前述の事例の最後で「会社は事実確認や法的対応のために、Aさんのパソコンを調査しなければならない事態となりました。」と書きましたが、これに関して少し説明します。
パソコンを詳しく調べることを「デジタル・フォレンジック」（デジタル鑑識）と言います。
事例のようなウイルス事案／サイバー攻撃の事案を調べるときや、従業員による横領や情報持ち出しなどといった社内不正事案を調べるとき、はたまた警察における犯罪捜査などでデジタル・フォレンジックがおこなわれます。
そして当社はそのようなデジタル・フォレンジックを主たる事業としております。

事例のように会社がAさんのパソコンを調べるときは、「ちょっと見てみる」というような簡単な調査ではなく、当社のような専門会社に依頼してしっかりと調査し、確かな報告書を受け取るというのが通常です。

「うちの会社はケチだから、お金を払ってガチの調査なんてしないだろう。」
というように高を括って考えないほうが良いです。
だいたい、ガチで調査します。
なぜかと言うと２つ理由があります。

もし他人に被害が拡大しなかったのならば、調査しないことも良し悪しは別としてあるかと思います。
しかし事例のように他人にも飛び火してしまった場合には、法律の面でも、会社の信用の面でも、調査をしないという選択肢を会社は選べませんので、Aさんのパソコンはかなりの確率でガチの調査が入るだろうと見て下さい。

顧客情報の漏洩が会社で大問題になって、その原因が自分にあるAさんは、不安で不安で震えるほど怖いだろうと思います。

「会社をクビになるのかな…」とか、
「自分にも損害賠償を請求されるのでは…」とか、
「警察に捕まっちゃうのかな…」など。
大丈夫です。
だいたいそんなことにはならないです。
なぜかと言うと、Aさんは故意にウイルス感染したのではなく、不幸にも不可抗力でウイルス感染したのですから。ほとんどのケースにおいて『悪いのは犯人であって、Aさんではない。』という解釈になります。
そのため、おおむね周囲の人は同情的に接してくれることが多いです。
ただしそれは「故意や重過失ではないことが明らかだ」という場合に限った話です。
そうでない場合はなかなかにヤバいと思います。

わざとやったとか、あるいは重大な過失があったという場合は、何もお咎め無しとはならないでしょう。
例えば、実はウイルス感染などしておらず、小遣い稼ぎのために会社の顧客名簿を売ったとか、違法薬物や児童ポルノに異常な関心があって、犯罪者コミュニティのWebサイトを訪れたらウイルスに感染したなど。そのように故意だったり重過失だったりする場合は、誰も同情してくれないと思います。

また、やましいことは何もなくても、周囲から出鱈目に疑われてしまうこともあります。

こんな出鱈目な疑いを退けるためには、変なことはしていないと明確に示せるよう、感染当時の状況や原因などを証明する証拠を残しておくと良いです。
そして、その証拠を残せるか／残せないかに関係して、冒頭で述べたウイルスを駆除して良いタイミングと悪いタイミングの話に繋がります。

まず、ウイルスを駆除するとどうなるかと言うと、ウイルスの痕跡の一部が消えます。
つまり証拠の一部が消えることとなります。
全ての証拠が消えるわけではなく一部が消えるのみに留まるので、その状態でも故意や重過失ではないことを証明できる可能性は高いです。ただし調査にかかる手間、時間、費用に関しては駆除していない状態と比べると余計にかかることとなります。

最悪なのは初期化です。証拠が全て消失します。
インターネットにある様々な記事において「ウイルス感染したら初期化すれば良い」というような内容が書かれてあり、「ウイルス駆除 ≒ 初期化」というように間違えて捉えてしまっている方も多くいますが、初期化は本当に最悪の一手となります。

初期化するとパソコンの中身は真っ更になり、ウイルスの痕跡の全てが消失しますし、感染当時の状況を示す記録も全て消失します。
つまり全ての証拠が消え去ります。
その場合は故意や重過失でないことを証明するのが大変です。調査不能になるわけではありませんが、なかなか大掛かりな調査が必要となります。
パソコンの中の証拠は消えたのですから、パソコンの外側に残る痕跡（例えばネットワークやサーバの履歴など）をしこしこ探して拾っていくなど、骨の折れる作業を時間をかけて取り組むこととなります。

このようにウイルスの駆除や初期化をすると証拠の一部または全部が消えますので、後から証明が必要となったときに支障が出ることとなります。
つまり、証拠保全（証拠を残すための処置）よりも前の時点でウイルスを駆除するのは、タイミングとしてはかなり悪いです。
逆に、証拠保全の後ならばどのタイミングで駆除しても良いです。

証拠保全のやり方は幾つかあり、どの方法を選ぶかは事案の内容や被害の深刻度などに合わせてご検討頂くこととなります。ここでは４つの方法をご説明します。

①番は最も手軽な方法で、②番・③番と順を追うごとに証拠の強さとコストが高くなり、最後の④番で最も確実な専門サービスをご案内します。

これは簡易的すぎるやり方なのでおすすめして良いものかどうか悩んだのですが、お金がかからない唯一の方法ですので、一番初めにご案内します。
後からでもウイルス感染の事実を証明できるように、ウイルスに関連する画面の写真を撮影して残しておくという証拠保全方法です。

一応これで「本当にウイルスに感染していたこと」を証明できます。
ただし、写真を撮った日時に関しては証明できますが、ウイルス感染した日時を証明できませんので、証拠としてはけっこう荒いです。
もし後から感染日時が争点になってしまうと、この証拠だけではだいぶ弱いです。
また、「故意ではない／重過失ではない」ということの証明には使えないです。

さらに言いますと、ステルス性のウイルスの場合は画面に異常が現れないので、写真を撮りようがないです。つまり、どんなケースでもOKという方法ではありません。
もしステルス性の場合には、当サイトに掲載しているウイルス駆除の手順書「ノートン　パワーイレイサーを使用するウイルス駆除方法」の「Step3 スキャン結果の確認」までで作業を止めて、そのスキャン結果の画面を写真で撮るという方法もありますが、これを説明すると冗長になるため割愛します。

総じて言いますと、１００点満点中５０点というような方法です。
何もしないより断然良いですが、写真だけに頼るのはちょっと心許ないかな・・・という感じです。

当社が自社開発した簡易保全ツールを使用して高速に証拠保全するという方法です。
簡易、迅速、低価格で証拠保全できます。

本格的な証拠保全（全データ丸ごと複写）と違い、Windowsの重要箇所だけに絞って高速に複写する方法のため、世の中のありとあらゆるケースにこれだけで完全対応できるわけではありませんが、よくある「ネット閲覧中にウイルス感染」とか「エクセルを開いたらウイルス感染」というような、一般的に多いタイプの事案はおおむねカバーできます。

しかもパソコンの操作履歴の一部（Web、アプリ、ファイル操作の履歴など）も保全されますので、「故意ではない／重過失ではない」ということの証明にも役立ちます。

この簡易保全だけですと１００点満点中７０点ぐらいですが、これと合わせて写真での保全もおこなっておくと８０点ぐらいの強さを期待できます。写真とログの両方があると視覚的にも論理的にも証明しやすいので、どちらか一方だけの場合よりも強力です。
だいたいのケースはこれらで十分ですし、万が一に裁判になっても十分使えます。

ストレージ（HDDやSSD）を丸ごとコピーしてクローンを作成する「デュプリケータ」という装置があります。ウイルス感染したパソコンのストレージを複写しておけば、当時の状態をそっくりそのまま保管できますので、かなり有用な証拠となります。
ただし市販のデュプリケータでは証拠の改竄防止をできないという欠点と、第三者による証明ではなく自己証明という欠点があります。
それらを考慮しますと、１００点満点中８０点ぐらいの方法だと捉えて下さい。

家庭用のデュプリケータはとても安く売っています。
HDD用なら１万円もせず、SSD用でも２万円ぐらいで買えます。
複写用のストレージは１万円ほどなので、総額２万円～３万円ほどで必要な物が揃います。

このようにコスト的にはハードルが低いのですが、複写作業にはパソコンの分解を要しますので難しいと感じる人も多そうです。パソコン愛好家にとっては造作もない作業なのですが、「誰でも簡単に」とはいかなさそうです。

クローンを作る別の方法として、クローン作成専用のソフトウェアを使用するという方法もあります。
その場合はパソコンを分解せずにできるので、その面ではデュプリケータよりも難易度が下がります。
しかしですがソフトウェアの設定という別の側面でデュプリケータよりも難易度が上がりますし、また、ソフトとハードの相性問題が出てうまくコピーできないというリスクもあります。

デュプリケータと専用ソフトウェアの特徴を表にまとめます。

項目	デュプリケータ	専用ソフトウェア
物理的難易度	高い 分解作業が必要	低い 分解しないでできる
論理的難易度	低い 特に難しい設定はない	高い 専用ソフトをきちんと 設定する必要がある
失敗しがちな例	規格間違えのリスクあり 部品の仕様やコネクタが 合わず、使えないという 失敗が起こりがち。	相性問題のリスクあり パソコンの仕様とソフトの 相性が合わず、 使えないという失敗が 起こりがち。

パソコンに詳しい人が身近にいる場合にはどちらも良い方法なのですが、そうでない場合はリスキーなので、やめろとは言えませんがお勧めもできません。

専門会社による証拠保全のことを、以下では「ガチ証拠保全」と言います。
１００点満点の方法です。
具体的には次のようなことをおこないます。

ガチ証拠保全は当社のようなデジタル・フォレンジックの専門会社がおこなっております。
特殊なサービスなのでそれなりに費用がかかりますが、万全を尽くしたいときにご検討下さい。

例えば、漏洩した個人情報の件数がとても多い場合や、企業間の紛争に発展し得る機密情報が漏れた場合などは、保全方法や手順に抜かりがあると後々問題になりますし、また、自己による証明は疑われがちですので、第三者である専門会社に依頼してガチ証拠保全するのが普通です。

ただし個人の方の場合ですと、費用負担が大きいガチ証拠保全をおこなうのは、いささか過分な気がします。
費用に関してはパソコンの仕様や劣化状態などでかなり幅があるので、一概に幾らぐらいと言い難いのですが、ざっくり大雑把な目安は次のとおりです。


私の立場からこんなことを言うのはなんですが、そこまでガチの証拠保全をしないでも大丈夫なケースの方が多いです。
なぜかというと、ほとんどの人は裁判になることを望んでいませんし、だいたいは協議（話し合い）の段階で解決することとなるので、１００％完璧な証拠が無くても、当事者全員が納得できるレベルの証拠であれば事が足ります。

ケースバイケースですが、ガチ証拠保全でなければ絶対ダメというわけではないので、まずはコストの低い方からご検討されるほうが良いかと思います。