デジタル証拠は、きわめて瞬間ごとに変化し、消滅していくものです。

ですから、一定の法的な意味をもったインシデントが発生した場合に、どのようにしてデジタル証拠を保全するべきかということが論点になります。

これは、その後、証拠にアクセスして識別していく前段階の問題ということになります。

(1)技術的側面からの要請

この点での最大の要請はデータのバックアップであり、技術的には、ミラーイメージの作成ということになります。

具体的には、物理コピーを取得して、それぞれのハッシュ値を比較するというような話がでてくることになります。この点については、技術的な標準手法が確立しており、具体的には、そのような標準的な機材と手法をもちいてデータのバックアップを取得していくということになります。

この際に留意すべきことは、しかけられたトロイの木馬プログラムなどによりデータが破壊されないように心がけることということになります。

また、インシデントが発生した際に、的確に対応し、その後の証拠を確保するというインシデント・レスポンスという観点もこのデジタル法科学の観点から分析されることになります。

特に、2014年の夏には、大規模な情報漏洩事件が発生して、このインシデントレスポンスということがまた、注目を浴びるようになったということができるでしょう。

IPAから「情報漏えいインシデント対応方策に関する調 査 報 告 書」というのが、公表されていますが、法的な部分／マネジメントに関する部分を調査委員長として担当しました。内容的にも、きわめて高いレベルの報告書だと自負していますので、ぜひともごらんください。

(2)法的な側面からの分析

この保全の段階で、どのような法的な論点があるのか、ということがあります。

民事上については、E-discovery(またはDiscovery of Electronic Evidence、DEE)という観点から紛争が現実化した段階で、当事者間では、証拠を保全すべき一般的な義務が発生すると考えられている点(いわるリティゲーション(訴訟)ホールドである)は注目に値します。もっとも、注目すべき論点であるということがいえるでしょう。この点は、別の投稿でふれたところですので、そのところを参照ください。

また、従業員の不正が原因で、調査が必要になった場合には、その調査を法的に問題のない形でこれを行わなければならなくなります。どのような根拠にもとづいて、どのようなことができるのか、きわめて法的には難しい問題であるということができるでしょう。

また、刑事的には、証拠の保全という観点からプロバイダ等に対する協力要請の論点を考えることができるかと思います。

この点は、改正刑事訴訟197条3項におけるプロバイダーに対する協力要請の規定（電気通信を行うための設備を他人の通信の用に供する事業を営む者又は自己の業務のために不特定若しくは多数の者の通信を媒介することのできる電気通信を行うための設備を設置している者に対し、その業務上記録している電気通信の送信元、送信先、通信日時その他の通信履歴の電磁的記録のうち必要なものを特定し、三十日を超えない期間を定めて、これを消去しないよう、書面で求めることができる。）がこれに関連するものといえるでしょう。

注意するべきなのは、この規定は、問題が発生してからその証跡を消去しないでおくこと（preservation　プリザベーション）であるということです。

「ログの保存期間の延長を要請」などの記事が新聞を賑わすことがよくありますが、これは、アクセスに関するログは、一定の期間を経過すると消去してしまうことから、これを保存してくれるようにともとめることです。具体的な問題が発生していない段階での保全の問題になりルので、これは、（問題が発生する以前の）ログなどの保全（retention リテンション）となります。EUにおいては、これを指令でもって各国に国内法化をもとめています。もっとも、データ保護との関係で議論があるところです。

そういえば、上記の刑事訴訟法の改正にあたって、日弁連は、上記の保全規定を「コンピュータ監視」などと名付けました。学問的には、リアルタイムで証跡を残して分析することを、監視（surveillanceサーベイランス）と呼ぶのが妥当かと思います。このようなリアルタイムの監視というのは、法的な規制としては、全く観点が異なるものです。

このように学問的にもまったく別個のものを表す表現で、特定の法律をあらわし、そのような表現でもって反対の意思を表明するというのは、弁護士の信頼を根本的に損なうものだと考えています。