従業員の怪しい行動を調べるための、4つの方法を抑えよう!

怪しい行動の調べ方

クリード・コンサルティングの関口です。

今回は、役員や従業員の怪しい行動や言動、素行を調べるための、代表的な4つの方法について、お話ししたいと思います。

前回のブログで、>役員や従業員の怪しい行動や言動のチェックポイントについて、お話をしました。

ブログ:「従業員の行動や言動が怪しい。確認するべき3つのポイント!」

従業員の行動や言動、素行を調べるための、4つの方法を説明する前に、簡単に前回のブログの内容をおさらいしたいと思います。

役員や従業員による、機密情報の漏えいや機密情報の持ち出しなどの不正が行われる場合、下記3つの、代表的な、不自然で怪しい行動や言動が現れます。

1.仕事がないのに残業している
(疑いのある役員や従業員は、会社の上司や同僚に見つからないよう、人がいない時間帯に、機密情報をダウンロードする必要があるため)

2.パソコンを必ず持ち帰っている
(疑いのある役員や従業員は、ダウンロードした機密情報を見られないよう、パソコンを覗かれない、触られないようにするため)

3.社内の仲間と、会議室で頻繁に打ち合わせをしている
(疑いのある役員や従業員の協力者が、社内にいる場合には、打ち合わせのために、居酒屋や会社の会議室を利用するため)

では、情報漏えいや情報の持ち出しにつながるような、役員や従業員の怪しい行動や言動があった場合、どのような調べ方があるのでしょうか?

1.サーバに接続した履歴(ログなど)を調べる

サーバログ調べる

会社の従業員が数十名以上であれば、様々な履歴を取るためのログ収集システムを導入していると思います。

例えば、パソコンからサーバに接続した履歴や、サーバから、機密のファイルをダウンロードした履歴などです。

○年○月○日、○時○分に、どのパソコンから、何のファイルにアクセスしたのか、何のファイルをダウンロードしたのか、などの履歴を取ることができます。
したがって、情報の持ち出しが疑われる場合には、まずこの履歴を調べることで、直接的な証拠をつかむことができます。

どのような履歴を取るのか、どのくらいの期間の履歴を取るのかなどは、ログ収集システムの設定に依存するので、現状の設定について確認をしましょう。

ログ収集システムで取得できるログの種類などについて、次のブログで詳しく説明していますので、見てみてください。
ブログ:「サーバーの接続履歴を取ろう! 取得できる4つの履歴と2つのメリット!」

もしログ収集システムを導入していない場合には、いつ、誰が、何のファイルにアクセスしたのか、またダウンロードしたのか、などの直接的な履歴が分かりません。
そのため、不自然な行動をしていた時の状況を、周囲の人に確認したり、勤怠の記録や入退室の記録などを調べて、間接的な証拠を集めていく必要があります。

2.勤怠記録や入退室履歴を調べる

勤怠記録 タイムカード

ログ収集システムなどの履歴から、疑いのある役員や従業員が、サーバの機密情報ファイルにアクセスした履歴があった場合には、そのアクセスがあった日時の勤怠記録を調べます。
サーバの機密情報ファイルにアクセスした日時と、その日時の勤怠記録を照らし合わせることで、行動のつじつまを確かめます

サーバにアクセスした日時と、勤怠記録が一致しない場合には、疑いのある役員や従業員が、意図的に、勤怠記録を残していない、改ざんしている可能性もあります。
その場合には、その時間帯に周囲にいた人からの情報や、入退室の履歴、監視カメラの動画などを確かめることで、その時間帯の行動を確かめることができます。

また、パソコンをシャットダウンした日時やパソコンの使用状況から確認することも可能です。

余談ですが、不祥事の調査に関連して、労務に関わる調査の依頼を受けることがあります。
以前に担当した案件では、「長時間労働による過労死」に関する相談を受け、長時間労働の事実を確かめる一環として、パソコンの使用履歴を調査したことがありました。
弁護士とも相談しながら進める必要がありますが、パソコンを起動した履歴やシャットダウンした履歴などを調べることで、残業しているか否かについて、間接的な証拠になりえます。

3.メールを調べる

メールを調べる

競合の会社からの引き抜きなどにより、会社の上司や同僚、部下と一緒に転職をする場合や、競合の会社を設立する場合には、会社内に協力者がいる可能性があります。
協力者とのやり取りを調べるには、疑いのある役員や従業員の、会社のメールを調べるのも有効な手段です。

コンプライアンスやセキュリティの意識が高い方は、「まさか会社のメールで、不祥事につながるような、やり取りはしないでしょう!」 と思いますよね?

確かに、メールの送受信の履歴を監視している、メールアドレスが共有になっているような、セキュリティが特に厳しい金融関係の会社や大手企業では、個人的なやり取りを会社のメールではしないでしょう。
しかし、中小企業になると、セキュリティの対策が十分でなく、コンプライアンスの意識も高くない会社が多いので、プライベートなやり取りを、会社のメールで行う従業員が多いです。

我々の調査においても、社員数名が不祥事に関与している疑いで、メールを調査することが多いですし、メールを調査していると、社内の不倫のやり取りが出てきたりすることが多々あります。

調査する会社側からすると、万全を尽くす意味でも、会社のメールを調査することは重要です。
しかし、メールを調査する場合には、注意が必要です。
怪しい従業員のパソコンのメールを調査するのではなく、会社のサーバに保存されている対象者のメールがあれば、まず、そちらを調べましょう。

対象者のパソコンを不用意に触ると、証拠が消えてしまう原因になりますので、対象者のパソコンを調べるのは、最後の手段にした方が賢明です。

4.パソコンを調べる

パソコン調べる

これまで、サーバへのアクセスの履歴、勤怠や入退室のログ、メールなどの調べ方について説明をしました。
情報漏えいや情報の持ち出しに関する、直接的な証拠を収集するためには、疑いのある役員や従業員、またその協力者が使用しているパソコンを調べる必要があります。

はじめから対象者のパソコンを調べればいいじゃないか!」と思われるかもしれません。

確かに、疑いのある役員や従業員のパソコンを調べて、すんなりと不正の証拠が出れば、その方がいいでしょう。

しかし、仮に証拠が出なかった場合、会社貸与のものだったとしても、後で問題になる可能性があります。
調査していることが本人にバレますし、もっと違う方法で不正を行うことを考え、行動するかもしれません。

また、不用意にパソコンに触ってしまうと、データが書き換わってしまい、証拠となるデータが消えてしまう可能性もあります。

対象者のパソコンを調べるために、よく使用されるのがフォレンジックという手法です。
フォレンジックとは、「法廷の」「科学捜査の」という意味で、パソコンやスマートフォンなどのデジタルデータから法的な証拠を見つけるための手順や手法のことです。

横文字で難しそうな感じがすると思いますが、簡単に言うと、後に裁判になることを見据えて、きちんとした手続きを踏みながら、パソコンを調査し、証拠を集める方法のことです。

フォレンジックの手法により、下記を明らかにすることが可能です。

  • 削除されたファイルやデータの復元
  • USBデバイスやSDカードなどの外部メディアの接続履歴
  • サーバの機密ファイルにアクセスした履歴
  • パソコン内にあるメールの調査
  • パソコン内にあるドキュメントの調査

など

まとめ

まとめ

これまで、情報漏えいや情報の持ち出しにつながるような、役員や従業員の怪しい行動や言動を調べるための、4つの方法について、お話ししました。

もちろん、調査する目的や、導入しているメールやログ収集のシステム、セキュリティの整備の状況などによって、調査の方法や進め方は異なります。

しかし、上記に述べたような、代表的な調査方法や注意点を抑えておくだけでも、調査をより効率的に進めるための、手掛かりになるでしょう。

また、上記で説明した、ログなどの履歴、メール、パソコンなどのデータだけでなく、場合によっては、対象者の素行や行動を確かめるための、素行調査や行動調査も、必要になるケースがあります。

競合会社設立の実態を調査する一環として、疑いのある対象者と社内の協力者が、会合を行う居酒屋などで、聞き取りをしたり、必要な証拠写真を撮ることも多々あります。

素行調査や行動調査というと、興信所や探偵事務所による、結婚相手の交友関係の調査や浮気の調査などを、思い浮かべる方も多いと思いますが、不祥事の証拠を集める場面でも、多く利用されています。

対象者は、必要としている情報が得られれば、出来るだけ早く、完全に、証拠を削除しようと行動します。
データを完全に削除するソフトを使用したり、パソコン自体を破壊する行動を取るかもしれません。

調査する側は、慎重に調査しながらも、対象者によりデータが削除される前に、迅速に、同時並行で、調べていく必要があります。

上記で説明したフォレンジックに関連する情報を、当事務所ホームページのQ&Aでも、説明しているので、参考にしてみてください!
Q&A(よくあるご質問と回答の事例集)

また、当事務所では、探偵業(届出番号:第40180006号)も運営しています。
素行調査や行動調査などの調査依頼も受けておりますので、調査内容や料金など確認されたい事項があれば、ご連絡をください。