J-SOX時代のデジタル・フォレンジック、求められるのは入念な「準備」（3/5 ページ）

[岡田靖，ITmedia]

ソフトウェアそのものに対するフォレンジック

　2日目の午後には、3つの分科会が開催された。

　法務・制度分科会では、高橋郁夫氏、須川賢洋氏、石井徹哉氏の3名がパネルディスカッション形式で2006年のトレンドを語り合った。

　高橋氏は、2006年のキーワードを「法的責任（Responsibility）と説明責任（Accountability）」だとして、ITや企業にまつわる法的問題を取り上げた。

　まず法的責任については、Winny作者に対する裁判に触れ、「WinnyやAntinnyの活動についての考察が進まないうちに、事件の審理が進んでいるような気がする」と指摘。「ソフトウェアには作者の思想が現れているのではないか」として、ソフトウェアを分析してその意図を探る「ソフトウェア・フォレンジック」の考え方ができないか、とした。

　説明責任に関しては、みずほ証券が東京証券取引所を訴えた件や、ITとは直接の関係はないが、ダスキンの事件などについて触れた。

　「東証は、みずほ証券による誤発注の取り消し操作がなぜできなかったのか、原因を究明する必要があるだろう。不正というわけではないが、東証は公器的な存在であるため、その原因を説明する責任があるかと思う。注目すべき裁判になるだろう」とし、その原因究明には、やはりソフトウェア・フォレンジックの考え方が適用できるのではないかとした。

　一方、ダスキンのケースでは、ミスタードーナツが無認可の食品添加物入り肉まんを販売した事件に関して、損害賠償を求めた株主代表訴訟が起こされていた。

　「裁判では、ミスタードーナツの衛生管理や下請工場の選定などといったリスク管理体制は評価されており、そこに対する責任は問われなかった。しかし、経営層が事件を公表しようとしなかったことなどが問題にされた。現代社会は企業に厳しい情報公開の要求を突きつけている。企業の利害関係者は株主や取引先、顧客などたくさんいるのだから、その関係者に対する積極的な情報公開が欠かせないと言える。組織ぐるみの隠蔽だと言われないようにせねばならない」（高橋氏）

　また、内部統制とデジタル・フォレンジックの関わりについては、「実施基準の公開草案では、保存せねばならない記録の範囲があいまいな表現になっていて、これではどこまで保存すればいいのかが分からない。『関連する証拠書類を』と記されているので、来年あたりはストレージベンダーがJ-SOX対応に磨きをかけてセールスしてくるのではないか」と、やや皮肉まじりに指摘した。

左から、須川賢洋氏（NPOデジタル・フォレンジック研究会理事、新潟大学法学部助手）、高橋郁夫氏（NPOデジタル・フォレンジック研究会 理事、宇都宮大学工学部非常勤講師、弁護士）、石井徹哉氏（NPOデジタル・フォレンジック研究会理事、千葉大学法経学部助教授）

　続いて石井氏は、ライブドア事件とWinny作者の裁判の2点を例に上げた。

　「ライブドア事件では、消されたメールの復元が話題になった。サーバも令状を持っていって押収したと思うが、業務に使われていたサーバなので、運用を止めずに半日かけてデータをコピーしたとのこと。こうした場合、復元などに使ったツールの信頼性に関しても争点になり得るが、信頼性があるという前提の商用ツールを使っていたので、今回は議論の俎上に乗らなかったのだろう」（石井氏）

　Winny裁判に関しては、刑法の従犯規定適用を中心に解説し、Winnyの存在やその配布経緯が著作権法違反の物理的幇助や精神的幇助になったことを示した。

　「個人的には理論構成に納得できない点がある。弁護側は、もっと理論武装していく必要があるかと思う。ソフトウェア制作者にとってみれば、提供しようとしているプログラムが犯罪行為の助けになるかどうか、常に気にしつつ作らねばならないのかどうかが気になるところだろう。でもまだ一審だから、今後の動向を待ちたいところ」とした。