こんばんは。三連休最終日にジムで「ボディ・ヒーリング」(インナーマッスル系のエクササイズ)を
やったせいで、両足太ももがズッシリ重い北野です。
今日は朝から検察による証拠フロッピーディスクの改ざん事件がニュースで取り上げられています。
詳しい事実はこれから少しずつ明らかになっていくと思いますが、少し視点を変えてデジタルな証拠に
ついて考えてみたいと想います。
電子的な証拠(電子証拠、とかデジタル証拠とも言いますね。)というと2004年頃から「デジタル・フォレンジック」という分野が日本でも立ち上がってきました。欧米ではあらゆる犯罪にコンピュータやインターネットが関係してくるとして、フォレンジック技術や、それに基づいた裁判のやり方などが発達しています。
既に諸外国にはコンピュータ・フォレンジックを教える大学の学科があって専門の先生がいたりしますし、今年7月に行われたCISSPのAsia Advisory Board Meeitng(AAB)ではオーストラリアの大学のフォレンジックの先生と実際にお話する機会がありました。米国にはコンピュータ・フォレンジック専門のコンサルティング会社もあったりします。
私は2006年に記者発表で、当時国会で話題になっていた「偽メール問題」を取り上げて「デジタルな履歴を証拠として、その真偽を争う時代が来るかも知れない」と話したことがあります。このとき私が言いたかったのは、国会でメールログの真偽が争点になったあのときの問題は「電子的なログが証拠として取り扱われ、その真偽が争われる」ということが、初めて一般の方々にもわかりやすい形で行われたケースだったということでした。
今回のケースでは書類データの最終更新日時という「履歴」が改ざんされたと言われています。ただし報道によれば、公判においては改ざん前のデータのままで(更新日6月1日として)捜査報告書に記載され、弁護側の証拠として採用されているようですから、幸い改ざんそのものが判決を左右してしまう事態には至らなかったようです。(万一これが起きていたら、改ざん行為によって冤罪が生まれたかも知れないと思うと深刻な話です。)更にその改ざんを検出したのも、改ざんの履歴(ログ、痕跡など)であるというのが皮肉なものです。
この事件が示しているのは、何と言ってもデジタルデータを証拠として扱う場合に、どれほど「保全」が重要であるかという点でしょう。
デジタル証拠の保全については国内でデジタル・フォレンジック研究会から「証拠保全ガイドライン 第1版」が公開されています。また国際的にはRFC3227で証拠収集・保全の方法についてガイドラインが公開されています。
RFCのほうの記述では、有名な「Chain of Custody」(証拠の連鎖)について書かれています。これは証拠としての証明力を維持するためには、正しく保全され、完全性を失わない状態で保管・取り扱いを続けなければならないということを意味しています。その視点で見るならば今回、改ざんが行われた時点で証拠の連鎖が途切れているということになります。
警察などの法執行機関が証拠として電子データを媒体ごと押収する場合には、これらのガイドに記述されている内容と同じように「いつ、誰が、どのように証拠となるデータを取り扱って、どう保管されたのか」を全て記録していると思います。しかしそのドキュメントが残るだけでは、今回のような内部不正を防げないケースが出てくるということでしょう。やはり証拠保全のプロセスは「組織内部に悪い人はいない」という前提で作られてはいけないのだと思います。
今後、メールログ、ファイル更新履歴、アクセスログ、操作ログ、データベースログなど各種のデジタルな履歴が証拠として採用され、その真偽が裁判で争われることが増えるかも知れません。そういう時には、より厳密に証拠保全をしていく必要が出てくると思います。ハッシュ値を使う、デジタル署名を使う、などの技術的な対策や、ログに対するアクセスコントロールなども更に重要になっていくのだと思います。
※本文は私見であり所属組織の見解等を示すものではありません。