中国子会社に対する不正調査における証拠保全のプロセス

IT・情報セキュリティ

 中国子会社の不正の調査を行うにあたり、どのような点に注意して証拠の収集を行えばよいでしょうか。

 調査開始についての情報漏れ・証拠の破棄を防ぐことを念頭におきながら、事案に合った証拠収集計画を立てて収集する必要があります。また、個人情報保護、データの国外移転手続にかかる法令の制定状況等も確認しながら、必要とされる社内規則の整備の有無、手続の要否等も検討する必要があります。

解説

目次

  1. 一般的な調査方法と想定される証拠資料の種類
  2. 対象人物・物の範囲・期間等の証拠収集計画の確定
  3. 証拠の種類に応じた証拠保全の留意点
  4. 留意すべき法規制

一般的な調査方法と想定される証拠資料の種類

 本稿では、例として、中国子会社の従業員から、子会社の仕入および売上において、仕入先および販売先の会社は中国子会社の副社長兼営業部門長の妻が代表取締役を務める会社であり、架空取引が存在する旨の通報を受け、日本本社の調査チームが調査をする事例を想定して考えてみます。

事案の概要

事案の概要

 このケースの調査方法としては、通常は、以下の3つを実施することが考えられます。

  1. 組織関係の資料、取引関連資料、経理関連資料等の閲覧・原本の確保
    • 定款
    • 組織図
    • 社内規則・契約書
    • 発注書
    • 受注書
    • 発票
    • 出荷伝票
    • 納品書
    • 船積関連書類等の証憑またはデータ
    • 帳簿データ
    • 預貯金残高証明
    • 預貯金残高表
    • 得意先別債権残高表
    • 在庫管理に関するデータ 等
  2. 関係者ヒアリング
  3. デジタル・フォレンジック調査
    • 調査事項と関連があると思われる者の業務用パーソナルコンピュータ、メールサーバ(過去のメールサーバのバックアップデータを含む)
    • ファイルサーバ等から得られる過去のメールデータ
    • 文書ファイル(Wordファイル、Excelファイル、PDFファイル等)について保全・復元・検索等の処理を行い、抽出したファイルに対するレビュー

 密行性を考慮して、実施の順序は、③デジタル・フォレンジック調査のためのデータ保存を実施し、調査者がデータをレビューできる段階まで処理する作業を現地訪問前または同時並行で進め、その後、調査チームが中国子会社を訪問して①資料確認・原本確保と、②関係者ヒアリングによる調査を行い、その際に途中で判明した事項を勘案しながら、銀行や取引先等の第三者への照会書の送付等の調査方法を追加することもあります。

対象人物・物の範囲・期間等の証拠収集計画の確定

 ①②③を実施する前に、その具体的な対象人物・物の範囲・期間等の証拠収集の計画を確定し、中国子会社および日本本社側の関係者(案件に応じて日本本社の役職員による不祥事への関与も想定)への情報漏れ・証拠の破棄等をできるだけ防ぎながら、全体のスケジュールに間に合うように手配をしていく必要があります。

 この計画を立てるに際しては、可能であれば、日本本社に保管・管理されている中国子会社の①③の資料・データ・情報(たとえば、経営管理資料として中国子会社から一定の経理資料が送られていることが多く、また現地サーバーの管理に本社のシステム部門が関与している場合もあります)を入手し検証を行います。この段階で、中国子会社において日常的に誰がどの資料・データを保管管理しているのかなど、証拠の所在にある程度当たりをつけられれば、的を絞った密行性の高い証拠収集を行うことができ、証拠の隠滅が生じるリスクを低くできるものと思われ、有用です。

証拠の種類に応じた証拠保全の留意点

 前記の通り、調査事項と関連があると思われる者の会社所有のパーソナルコンピュータ、メールサーバ、ファイルサーバ等のデータ保全を先行して行うことが多いものの、様々な証票の原本資料の確保(破棄を防ぐ)も重要なポイントになります。
 調査対象者が不祥事への関与を否認している場合、原本が破棄されていると、(証拠関係からみて関与が疑われる場合も)ヒアリングでの追及はより難しくなります。また、事後的に民事・刑事訴訟により責任を追及する場面でも立証上の大きな課題となります
 不祥事を隠すために関係の書類が偽造・変造されているケースもあり、特にそのようなケースは当該証拠現物がキーポイントとなります。このため、状況に応じて現物資料を確保して別室に保管することを優先させることもあります。一定の法的手続をとることも検討するケースでは、途中で、中国の公証人に依頼して事実実験公正証書を作成するなどして証拠保全を図ることもあります。

 中国子会社の不祥事調査においては、関係者のWeChat(SNS)でのやり取りが事実関係の解明に大きな役割を果たすことも少なくありません。WeChatでのやり取りは個人のモバイル端末で行っている場合も多く、その場合は同意がなければ取得できませんが、関係者がWeChatでのやり取りをデータで業務用PCに保存している場合もあるため、できるだけ入手できるように留意しておいた方がよいでしょう。

留意すべき法規制

 中国子会社の調査および証拠の保全時には、サイバーセキュリティ法およびその関連規則に留意する必要があります。サイバーセキュリティ法は、ネットワーク運営者および重要インフラの運営者に適用されますが、ネットワーク運営者の定義については「ネットワーク所有者、管理者及びネットワークサービスの提供者のことをいう」とされており(サイバーセキュリティ法76条3号)、また「ネットワーク」の定義は、「コンピュータ又はその他の情報端末及び関連設備で構成される、一定の規則及びプログラムに従い情報を収集し、保存し、伝達し、交換し、処理するシステム」(サイバーセキュリティ法76条1号)とされていることから、インターネットプロバイダー等のようにインターネットサービスを業とする企業だけではなく、社内利用のためにネットワークシステムを利用している場合も該当し得る可能性があり、一般的な事業会社にも広く適用され得ると考えておいた方がよいでしょう。

 そして、サイバーセキュリティ法では、個人情報収集および処理の目的・方法・範囲・ルールについて規則を定めて明示すること、情報収集対象者からの同意を得なければならないことなどが求められており(サイバーセキュリティ法41条)、2019年12月13日時点では未制定ではあるものの、2019年5月28日に国家ネットワーク関連部門が公表した「データ安全管理規則(パブリックコメント募集稿)」(以下「2019データ安全管理規則草案」といいます)においても、ネットワーク運営者によるネットワーク、応用プログラム等を通じた個人情報の収集について、個人情報収集にかかる規則を制定し公開しなければならないこと、規則に含まれるべき事項等が定められています。

 社内調査においてデータ・資料等を閲覧する際に従業員の個人情報が含まれている可能性はあり、また個人情報のみ取り出して整理をすることも現実的ではないため、調査開始前に中国子会社についての従業員個人情報取得に関する規則の有無、同意取得の状況は確認しておいた方がよいでしょう。

 また、サイバーセキュリティ法では、重要情報インフラの運営者 1 は、中国国内における事業活動によって収集し、発生した個人情報 2 および重要データについて中国国内で保存しなければならず、業務上の必要により国外に提供する必要がある場合には、国家ネットワーク情報部門が制定する規則に従い安全評価を行わなければならないとされています(サイバーセキュリティ法37条)。
 このデータの国内保存義務や国外移転手続については、中国現地で収集した証拠・データに個人情報や重要データに該当する情報が含まれている場合には日本本社に共有したり、中国外から閲覧する場面等において問題になり得ます。
 この点について、サイバーセキュリティ法上は、国内保存および国外移転手続の履行義務を負うのは重要インフラの運営者とされ、ネットワーク運営者については規定されていませんが、2019データ安全管理規則草案および2019年6月13日に公表された「個人情報国外移転安全評価規則(パブリックコメント募集稿)」(以下、「2019年個人情報安全評価規則草案」といいます)においては、ネットワーク運営者が中国国内における事業活動によって収集し、発生した個人情報および重要データ 3 について中国国内で保存しなければならず、業務上の必要により国外に提供する必要がある場合には、国家ネットワーク情報部門が制定する規則に従い安全評価を行わなければならないとされています(2019年個人情報安全評価規則草案3条)。

 個人情報・重要データの国外移転の安全評価手続に関しては、2017年4月11日に公表された「個人情報及び重要データの国外移転安全評価規則(意見募集稿)」では、企業による自己評価を原則としていたのに対し、今回の草案で自主評価の仕組みは採用されておらず、行政部門における安全評価手続が原則とされていることに留意が必要です 4

 草案の内容については今後変更される可能性もありますので、個人情報保護、データの国外移転手続にかかる法令の制定状況は常にアップデートしながら、必要とされる中国子会社の社内規則の整備の有無、手続の要否等も検討していく必要があると思われます。


  1. 公共通信および情報サービス、エネルギー、交通、水利、金融等の重要な業界および分野、その他の機能が破壊され、喪失し、またはデータが漏洩すると国の安全、国の経済と人民の生活、公共の利益に重大な危害が及ぶおそれがある国の施設を運営する事業者を指します(サイバーセキュリティ法31条)。 ↩︎

  2. 個人情報とは、電子的方法またはその他の方式で記録された情報で、単独でまたは他の情報を組み合わせることにより、特定の自然人の身分を識別し得る各種情報を指し、個人の氏名、生年月日、身分証明書番号、生体認証番号、住所、電話番号等が含まれるとされています(サイバーセキュリティ法76条5項)。 ↩︎

  3. もっとも、2019年データ安全管理規則草案38条では、重要データの定義について、「重要データとは、未公開の政府情報、大面積人口、健康、地理、鉱山資源等のデータが漏洩すると国家の安全、経済の安全、社会の安定、公共の健康及び安全に直接影響するデータをいい、通常、重要データには企業生産経営及び内部管理情報、個人情報等は含まれない。」との定義がなされており、本規則が制定された場合には重要データに該当する情報の範囲はある程度限定されるものと思われます。 ↩︎

  4. 2019年個人情報安全評価規則草案では、同一の受領者に多数回にわたって個人情報を提供する場合には、その都度の安全評価申請は必要なく、2年ごとまたは個人情報国外移転の目的、類型、国外保存期間に変化が生じた場合に再度評価申請をすべきものとされています。 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する