Contents
  1. テーマ:証拠を掴むための「7つ道具」 ~デジタルとアナログの融合~
  2. 【練習問題】パート1 セクションD-5-d

テーマ:証拠を掴むための「7つ道具」 ~デジタルとアナログの融合~

セクションD-5-dは、不正の疑いが濃厚となった場合に、事実を解明し証拠を確保するための具体的な「調査手法(Examination Techniques)」を学ぶパートです。

監査人は「何となく怪しい」という心証を、「確固たる事実」に変えるために、科学的かつ体系的な手法を用います。

CIA試験では、各手法の特徴と、それを使用する際の注意点(特に法的証拠能力の維持)が問われます。

1. 導入:調査の基本原則「証拠の保全」

具体的な手法に入る前に、すべての調査活動に共通する鉄則があります。それは「証拠の連鎖(Chain of Custody)」の維持です。

  • 定義: 証拠がいつ、どこで、誰によって収集され、誰の手に渡ったかという記録の連続性。
  • なぜ重要か? これが途切れると、証拠が改ざんされた可能性があるとみなされ、法的な場(裁判など)で証拠として採用されなくなります。

2. 主要な調査手法(4つの柱)

不正調査は、以下の4つの手法を組み合わせて行われます。

① データ分析・フォレンジックデータ分析

現代の調査において、最初に行うべき最も強力な手法です。

  • 手法: 全件データを分析ソフト(CAATsなど)にかけ、異常値を検出します。
  • ベンフォードの法則(Benford’s Law): 自然界に存在する数値の先頭の桁の出現確率には一定の法則があります(例:「1」で始まる数字は約30%、「9」は約5%)。
    人間が適当に作った数字(架空の売上や経費)はこの法則に従わないことが多いため、これを利用して「作られた数字」を見抜きます。
  • その他の分析: 重複支払、休日・深夜の入力、丸い数字(Round Numbers:例 1,000,000円)の抽出。

② 文書鑑定(Document Examination)

「紙」や「電子文書」の痕跡を調べます。

  • ポイント: 必ず「原本(Original)」を確認すること。コピーは改ざん(切り貼り)が容易だからです。
  • 見るべき点: 筆跡の偽造、インクの違い、消しゴムや修正液の跡、日付の矛盾。

③ デジタル・フォレンジック(Computer Forensics)

PC、スマホ、サーバー内のデータを復元・解析します。

  • 鉄則: 調査対象のPCを「いきなり起動してはいけない」。
    • 起動しただけでOSがタイムスタンプ(最終アクセス日時など)を更新してしまい、証拠が変わってしまいます。
    • 専用ツールでハードディスクの「ビット単位のコピー(ビット・ストリーム・イメージ)」を作成し、そのコピーに対して調査を行います。
  • 対象: 削除されたメール、Web閲覧履歴、ファイルの作成日時。

④ インタビュー(Interviewing)

「人」から情報を引き出す手法です。最も繊細な技術が必要です。

  • 順序の鉄則:「外堀から埋める」
    1. 中立的な第三者(事情を知っていそうな人)
    2. 裏付け証人(協力的な証人)
    3. 共犯の疑いがある者
    4. 主たる被疑者(Target):最後に話を聞く。
  • 理由: いきなり被疑者に聞くと、証拠を隠滅されたり、口裏を合わせられたりするため。十分に情報を集めてから対峙します。

3. その他の手法

  • 監視・張り込み(Surveillance):
    • 物理的な資産の盗難や、勤務実態の確認などに有効です。ただし、プライバシー侵害のリスクがあるため、法的な助言が必須です。
  • 公的記録の調査(Public Records Search):
    • 登記簿、SNS、破産記録などを調べ、被疑者の資産状況や隠し会社(関連当事者)を特定します。

4. 試験で狙われる「ひっかけ」ポイント

  1. ×「被疑者のPCを押収したら、すぐに中身を確認するために電源を入れてファイルを開いた」
    • 解説: 最悪の対応です。証拠汚染(Alteration)になります。まずは保全(コピー)が先決です。
  2. ×「効率化のため、最初に被疑者をインタビューして自白を求めた」
    • 解説: 間違いです。準備不足のままインタビューすると、言い逃れを許し、防御を固めさせてしまいます。被疑者は最後です。
  3. ×「筆跡鑑定やデジタル解析を、経験のない内部監査人が見よう見まねで行った」
    • 解説: 「能力(Proficiency)」の欠如です。専門的な鑑定は、外部の専門家に依頼すべきです。素人が行うと証拠能力を失います。

まとめ

セクションD-5-dのポイントは、「証拠を壊さない」ことです。

  • デジタルデータは触ると変わる。
  • 人間の記憶や証言も、聞き方を間違えると変わる(嘘をつかれる)。

慎重かつ科学的なアプローチで、事実を積み上げていくプロセスが調査手法の本質です。

【練習問題】パート1 セクションD-5-d

Q1. 内部監査人が、従業員による不正の疑いがある事案について調査計画を立てている。インタビューを実施する順序として、一般的に最も適切かつ効果的なものはどれか。

A. まず被疑者本人をインタビューして事実関係を問い詰め、その後に周辺の従業員へ裏付けをとる。

B. 無作為に選んだ従業員から順にインタビューを行い、情報を収集する。

C. 中立的な第三者や情報を知る証人から始め、証拠を固めた上で、最後に被疑者本人をインタビューする。

D. 経営陣へのインタビューのみを行い、現場の従業員や被疑者への接触は避ける。

【解答・解説】

正解と解説を表示

正解(C): 不正調査のインタビューは、情報の漏洩や証拠隠滅を防ぐため、被疑者から最も遠い人物(中立的な第三者)から始め、徐々に核心(被疑者)へと迫る「外堀から埋める」アプローチが鉄則です。

不正解(A): 最初に被疑者に行くと、警戒されて証拠を隠されたり、口裏合わせをされたりするリスクが高まります。

不正解(B): 無作為な順序では、意図せず被疑者に情報が漏れるリスクがあります。

不正解(D): 経営陣だけでは現場の事実関係が掴めないことが多く、調査として不十分です。

Q2. 内部監査人は、経費精算における架空請求の疑いを調査するために、データ分析(Data Analytics)を実施しようとしている。人間が作為的に作った数字(架空の数値)を検出するために最も有効な分析手法はどれか。

A. 回帰分析(Regression Analysis)

B. ベンフォードの法則(Benford’s Law)分析

C. 比率分析(Ratio Analysis)

D. 損益分岐点分析(Break-even Analysis)

【解答・解説】

正解と解説を表示

正解(B): ベンフォードの法則は、自然界に存在する数値の先頭の桁の出現確率には一定の法則がある(「1」で始まる数字は約30%、「9」は約5%など)というものです。人間が適当に作った数字はこの法則に従わないことが多いため、架空データの検出に非常に有効です。

不正解(A): 変数間の関係性を分析するもので、個別の架空数値の検出には向きません。

不正解(C): 全体的な傾向を見るには有効ですが、個別の不正データの特定には弱いです。

不正解(D): 経営分析の手法であり、不正調査の手法ではありません。

Q3. 不正調査において、被疑者が使用していたパソコン(PC)を証拠として保全する際の対応として、最も適切なものはどれか。

A. どのようなファイルがあるかを確認するため、直ちにPCを起動してフォルダの中身を閲覧する。

B. 削除されたファイルを復元するために、市販のファイル復元ソフトをそのPCにインストールして実行する。

C. 証拠の汚染を防ぐため、PCを起動せず、専門的なツールを用いてハードディスクの完全な複製(ビット・ストリーム・イメージ)を作成し、その複製データを用いて分析を行う。

D. 重要なメールだけをUSBメモリにコピーし、PC本体は本人に返却する。

【解答・解説】

正解と解説を表示

正解(C): デジタル・フォレンジックの基本原則は、原データに変更を加えないことです。PCを起動するだけでOSがタイムスタンプなどを書き換えてしまうため、電源を入れず、専用機材でビット単位の複製(イメージ)を作成し、解析はすべて複製データ上で行う必要があります。

不正解(A): 起動操作自体が証拠データの属性(最終アクセス日時など)を変更してしまい、証拠能力を損ないます。

不正解(B): 新たなソフトのインストールは、ディスク上のデータを上書きしてしまうリスクがあります。

不正解(D): 削除されたデータの復元ができなくなるほか、証拠の網羅性が担保できません。