受給するというケースもあるようです。
このような不正受給に対応する経営者や弁護士の方へ、不正行為の証拠収集および証明方法を、デジタル・フォレンジック(デジタル鑑識)の専門技術者がお教えします。
~ タイムカード不正打刻 ~
CDFP認定ホワイトハッカーが教える
証拠の収集方法 & 証明方法
カラ残業や代理打刻など
勤務時間の虚偽申告の事案に対応する
経営者/弁護士へ
勤務時間の虚偽申告は
パソコンのログで立証できます!
勤務していたならば、パソコンに何らかの操作形跡が記録されているはずです。
当社(Dr.セキュリティ®)は、PCやサーバ等を調査するデジタル・フォレンジック(デジタル鑑識)の専門企業です。上記のようなパソコンの操作形跡を調べることができます。
ログ等の証拠を解析すれば勤務の実態が分かる!
カラ残業の証明
パソコンの中にあるログ等の証拠に「仕事をしていた事」を示す形跡が無いならば、その時間は仕事をしていなかったと証明できます。
サボり/ダラダラ残業等の証明
パソコンの中にあるログ等の証拠に「仕事をしていた事」を示す形跡があるが・・・
形跡の数量が極端に少ない、
時系列の間隔が著しく広い。
または業務に無関係な操作をしているなどの場合は、非効率な勤務姿勢だったと証明できます。
形跡の数量が極端に少ない、
時系列の間隔が著しく広い。
または業務に無関係な操作をしているなどの場合は、非効率な勤務姿勢だったと証明できます。
勤務中の副業
近年では勤務中に会社の仕事ではなく「副業」をこっそりおこなっているケースが増えました。
■株やFXなど投資/投機
■文書作成やWeb制作などの副業
■転売/せどり等の副業
■株やFXなど投資/投機
■文書作成やWeb制作などの副業
■転売/せどり等の副業
証拠収集から証明までの大まかな流れ
Step 1
証拠保全
専用ツールを使用してログ等を収集&証拠保全する
単純に「コピーする」というのはダメ。専用ツールで証拠保全します。
Step 2
整理・整形
専用ツールを使用してログ等を整理・整形する
ログ等のほとんどは、無加工のままだと人間には非常に読みにくい形式のため、専用ツールで整理・整形して調査用のデータを作成します。
Step 3
突合
タイムカード等の内容とログ等を比較対照する
タイムカードでは残業していることになっているが、ログ等にも残業の形跡は残っているか、などを調べて矛盾点の有無を確認します。
Step 4
証明
報告書作成
法的な協議や裁判などに発展している場合は正式な報告書を作成します。
(報告書作成は任意です。不要な場合は省略してもよいです。)
(報告書作成は任意です。不要な場合は省略してもよいです。)
Step 1 証拠保全の方法
証拠保全は専用ツールで!
証拠保全(ログ等のデータ収集)は専用のツールを使用しておこないます。
単純にコピーするというのは不可です。その理由をご説明します。
単純にコピーするというのは不可です。その理由をご説明します。
【理由1】 勤務時間関連の調査で使用する多くのログ等は、セキュリティ機能でロックされていてコピーできない。
「右クリックでコピー」とか「Ctrl+Cでコピー」という通常のコピー操作はブロックされるので、専用ツールを使用する必要があります。
【理由2】 単純なコピーでは「証拠の改ざん」を防ぐことができない。
一部のログは通常のコピー操作ができますが、しかしそれでコピーしてデータ収集する場合ですと、コピー後のデータを簡単に書き換えることができてしまうという困った問題があります。
【理由3】 残業代請求等の法的な協議や裁判に発展した際に、話が拗れる。
一つ上の【理由2】とも関連することですが、「証拠の改ざん」が防がれていない状態の証拠ですと、いざ裁判などになったとき、相手方から『その証拠は恣意的に書き換えられている』と主張された場合、確定的な科学的根拠を持って反論することができないのでややこしい状況に陥ります。
以上のような理由から証拠保全は専用ツールを使用しておこないます。
以上のような理由から証拠保全は専用ツールを使用しておこないます。
ツールの種類
証拠保全ツールは多数のメーカー/様々な種類の製品があり、パソコンの種類・仕様や事案の内容毎に合う・合わないがありますので、案件ごとに適切なツールを選択することとなります。
ここでは、勤務時間の虚偽申告に関する調査でWindowsパソコンから証拠収集するケースを想定し、当社で使用しているツールを紹介します。
ここでは、勤務時間の虚偽申告に関する調査でWindowsパソコンから証拠収集するケースを想定し、当社で使用しているツールを紹介します。
複写ハードウェア/ソフトウェア
過去に起こった虚偽申告等を調査する場合、当社では基本的にパソコンのストレージを丸ごと複写します。その理由は、証拠隠滅等によりログが消去または改竄されているケースもあるため、残存しているログ等を見るだけでは「見落とし」が生じるリスクがあるので、より深い調査のために丸ごと複写しております。
当社では「Forensic Falcon」という装置を用いて複写するのを基本としておりますが、機器の仕様、状況、予算等に合わせて他のツールを使用することもあります。
当社では「Forensic Falcon」という装置を用いて複写するのを基本としておりますが、機器の仕様、状況、予算等に合わせて他のツールを使用することもあります。
ログ収集ツール
過去ではなく、これから起こる虚偽申告等を調査する場合、ストレージ丸ごとではなくログ等のみを複写する簡易の方法を当社では用いております。現在進行系の事象を証明することは比較的容易なので、簡易の方法で費用を抑えるほうが合理的だと当社は考えております。
ログ収集は様々な種類のツールやサービスがありますが、有料ツール等では調査コストが増え、また、案件に合わせてカスタマイズする(作り変える)こともできないため、当社では基本的に自社開発のツール「LTSログコレクター」を使用します。
ログ収集は様々な種類のツールやサービスがありますが、有料ツール等では調査コストが増え、また、案件に合わせてカスタマイズする(作り変える)こともできないため、当社では基本的に自社開発のツール「LTSログコレクター」を使用します。
長期の自動収集&保管システム
これから起こる虚偽申告等を、長期間に渡って自動証拠保全するという場合は、ログ収集ツールとNASを組み合わせたシステムを使用します。安価な市販品なら導入費用もランニングコストも大幅に抑えることができるので、僅かな投資で何年も自動収集と保管が可能です。
ログ収集の具体的な例
前述しましたが、大半の証拠はセキュリティ機能でロックされているので通常のコピーでは証拠収集できません。下の画像はレジストリDEFAULTの証拠保全の失敗例です。
写真の文字が小さいので補足しますと、レジストリをコピー&ペーストして証拠保全しようとしたところ、エラーメッセージ「Systemによってファイルは開かれているため、操作を完了できません。」と表示されてコピーに失敗しています
このようにロックされている証拠を収集するためには、特別なプログラムを走らせてロックを回避する必要があります。いわゆる「ハッキング」と言われるようなやり方です。
このようにロックされている証拠を収集するためには、特別なプログラムを走らせてロックを回避する必要があります。いわゆる「ハッキング」と言われるようなやり方です。
ホワイトハッカーでなければハッキングなんてできませんので、一般的にはログ収集ツールを使用して証拠保全します。この見本では、当社が開発したツール「LTSログコレクター」を使用します。
先程におこなったコピー操作では失敗した証拠ファイル(DEFAULT)が、上のスクリーンショット画像のとおり、ログ収集ツールに集められました。
そして、「LTSログコレクター」は収集だけでなく証拠保全も目的とするツールですので、単にログを集めるだけでなく、チェックサム用のファイルハッシュも自動計算する仕組みになっております。そのため、科学的根拠を持って完全性を証明できますので、もし法的な協議や裁判に発展した場合でも確実に証拠として用いることができます。
そして、「LTSログコレクター」は収集だけでなく証拠保全も目的とするツールですので、単にログを集めるだけでなく、チェックサム用のファイルハッシュも自動計算する仕組みになっております。そのため、科学的根拠を持って完全性を証明できますので、もし法的な協議や裁判に発展した場合でも確実に証拠として用いることができます。
証拠収集に関して要約します。
通常のコピー操作は不可なので、専用ツールを使用すること。
できれば、ファイルハッシュを自動計算するツールを使用したほうが良い。
通常のコピー操作は不可なので、専用ツールを使用すること。
できれば、ファイルハッシュを自動計算するツールを使用したほうが良い。
ツールはカスタマイズできるものを選ぼう!
ログ収集ツールを選ぶ際、「収集するデータを取捨選択または任意設定できる機能」があったほうが良いです。案件ごとに必要となるログは異なりますし、また、無駄な収集を省けばコストを抑えることができます。カスタマイズ性に優れたツールを使用すれば、下記の例のように柔軟対応できます。
【カスタマイズ例】
『調査の目的は○○だから、念のためこのログも収集しておこう。』
『このPCには特殊なアプリが入っているから、念のためこのログも収集しておこう。』
『コストを重視して収集頻度やボリュームを控えめにしよう。』
『調査の目的は○○だから、念のためこのログも収集しておこう。』
『このPCには特殊なアプリが入っているから、念のためこのログも収集しておこう。』
『コストを重視して収集頻度やボリュームを控えめにしよう。』
本記事の内容に沿って例をあげますと、勤務中のサボりを調査する場合に、「コンピュータ・ウイルスの痕跡」に関するログを取っても無駄ですので、これは省いても良いですね。
また、出勤していたかどうかを調査する場合はOSの標準的なログのみで足りるので、欲張って沢山の種類のログを取っても無駄になってしまいます。
ツールをカスタマイズして無駄を省けば、調査費用を抑えることができます。
上の例では収集を省くケースの話でしたが、逆に、収集対象に追加したほうが良い場合もあります。説明が長くなるので割愛しますが、何も考えずに標準的なログを集めるだけでは調査精度が劣ってしまう事もありますので、事案の背景やターゲットの職種などに合わせて「何を収集するべきか」を事前に考えたほうが良いということにご留意下さい。
そして設定の自由度が低いツールですと、不要なログを無駄に集めてしまうとか必要なログが取れないとか、色々と不都合がありますので、カスタマイズ性に優れたツールを選択して下さい。
当社では自社開発のツール「LTSログコレクター」を使用しております。自社で作ったものだから自由自在に作り変えられるので、まさに「痒いところに手が届く」というツールです。しかも、他社製品と違ってライセンス料金がかからないため、調査コストの抑制にもつながっております。
余談ですが、当社では中小企業から調査依頼を受けることが多く、調査費用に対する条件や要求がけっこう厳しかったりするので、当社では上記例のようにコスト抑制の工夫を少しずつ積み重ねております。
また、出勤していたかどうかを調査する場合はOSの標準的なログのみで足りるので、欲張って沢山の種類のログを取っても無駄になってしまいます。
ツールをカスタマイズして無駄を省けば、調査費用を抑えることができます。
上の例では収集を省くケースの話でしたが、逆に、収集対象に追加したほうが良い場合もあります。説明が長くなるので割愛しますが、何も考えずに標準的なログを集めるだけでは調査精度が劣ってしまう事もありますので、事案の背景やターゲットの職種などに合わせて「何を収集するべきか」を事前に考えたほうが良いということにご留意下さい。
そして設定の自由度が低いツールですと、不要なログを無駄に集めてしまうとか必要なログが取れないとか、色々と不都合がありますので、カスタマイズ性に優れたツールを選択して下さい。
当社では自社開発のツール「LTSログコレクター」を使用しております。自社で作ったものだから自由自在に作り変えられるので、まさに「痒いところに手が届く」というツールです。しかも、他社製品と違ってライセンス料金がかからないため、調査コストの抑制にもつながっております。
余談ですが、当社では中小企業から調査依頼を受けることが多く、調査費用に対する条件や要求がけっこう厳しかったりするので、当社では上記例のようにコスト抑制の工夫を少しずつ積み重ねております。
Step 2 ログ等の整理・整形の方法
無加工のログ等は人間にとって読みにくい
勤務時間の虚偽申告の案件で調べるログのうち、一部は人間でも読めるログもあるのですが、大半のログは非常に読みにくい形式で記録されています。(コンピュータにとっては読みやすいが、人間には非常に読みにくいという形式です。)
どのぐらい読みにくいか体感していただけるよう、サンプルをご紹介します。
下のスクリーンショット画像は、Webブラウザの閲覧履歴のログデータです。
どのぐらい読みにくいか体感していただけるよう、サンプルをご紹介します。
下のスクリーンショット画像は、Webブラウザの閲覧履歴のログデータです。
これは「Yahoo! JAPAN」のページを開いたときの履歴であり、赤枠部分(visit_timeの列)が日付時刻のデータです。
人間ならば ○月○日 ○時○分 というように日付時刻を理解するところ、コンピュータではこのサンプルのように数値形式で日付時刻を理解しています。
このような日付時刻の数値のことを専門用語で「タイムスタンプ」や「タイムエポック」と言います。
人間が見ても、ちんぷんかんぷんですね。
また、このデータの中に「Yahoo! JAPAN」のページであることを示す記述はありません。詳細は省略しますが、それを示す記述は別の場所のログに記録されています。つまりこのログを見るだけでは足りず、他のログと見比べながら解読しなければなりません。
このままの状態で解析を進めるのは、効率が著しく悪いですね。
そのためフォレンジック調査において通常は、ログ等のデータをいきなり分析・解析するのではなく、人間が読みやすいように整理・整形して「調査用のデータ」を作ります。
下のスクリーンショット画像は、Web閲覧履歴のログデータを人間が読みやすいように整理・整形したものです。
人間ならば ○月○日 ○時○分 というように日付時刻を理解するところ、コンピュータではこのサンプルのように数値形式で日付時刻を理解しています。
このような日付時刻の数値のことを専門用語で「タイムスタンプ」や「タイムエポック」と言います。
人間が見ても、ちんぷんかんぷんですね。
また、このデータの中に「Yahoo! JAPAN」のページであることを示す記述はありません。詳細は省略しますが、それを示す記述は別の場所のログに記録されています。つまりこのログを見るだけでは足りず、他のログと見比べながら解読しなければなりません。
このままの状態で解析を進めるのは、効率が著しく悪いですね。
そのためフォレンジック調査において通常は、ログ等のデータをいきなり分析・解析するのではなく、人間が読みやすいように整理・整形して「調査用のデータ」を作ります。
下のスクリーンショット画像は、Web閲覧履歴のログデータを人間が読みやすいように整理・整形したものです。
URL、日付時刻(人間が読める形式)、ページタイトルを一覧表示させるように整理・整形すれば、分析・解析作業がグッと楽に、効率良くおこなえることがお分かり頂けるかと思います。
ツールの種類
これも証拠保全と同様、フォレンジック専用の解析ツールは多数のメーカー/様々な種類の製品があり、パソコンの種類・仕様や事案の内容毎に合う・合わないがありますので、案件ごとに適切なツールを選択することとなります。
ここでは、勤務時間の虚偽申告に関する調査でWindowsパソコンの証拠を整理・整形するケースを想定し、当社で使用している解析ツールや補助的に使用するツールなどを紹介します。
ここでは、勤務時間の虚偽申告に関する調査でWindowsパソコンの証拠を整理・整形するケースを想定し、当社で使用している解析ツールや補助的に使用するツールなどを紹介します。
統合型解析ツール
自動解析、インデックス処理、レポート出力など様々な機能を持つ統合型の解析ツールを用いれば、とても効率良くフォレンジック調査を進めることができます。
当社では「MAGNET AXIOM」という解析ツールをメインに使用しています。ただしどんな案件もこれ一本でOKというわけではなく、案件の内容に合わせて別のツールを選択することもあります。
当社では「MAGNET AXIOM」という解析ツールをメインに使用しています。ただしどんな案件もこれ一本でOKというわけではなく、案件の内容に合わせて別のツールを選択することもあります。
プログラミングツール
統合型ツールでは解析できないログの調査が必要となることも、勤務実態の調査案件において度々あります。そのようなときは分析・解析のプログラムを自分で書くこととなります。
当社ではMicrosoft VSCodeをよく使用します。スクリプト型/インタプリタ型の言語ならVSCode画面内のターミナルですぐに実行できるので、例えばPythonなどでサッと書いてサッと実行するというように、とても効率よく調査を進められます。
当社ではMicrosoft VSCodeをよく使用します。スクリプト型/インタプリタ型の言語ならVSCode画面内のターミナルですぐに実行できるので、例えばPythonなどでサッと書いてサッと実行するというように、とても効率よく調査を進められます。
データベース
勤務実態に関する調査では、種類の異なる複数のログを連結して調べることがあります。例えばアプリの起動履歴、ファイル操作、キーボード入力の痕跡等を結合して「その時間に何の仕事をしていたか」を確認するなど。そのように多数のデータに対して複雑な検索をかけるとき、「餅は餅屋」ということでDBを使用します。
当社では「SQLite」と「MySQL」の2つをよく使用します。
当社では「SQLite」と「MySQL」の2つをよく使用します。
ユーティリティ系ツール
通常のログ解析ではほぼ使用しませんが、証拠隠滅や改竄が疑われる事案などではバイナリを目視する事も多く、そのようなときにバイナリエディタの「Stirling」を使用します。機能満載な統合型ツールよりも、シンプルで軽快なユーティリティで見るほうが「手っ取り早い」というシーンがけっこうあります。
整理・整形の具体的な流れ
勤務時間の虚偽申告の調査において、当社では次のような流れで調査用のデータの準備を進めます。
① 統合型ツールで自動解析する
OSや世界的にメジャーな一部のアプリ(Microsoft OfficeやGoogle Chromeなど)のログ等は、統合型ツールの自動解析によって、人間が読みやすいよう自動的に整理・整形されるので楽ちんです。ただしけっこう時間がかかります。PC1台を丸ごとという場合、自動解析が完了するまで24時間以上待つこともあります。
② (必要に応じて)解析プログラムを書く
基本的に、アプリ独自形式のログなどは統合型ツールで自動解析できません。特に日本製のアプリやシステムのログなどは世界的に見るとマイナーなものなので、ほぼ解析できません。そのようなデータが調査対象となっている場合には、自分で解析プログラムを作成して、人間が読みやすいよう整理・整形します。
③ 整理・整形されたログ等をcsvで書き出す
この作業をおこなう理由は次の第④号で説明します。
④ csvをデータベース(またはExcel)に取り込みソートする
整理・整形された直後の状態では、データの並び順が微妙…ということがあります。
◆時系列で見たいログなのに、アルファベット順に並んでいる。(その反対もあり)
◆一見整然と並んでいるが、よく見ると部分的に順番がずれている。
このような点を更に整理するため、データベースやExcelを使用してソートします。
データ量が1000件程度ならExcelを使用すると手っ取り早いですが、複雑なソートをおこなうときや、データ量が多いときはDBを使用するほうが断然速いです。
◆時系列で見たいログなのに、アルファベット順に並んでいる。(その反対もあり)
◆一見整然と並んでいるが、よく見ると部分的に順番がずれている。
このような点を更に整理するため、データベースやExcelを使用してソートします。
データ量が1000件程度ならExcelを使用すると手っ取り早いですが、複雑なソートをおこなうときや、データ量が多いときはDBを使用するほうが断然速いです。
⑤ 調査用のデータが完成
人間が読みやすいよう整理され、かつ調査に適した形に並び替えられた、調査用のデータが完成しました。
Step 3 タイムカードとログの突合
調査の目的によって「どこまで深く調べるか」が変わります
タイムカードの不正打刻(代理打刻等)の有無を確認したい場合と、職務怠慢の有無(サボらずに仕事をしていたか)を調べたい場合とで、調査の内容(深さ)が異なります。
前者の場合、単純に「パソコンに仕事をしていた形跡があるか」を見れば良く、後者の場合はそれよりも深く、操作頻度や空白時間などもチェックすることとなります。
前者の場合、単純に「パソコンに仕事をしていた形跡があるか」を見れば良く、後者の場合はそれよりも深く、操作頻度や空白時間などもチェックすることとなります。
① タイムカードの不正打刻を調査する場合
勤怠管理表では勤務していたことになっていても、パソコンに「あるべき履歴や形跡が無い」という状態ならば、実際には遅刻やカラ残業だった可能性があります。
【確認例1】パソコンの電源ON/OFFの履歴を見る。
電源が入っていない=パソコンで仕事をしていなかったという事になります。
【確認例2】ログオン/ログオフの履歴を見る。
ログオンしなければパソコンを使用できませんので、これも電源ON/OFFと同様に勤務実態を確認できます。
【確認例3】業務用のアプリ(WordやExcel等)や、システムを使用した形跡を探す。
パソコンの電源は入れっぱなしという場合でも、アプリ等の痕跡がなければ仕事をしていなかった事が分かります。
【確認例1】パソコンの電源ON/OFFの履歴を見る。
電源が入っていない=パソコンで仕事をしていなかったという事になります。
【確認例2】ログオン/ログオフの履歴を見る。
ログオンしなければパソコンを使用できませんので、これも電源ON/OFFと同様に勤務実態を確認できます。
【確認例3】業務用のアプリ(WordやExcel等)や、システムを使用した形跡を探す。
パソコンの電源は入れっぱなしという場合でも、アプリ等の痕跡がなければ仕事をしていなかった事が分かります。
② 職務怠慢を調査する場合
職場にいたけれど、仕事をせずにサボっていたという場合には、前号①と同じくパソコンに「あるべき履歴や形跡が無い」という状態となっている可能性があります。ほか、パソコンを操作していたけれど、それは業務に関係がない動画視聴やWeb閲覧だったという場合には、そのような形跡が残っているはずです。
また、頻度にも着目すべきです。
業務用アプリやファイルなどを操作した頻度が極端に少ないとか、操作と操作の間に異様な空白の時間があるとか。または業務に関係のない操作が頻繁にあるなど。
頻度を見れば、ダラダラ仕事やサボりが分かる可能性があり、また、それが一時的なことなのか日常的なことなのかも分かる可能性があります。
【確認例1】Webサイト(ホームページ)の閲覧履歴を見る。
業務に関係がない履歴等があれば、サボっていたことが分かります。
【確認例2】検索履歴や一時ファイル等を見る。
最近では悪知恵を働かせる者もおり、サボりを隠すため閲覧履歴が消されている場合もあります。
そのようなときでも検索履歴や一時ファイルは残っている事もありますので、これらの痕跡も調査に有用です。
【確認例3】アプリやシステムを使用した形跡を探す。
業務に使用するはずのアプリを使用した履歴があるか、または業務に無関係なアプリの履歴があるかを確認すれば、サボりが分かる可能性があります。
【確認例4】ファイル操作の履歴を見る
一つ前の例3と同様、ファイル操作の履歴から仕事をしていたのかサボっていたのかが分かる可能性があります。
【確認例5】日本語入力の形跡を探す
日本語入力の痕跡を見れば、業務に関係のあるキーボード入力をおこなっていたのかどうかが分かります。
上記の例のようなことを複合的に確認することで、精度高く「サボり」を証明することができます。
また、頻度にも着目すべきです。
業務用アプリやファイルなどを操作した頻度が極端に少ないとか、操作と操作の間に異様な空白の時間があるとか。または業務に関係のない操作が頻繁にあるなど。
頻度を見れば、ダラダラ仕事やサボりが分かる可能性があり、また、それが一時的なことなのか日常的なことなのかも分かる可能性があります。
【確認例1】Webサイト(ホームページ)の閲覧履歴を見る。
業務に関係がない履歴等があれば、サボっていたことが分かります。
【確認例2】検索履歴や一時ファイル等を見る。
最近では悪知恵を働かせる者もおり、サボりを隠すため閲覧履歴が消されている場合もあります。
そのようなときでも検索履歴や一時ファイルは残っている事もありますので、これらの痕跡も調査に有用です。
【確認例3】アプリやシステムを使用した形跡を探す。
業務に使用するはずのアプリを使用した履歴があるか、または業務に無関係なアプリの履歴があるかを確認すれば、サボりが分かる可能性があります。
【確認例4】ファイル操作の履歴を見る
一つ前の例3と同様、ファイル操作の履歴から仕事をしていたのかサボっていたのかが分かる可能性があります。
【確認例5】日本語入力の形跡を探す
日本語入力の痕跡を見れば、業務に関係のあるキーボード入力をおこなっていたのかどうかが分かります。
上記の例のようなことを複合的に確認することで、精度高く「サボり」を証明することができます。
突合の調査は、基本的に依頼者側でおこなって頂きます
当社ではなく依頼者側で突合して頂く理由は、下記のようなことは依頼者の側の方でなければ分からないからです。
■対象者のスケジュールに関すること。
■操作内容が業務に関係する内容なのか、そうでないか。
例えば、出勤日にパソコンの電源がOFFのままだったとしても、出張など仕事の用事で外出していたのならば、それはおかしなことではありません。出張で外出していたのかどうかは第三者である当社には分かりませんので、当社が調べるよりも依頼者側で確認するほうが断然にスムーズですし、そうするほうが調査コストを抑制できますので、勤怠管理表とパソコンのログ等の突合は依頼者側でおこなって頂くのを基本としております。
■対象者のスケジュールに関すること。
■操作内容が業務に関係する内容なのか、そうでないか。
例えば、出勤日にパソコンの電源がOFFのままだったとしても、出張など仕事の用事で外出していたのならば、それはおかしなことではありません。出張で外出していたのかどうかは第三者である当社には分かりませんので、当社が調べるよりも依頼者側で確認するほうが断然にスムーズですし、そうするほうが調査コストを抑制できますので、勤怠管理表とパソコンのログ等の突合は依頼者側でおこなって頂くのを基本としております。
Step 4 証明(タイムカードと勤務実態の不一致を証明)
2つの物で証明します
パソコンに関することを証明する場合は、下記の2つの物が必要です。
① 調査報告書
② デジタル証拠
上記①②のどちらか一方だけではダメで、必ず両方が必要です。
例えば裁判などで、報告書はあるけどデジタル証拠がないという状態だと、相手方から「恣意的に書かれたでたらめな報告書だ」と主張されてしまった場合に科学的根拠を持って反論することができません。また逆に、デジタル証拠はあるけれど報告書がないという状態だと、裁判官はデジタル証拠の中身を理解できず、証拠の真正性の判断もできません。そのため上記①②の両方が必要となるのです。
なお、裁判等の際には上記の2つと合わせてタイムカードなど勤怠表も証拠として提出することとなりますので、言わずもがなですがタイムカード等を破棄されないよう注意が必要です。
例えば裁判などで、報告書はあるけどデジタル証拠がないという状態だと、相手方から「恣意的に書かれたでたらめな報告書だ」と主張されてしまった場合に科学的根拠を持って反論することができません。また逆に、デジタル証拠はあるけれど報告書がないという状態だと、裁判官はデジタル証拠の中身を理解できず、証拠の真正性の判断もできません。そのため上記①②の両方が必要となるのです。
なお、裁判等の際には上記の2つと合わせてタイムカードなど勤怠表も証拠として提出することとなりますので、言わずもがなですがタイムカード等を破棄されないよう注意が必要です。
調査コストを抑えるための工夫
タイムカードの不正打刻など勤務時間の虚偽申告の事案では、
『当事者と話し合いで解決したい』
『できれば裁判という大事になるのを避けたい』
とお考えの依頼者が多いです。
それならば直ちに法定提出用の報告書が必要というわけではないので、これを省いたほうがコストを抑えることができます。そのため当社では同種の案件において、報告書の作成はオプションとしております。
ちなみに、もし後から報告書が必要になったときは、改めて報告書作成をご依頼頂くこともできます。
例えば、社内で話し合って解決しようとしたけれど当事者間では協議が調わず、弁護士を介入させることになったとか、裁判になったなど。報告書が必要となった段階で後からご依頼頂くことが可能です。
当社のツール「LTSログコレクター」では、データ収集の際に証拠保全の処理も同時に施すため、証拠データの完全性を証明できます。そのため後からでも検証できるので、時間が経ってから再解析することも可能であり、ひいては後から報告書を作成することも可能なのです。
『当事者と話し合いで解決したい』
『できれば裁判という大事になるのを避けたい』
とお考えの依頼者が多いです。
それならば直ちに法定提出用の報告書が必要というわけではないので、これを省いたほうがコストを抑えることができます。そのため当社では同種の案件において、報告書の作成はオプションとしております。
ちなみに、もし後から報告書が必要になったときは、改めて報告書作成をご依頼頂くこともできます。
例えば、社内で話し合って解決しようとしたけれど当事者間では協議が調わず、弁護士を介入させることになったとか、裁判になったなど。報告書が必要となった段階で後からご依頼頂くことが可能です。
当社のツール「LTSログコレクター」では、データ収集の際に証拠保全の処理も同時に施すため、証拠データの完全性を証明できます。そのため後からでも検証できるので、時間が経ってから再解析することも可能であり、ひいては後から報告書を作成することも可能なのです。
補足(証拠収集の選択肢)
ログ収集&証拠保全のやり方に関して、大きく分けて次の2つの選択肢があります。
【選択肢①】過去のログ等を収集する。
【選択肢②】過去ではなく、これからのログ等を自動収集する。
どちらを選択するべきか、事案の性質や状況に応じて検討を要することですので一概に言えませんが、幾つかのサンプル事例を以下でご案内いたしますので、ご参考にして頂ければ幸いです。
【選択肢①】過去のログ等を収集する。
【選択肢②】過去ではなく、これからのログ等を自動収集する。
どちらを選択するべきか、事案の性質や状況に応じて検討を要することですので一概に言えませんが、幾つかのサンプル事例を以下でご案内いたしますので、ご参考にして頂ければ幸いです。
サンプル事例 ①
退職した従業員の残業代不正受給の事案
既に退職されている従業員とのトラブルの場合ですと、これからタイムカード不正打刻等は起こるはずがないので、選択肢①「過去のログ等を収集する」の一択となります。
ただし、過去のログ等は時間経過によって徐々に消えていく、という事に注意が必要です。
ログ等は、容量が無制限に膨らんでいくのを防ぐために、「新しい記録が書き込まれるとき、古い記録が捨てられる。」という仕組みになっています。そしてどのぐらいの期間のログが残っているかは、パソコンのハードウェアやアプリの構成、設定状況などとても様々な要因の影響を受けるので、一概に言えません。「パソコンをあまり使用していないのに1ヶ月も経たずに消えた。」という場合もあれば、「頻繁にパソコンを使用しているのに数年間残っていた。」という場合もあります。本当にまちまちです。
このように、調査をおこなう時点でログ等が残っているのか/消えているのかは運次第という側面もあり、調査をしたからといって100%完全に証明できるとは限らず、かかった費用が無駄になるリスクも0(ゼロ)でなないことを踏まえた上で要検討です。
ただし、過去のログ等は時間経過によって徐々に消えていく、という事に注意が必要です。
ログ等は、容量が無制限に膨らんでいくのを防ぐために、「新しい記録が書き込まれるとき、古い記録が捨てられる。」という仕組みになっています。そしてどのぐらいの期間のログが残っているかは、パソコンのハードウェアやアプリの構成、設定状況などとても様々な要因の影響を受けるので、一概に言えません。「パソコンをあまり使用していないのに1ヶ月も経たずに消えた。」という場合もあれば、「頻繁にパソコンを使用しているのに数年間残っていた。」という場合もあります。本当にまちまちです。
このように、調査をおこなう時点でログ等が残っているのか/消えているのかは運次第という側面もあり、調査をしたからといって100%完全に証明できるとは限らず、かかった費用が無駄になるリスクも0(ゼロ)でなないことを踏まえた上で要検討です。
サンプル事例 ②
現職の従業員にタイムカード不正打刻の疑いがある
まだ確定的ではなく「疑い」の段階であるならば、選択肢②「これからのログ等の自動収集」が良いです。理由は、選択肢①よりも選択肢②のほうが費用を抑えられるのと、過去よりもこれから起こる不正のほうが比較的容易に証拠を収集できるからです。
タイムカード不正打刻は日常的におこなわれているケースが多いため、1週間や1ヶ月といった短期の自動収集でも不正を検出できる可能性があります。
ちなみに法律の先生曰く「3ヶ月分ぐらいの証拠があると、尚良し。」とのことですので、自動収集をどのぐらいの期間おこなうかは要検討です。
タイムカード不正打刻は日常的におこなわれているケースが多いため、1週間や1ヶ月といった短期の自動収集でも不正を検出できる可能性があります。
ちなみに法律の先生曰く「3ヶ月分ぐらいの証拠があると、尚良し。」とのことですので、自動収集をどのぐらいの期間おこなうかは要検討です。
サンプル事例 ③
ログを長期間収集&保管するよう管理体制を改善したい。
『いま直面している問題への対応だけでなく、今後のことも考えて、これからはログをきちんと収集&保管するように管理体制を強化したい。』
というようにお考えの場合は、選択肢②「これからのログ等の自動収集」と合わせ、市販のNAS(データ保管用のPC周辺機器)を導入すると良いです。
安価な市販製品を活用すれば導入コストを抑えられますし、ランニングコストに関しても基本的に電気代のみで運用できますので、とても低い費用で何年も自動収集と保管の体制を維持することができるので、お勧めです。
当社ではNASの販売や導入代行もおこなっておりますので、ご興味ございましたらお問い合わせ下さい。
というようにお考えの場合は、選択肢②「これからのログ等の自動収集」と合わせ、市販のNAS(データ保管用のPC周辺機器)を導入すると良いです。
安価な市販製品を活用すれば導入コストを抑えられますし、ランニングコストに関しても基本的に電気代のみで運用できますので、とても低い費用で何年も自動収集と保管の体制を維持することができるので、お勧めです。
当社ではNASの販売や導入代行もおこなっておりますので、ご興味ございましたらお問い合わせ下さい。
最後に
ぶっちゃけた話
当社のような専門の調査会社に依頼しないでもセルフチェックできるログ等が、少数ながら幾つかあります。例えば・・・
パソコンの電源ON/OFFの履歴
→ Windowsイベントログを見れば良い
Webブラウザの履歴
→ ブラウザの履歴画面を見れば良い
直近20個分のファイル操作履歴
→ 最近使用した項目を見れば良い
ほか、Microsoft Officeのファイルは右クリックの「プロパティ」でファイル作成日時、前回保存日時、前回印刷日時などをチェックできます。
これらは専用ツールも専門知識も不要ですので、社内SEが在籍している企業ならば自社でセルフチェックできるかと思います。また、これは弁護士の判断が必要かと思いますが、もしセルフチェックで得た証拠だけで十分に対応できるような内容の事案ならば、わざわざ高額な費用をかけて外部の調査会社に依頼しないでも良いこととなります。
パソコンの電源ON/OFFの履歴
→ Windowsイベントログを見れば良い
Webブラウザの履歴
→ ブラウザの履歴画面を見れば良い
直近20個分のファイル操作履歴
→ 最近使用した項目を見れば良い
ほか、Microsoft Officeのファイルは右クリックの「プロパティ」でファイル作成日時、前回保存日時、前回印刷日時などをチェックできます。
これらは専用ツールも専門知識も不要ですので、社内SEが在籍している企業ならば自社でセルフチェックできるかと思います。また、これは弁護士の判断が必要かと思いますが、もしセルフチェックで得た証拠だけで十分に対応できるような内容の事案ならば、わざわざ高額な費用をかけて外部の調査会社に依頼しないでも良いこととなります。
さらにぶっちゃけた話
上記のセルフチェックで明確な異常が見つかったとき、「その画面を写真撮影して証拠とする」という方法があります。しかもそれは協議や裁判で使用できる場合もあります。当然のことながら調査会社が収集した証拠に比べると証明力は断然に劣りますが、しかしなかなか有用な証拠ですので、事案によってはそれで十分というケースもけっこうあるだろうと思います。
もちろん、それで十分か否かは事案の内容や背景ごとに異なりますし、正しい判断は弁護士でなければできないことです。しかし、前述のような簡易の手段も選択肢としてあるということを知っておいて損はないだろうと思います。例えば下記のような場合には、まずは自社で簡易的に調査してみるのもアリかな?と思います。
『あの社員、この日は本当に残業していたのか?』
→ 電源ON/OFFの履歴を確認してみる
『会社のパソコンで動画を視聴しているという噂がある。』
→ Webブラウザの履歴を確認してみる
『残業と言いながら、フリーランスの仕事(副業)をしている疑いがある。』
→ ファイル操作履歴を確認してみる。
もちろん、それで十分か否かは事案の内容や背景ごとに異なりますし、正しい判断は弁護士でなければできないことです。しかし、前述のような簡易の手段も選択肢としてあるということを知っておいて損はないだろうと思います。例えば下記のような場合には、まずは自社で簡易的に調査してみるのもアリかな?と思います。
『あの社員、この日は本当に残業していたのか?』
→ 電源ON/OFFの履歴を確認してみる
『会社のパソコンで動画を視聴しているという噂がある。』
→ Webブラウザの履歴を確認してみる
『残業と言いながら、フリーランスの仕事(副業)をしている疑いがある。』
→ ファイル操作履歴を確認してみる。
セルフチェックで十分?
重要なことなので繰り返し申し上げますが、セルフチェックで十分か否かは事案ごとに異なります。また、簡易的な対応では問題が拗れることもあり、最初からしっかりした調査が望ましいケースもあります。例えば事案の性質や、当該社員の性格・人格など、ややこしい事になりそうな気配を感じる場合などは安易にセルフチェックで済まそうと考えるべきではないと思います。
セルフチェックは選択肢の一つに過ぎず、それ以外に、過去に遡る本格のフォレンジック(デジタル鑑識)や、ログ調査、長期収集などの方法もあります。さらに言うと、パソコンではなくサーバやクラウドのログを調べるとか、ネットワークのログを調べるというような方法もあります。
このように様々な方法があり、そして事案ごとに適切な方法は異なりますので、もし自社だけで対応を決めかねるようでしたら一度当社にご相談下さい。
セルフチェックは選択肢の一つに過ぎず、それ以外に、過去に遡る本格のフォレンジック(デジタル鑑識)や、ログ調査、長期収集などの方法もあります。さらに言うと、パソコンではなくサーバやクラウドのログを調べるとか、ネットワークのログを調べるというような方法もあります。
このように様々な方法があり、そして事案ごとに適切な方法は異なりますので、もし自社だけで対応を決めかねるようでしたら一度当社にご相談下さい。
中小企業のお客様へ
当社では「Dr.セキュリティ(R)」というサービス名称で、サイバーセキュリティや調査関連の無料相談をおこなっております。
ここまでの説明のなかで度々「コスト抑制」に関して記述したとおり、当社では中小企業に向けて、合理的な内容とリーズナブルな料金のサービスに注力しております。
案件の内容にもよりますが、費用を抑えられる部分は色々あります。
【例1】高額な専用機材を使うのではなく、安価な市販品で代用する。
【例2】高級ソフトを使うのではなく、自社開発のプログラムで代用する。
【例3】フリーウェアやOSSを活用する。
【例4】調査員の人数を減らす。
【例5】高額になる部分の調査は諦め、低価格で済む部分のみ調査する。
「どこまで強く証明するか」「どこまで深く調べるか」などによって費用はピンキリとなりますが、調査内容を合理化して無駄・過剰を省けば、調査にかかる費用を大幅に圧縮することができます。
他社との相見積もりも大歓迎です。
ぜひ当社の提案力を一度お試し頂けたら幸いです。
ここまでの説明のなかで度々「コスト抑制」に関して記述したとおり、当社では中小企業に向けて、合理的な内容とリーズナブルな料金のサービスに注力しております。
案件の内容にもよりますが、費用を抑えられる部分は色々あります。
【例1】高額な専用機材を使うのではなく、安価な市販品で代用する。
【例2】高級ソフトを使うのではなく、自社開発のプログラムで代用する。
【例3】フリーウェアやOSSを活用する。
【例4】調査員の人数を減らす。
【例5】高額になる部分の調査は諦め、低価格で済む部分のみ調査する。
「どこまで強く証明するか」「どこまで深く調べるか」などによって費用はピンキリとなりますが、調査内容を合理化して無駄・過剰を省けば、調査にかかる費用を大幅に圧縮することができます。
他社との相見積もりも大歓迎です。
ぜひ当社の提案力を一度お試し頂けたら幸いです。