デジタルフォレンジック(あるいはコンピュータフォレンジック)といえば、一般的には「コンピュータやネットワークを利用したなんらかの犯罪や事件が起きた場合に、その原因究明や捜査などのために必要な証拠を収集・保存する技術」を指す。昨今増加傾向にあるネットワーク犯罪を受けて、システム管理上の必要性から注目が集まっている。
しかし、デジタルフォレンジックには特有の問題もある。例えば、ネットワーク上のデータは基本的に全てデジタル化された情報のため、なんの対策も取っていない場合は偽造・改ざんが容易に行えるため、いかにしてそれらを防ぎ収集した情報の証拠能力を確保するかということは大きな問題だ。また、無制限な情報の収集・保存をネットワーク管理者に対し許してしまうことは、場合によっては情報の検閲やプライバシーの侵害にもつながりかねない。さらに、ユーザーの行動を全てログとして記録しておこうとするとログの量が非常に膨大になりストレージを圧迫するため、「何を記録し何を捨てるのか」といった取捨選択も必要になってくる。
これらデジタルフォレンジックに関わる一連の問題について研究発表を行なう「デジタル・フォレンジック・コミュニティ2004」が、12月20日から21日まで都内で開かれている。初日の20日は「そもそもフォレンジックとはなんなのか」といった総論から、法的・技術的な課題に至るまでの幅広い話題について講演が行なわれた。
● 全行動を記録するシステムが大きな効果、病院で注射ミスがゼロに
|
国立国際医療センター医療情報システム開発研究部の秋山昌範部長
|
初日の講演で最初に紹介するのは、国立国際医療センター医療情報システム開発研究部の部長を務め、自らも医師である秋山昌範氏の講演だ。秋山氏は実際に同センターで約2年半前から、センターに所属する全ての医師、看護士、事務職員らが患者に対してとった行動(投薬、検査などの治療行為だけでなく、シーツ交換、入浴なども含めた全ての作業)をログとして記録している。この一種のフォレンジックシステムをなぜ構築するに至ったのか、また実際に運用を行なった中での体験談などを披露した。
秋山氏によれば、そもそもこのようなシステムを作るきっかけとなったのが、病院間でHIV患者の診療情報を共有するためのネットワークシステム(通称「A-Net」)に関わったことだという。A-Netは1998年より同センターが中心となって全国的に運用を行っている。
A-Netはもともと「カルテなどを病院間で共有して、東京の病院で受けた診断に基づいて地方の病院でも治療が受けられる」という医療行為に役立てる目的と、「患者の症例を収集・分析し、将来の病気治療や研究に役立てる」という医学の研究目的の2つの目的のために作られたシステム。ところが、本来患者の症状などの情報は医療行為を目的に使用すべきもので、研究目的で利用するには、個人情報の目的外利用にあたるため患者本人の同意書が必要になる。実際には、患者がこの同意書になかなかサインしないという状況だという。
なぜ、患者から同意を得ることが難しいのか――。秋山氏が原因を調べたところ、病院間を結ぶネットワークにコストの関係上VPNを採用したことなど、病院の情報セキュリティ体制の不備に対する不信感はもちろんのこと、「そもそもIT技術になじみがないために生じる漠然とした不安」が大きな原因であることが判明した。前述したフォレンジックシステムは、こうした患者の不信や不安を取り除く目的で、また、万が一患者のプライバシーに関わる情報が漏洩した場合にその経路を特定する目的などから、構築するに至った。
国際医療センターのシステムでは、患者に対して行なった行動が逐一記録されるようになり、「おかげでこの2年半、注射のミスはゼロになった」など医療事故を大きく減らすことができた。また、某有名人が同センターに緊急入院した際に、その有名人の治療とは関係のない職員が興味本位でカルテを覗いたことが判明し、後で注意処分を行なったといった事例も出ているなど、情報流出を防止する機能も果たしているという。これ以外にも、秋山氏が医師として関わった患者から医療訴訟を提起されそうになった際に、このシステムのデータをもとにカルテの改ざんを行なっていないことを証明したことで訴訟を回避できた事例も2件あるとし、同システムの有効性を訴えた。もちろんこれだけのシステムだけに当然記録されるデータの件数はかなり多く、月に40~50万件程度に上るという。
|
|
秋山氏が、システムを構築するきっかけとなったネットワークシステム「A-Net」の概要
|
フォレンジックシステムのおかげで医療事故を大きく減らすことができたという
|
● 記録することで初めてわかる事実も
また、この種のシステムを実用化して初めてわかったこともいくつかある。例えば患者への注射ひとつ取ってみても「医師による事前の指示内容通りに注射が行なわれるケースは6割しかなく、あとの4割は患者の容態などに合わせて現場で投薬内容を変更している」という。秋山氏は「私のところのシステムは注射の2秒前まで待ったが利くために残り4割部分もカバーできるが、既存のシステムのほとんどは前者の6割部分しかカバーしていない。4割部分を人間系で対応せざるを得ないために医療ミスが発生するのではないか」との見解を示した。
医療ミスにも効果的なフォレンジックシステムだが、同種のシステムを他の病院でもすぐに導入できるかというと、現実はなかなかそうはいかないようだ。秋山氏は「日本で年間100億円を稼ぐ病院はせいぜい100~200程度しかなく、経営規模からいえば病院の実態は中小企業でしかない」「日本の医療分野全体を合計してもITへの投資額は年間2,300億円程度しかなく、トヨタ1社の予算とほぼ同じ」と語り、予算不足で病院のIT化がなかなか進んでいないことを参加者に訴えていた。
● 米国法に基づくフォレンジックの必要性は日本企業も無縁ではない
次に、弁護士の高橋郁夫氏と中央青山監査法人のカセイ・カート氏の「アメリカのセキュリティ法制とフォレンジック」を紹介する。米国では21世紀に入ってからエンロンやワールドコムなどの粉飾決算が相次いだことを反省して、上場企業に対して厳しいコンプライアンス体制の整備を求める企業改革法(Sarbanes-Oxley Act、通称SOX法)が2002年に成立しているのだが、このSOX法に基づく体制整備を行なうのにデジタルフォレンジックが不可欠なのだという。
SOX法では、企業の内部統制に関わる外部監査を毎年受けることが義務付けられるなど、企業経営において経営者にかなり厳しい義務を負わせているという。その中でもデジタルフォレンジックと関わりが深いと思われるのが「内部告発者の保護と調査義務」を定めた部分(SOX法第806条)。具体的には、従業員が企業内の問題(主に経営層の問題)に関する内部告発を行なうためのホットライン設置や、実際に内部告発があった場合にそれに応じた調査を行なわなければならないといったことを求めているというが、内部告発を受けて適切な調査を行なったことを外部の監査法人に対して証明するのはなかなか難しいのが現実だ。
しかし、デジタルフォレンジックのシステムを社内で整備していれば、内部告発があった場合にシステムで記録したデータをもとに具体的に過去に遡って問題を調べることが可能になる。外部の監査人に対してもそのデータを提示することで「きちんと内部告発に従い調査を行ないました」と証明することが容易だ。高橋氏は、今後少なくとも米国で株式を公開している企業に関しては、デジタルフォレンジックのためのシステム導入が不可欠になるのではないかとの見解を示す。
|
|
高橋郁夫弁護士
|
SOX法第806条について
|
● 社内調査で難航した“セクハラ社長”の調査もデジタルフォレンジックで解決
|
中央青山監査法人のカセイ・カート氏
|
カート氏は、すでにSOX法に基づく内部告発による調査を数件手がけたことがあるそうで、具体的な事例を1つ紹介した。それは某外資系企業の日本法人の社長が、会社で使用しているノートPCのスクリーンセーバーにポルノ画像を使っている――つまりセクハラだという内部告発の事例で、当初社内の倫理委員会が調査を試みていたものの行き詰ってしまい、カート氏の所属する監査法人に調査依頼が持ち込まれたという。
カート氏らの調査チームはまず電話で社長に対してインタビューし、その後直接面談による調査、社長秘書への個別のインタビュー調査などを経た上で、最終的には実際にフォレンジックのプロを呼んで社長のノートPCのハードディスクイメージを採取。「ハードディスクのデータを解析した結果、内部告発の通りポルノ画像が発見され、最終的に弁護士を通じて報告書を本社に提出し、社内処分が行なわれた」とカート氏は語った。
このように日本法人といえど、外資系企業ではすでにSOX法とは無縁ではない状況が発生している。高橋氏は「日本でもSOX法的な内容の法改正が徐々に行なわれており、日本企業も近いうちにフォレンジックと無縁ではいられなくなるのではないか」と述べ、参加者に企業のコンプライアンスの一環として早期にデジタルフォレンジックの体制を整えることを勧めていた。
|
|
カート氏が実際に手がけた内部告発の例(その1)
|
同じく内部告発の例(その2)
|
関連情報
■URL
デジタル・フォレンジック・コミュニティ2004
http://www.digitalforensic.jp/Work.html
( 松林庵洋風 )
2004/12/21 19:32
- ページの先頭へ-
|