第16号コラム:小向 太郎 理事(株式会社情報通信総合研究所 法制度研究グループ部長
上席主任研究員)
題:「デジタル・フォレンジックと法制度研究」

このコラムで佐藤理事から「デジタル・フォレンジックというカタカナ言葉では仮性対話に陥りやすいので注意しなければなりません」という重要な指摘がありました(第14回コラム「デジタル・フォレンジックの体系化の意義」)。私なりの理解では、デジタル・フォレンジックという言葉の射程や問題意識がはっきりしないので、同床異夢な議論や同義反復な整理に陥りやすいということだと思います。

 佐藤理事も言及されているように、まだ新しい分野なので仕方がない面がありますが、デジタル・フォレンジックといっても人によって随分扱う分野が違うなと、私も痛感しています。当初は、広く議論していけばよいのではないかという考え方もあり得ると思います。しかし、一定の段階で、どのような射程で議論をしているのかを明確にすることも必要でしょう。

 今さらですが、本研究会でのデジタル・フォレンジックの定義は、次のようになっています。

「インシデント・レスポンスや法的紛争・訴訟に対し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術を言う」
(特定非営利活動法人デジタル・フォレンジック研究会:https://digitalforensic.jp/)

 技術面での関心は、的確に真実を明らかにする正確な情報を取得することに、必然的に集中します。一方、私が専門分野としている法律・制度の面で研究すべきことは、この技術を法的係争に際してどう扱うのかということだと思います。もう少し敷衍して言うと、次のようなことが論点になるでしょう。

(1)これらの技術を利用して集めた証拠が裁判上の証拠として認められるか
(2)技術や運用方法によって裁判上の証拠としての価値に差が出るか
(3)そもそもこれらの技術を利用することが法的に許されるか

 さらに、やや背景的な論点として次のようなテーマもあると思います。

(4)法制度の変化によってデジタル情報の重要性にどのような影響があるか

 私見では、ここまでをデジタル・フォレンジックの法制度上の研究領域として良いのではないかと思っています。石井理事からは、フォレンジックを意識した議論が必要だという問題提起もされています(第10回コラム「デジタル・フォレンジックの体系化とロカール」)。恥ずかしながらこの分野の知識がありませんが、伝統的なフォレンジックでも、法制度上の論点としては主として(1)~(3)にあたるものが議論されてきたのではないでしょうか。

 従来、デジタル・フォレンジックの法制度的問題として意識されてきたのは、どちらかというと(1)と(2)の問題でした。これらは、法律用語でいえば、「証拠能力」や「証明力」の問題です。ただし、我が国では、デジタル情報がどのような要件を満たせば証拠能力を持つかという規定が明確に定まっているわけではありません。特に、自由心証主義を原則とする民事訴訟では基本的に問題になりません。よっぽど酷い証拠を出せば、相手方に「証明にならない」と一蹴されてしまうリスクがあるでしょうが、あくまで裁判官にどう受け止められるかが重要になります。
 一方、本来は証拠能力の厳格な審査をしなくてはならない刑事訴訟ではどうでしょう。刑事裁判においては、違法に収集した証拠であれば裁判の場で証拠として使うことができなくなるなど、証拠として適格に認められるための要件が定められています。しかし、コンピュータに対する捜査に際して、どの程度「技術的に有意」な証拠収集を行うべきかということについては、明確な規定がありません。捜査機関は一般的に誠実に捜査を行っており、必要以上に捜査機関を疑う必要はないでしょう。しかし、そもそも捜査機関と被告人では、あらゆる面で捜査機関が圧倒的に優位です。刑事訴訟については、そのような関係を前提として、できるだけイーブンにすべく制度設計をすることが求められています。デジタル情報を取り扱う際に、どのような技術的要件を満たしている必要があるのかということは、あらかじめ取り決めておかなくては、公平が保てない場面も出てくるのではないかと思われます。

 我が国では、まだ裁判上でデジタル情報を扱うルールが確立しておらず、どのようなルールによるべきかということは、デジタル・フォレンジックにおける今後の大きな課題になるはずです。個人的には、このルールは立法によってきちんと担保されるべきだと思います。法制度研究としては、諸外国との比較や我が国の他の制度との整合性といったことが、検討テーマになるでしょう。

 それでは、(3)や(4)のテーマとしては、具体的にどのようなことが考えられるでしょうか。ちょっと唐突ですが、先日あるセキュリティ・ソリューション企業の社長さんと、次のような会話をしました。

社長「最近、メール関連のシステムは結構売れてるんですよね」
私「スパムメールが多いから、対策機能の強化とかですか?」
社長「それもあるし、やっぱり情報漏えい対策も企業の関心が高いですね」
私「どんな機能を使うことが多いんですか?送信前に警告を出す機能とかが良く紹介されていますけど、使い勝手が悪くなりますよね?」
社長「う~ん。とりあえずサーバ側にメールの記録は残す設定にすることが多いかな。推奨してますね」
私「サーバに残しても、事前に社員に周知しておかないと勝手に調査とかできないですよね。まあ、きっと意識の高い企業は、その辺も考えているんですね」
社長「いやあ。あんまり気にしていないんじゃないですかね。。。。」

 個人情報や企業秘密の漏えいが注目されるなかで、企業が自衛しなくてはならないというのは当然とも言えます。個人情報保護法が、従業者の監督義務(第21条)と委託先の監督義務(第22条)に関する規定を設けていることから、ある程度は従業者のモニタリングを行うことが必要だという考えもかなり浸透しています 。これは、前述の論点で言えば(4)の議論だと思います。

 一方で、このような従業員の電子メールを監視することが許されるのかという問題提起もあります。よく知られているように、従業員の電子メールに関しては、企業がある程度監督をするのはやむを得ないとして、従業者のプライバシー侵害であるという主張が退けられている判決があります。しかし、あらゆるモニタリングが許されるわけではなく、少なくともあらかじめ従業員に周知をすることが求められるとする考え方が主流でしょう。もし、問題のあるモニタリングがプライバシー侵害等として責任を問われたり、モニタリングに基づく解雇等の処分が有効かどうかが争われるのであれば(3)の問題でしょう。

 このように、特に(4)の論点は、デジタル・フォレンジックそのものというよりは、周辺領域のように見えます。しかし、デジタル・フォレンジックの有効性を考える上では、必要な検討なのではないかとも考えられます。まだまだ粗い分類ですが、デジタル・フォレンジックと法律や制度との関係を、このような視点で整理できないかと考えはじめたところです。できれば研究会の皆さんからご示唆を頂きながら、議論を深めたいと思います。