電子ファイルを裁判の証拠として扱ううえでの留意点（電子ファイルの真正性）

電子データの改ざんが問題となった事件

検察官がフロッピーディスクの改ざんを行った証拠隠滅被告事件

　ファイルに含まれるメタデータやプロパティ情報は、容易に削除したり、変更したりできることを「電子データ・電子ファイルに含まれる情報」で説明しました。もっとも、メタデータに含まれる作成者名と文書ファイルを作成したパソコンの使用者名とが異なれば、ファイルの作成者が、パソコンの使用者ではない可能性があることや、メタデータやファイルの内容が改ざんされたことを発見できる場合があります。メタデータが印刷されない書面とは異なり、電子ファイルを電磁的記録媒体に記録し証拠として提出できれば、メタデータ等が改ざんされたことやファイルの内容が改ざんされたことの手がかりとなり得ます。

　メタデータではなく、パソコンのOSのファイルシステムが管理しているプロパティ情報と捜査報告書との間に齟齬が生じ、ファイルのプロパティ情報等の改ざんが発覚した事件として、2010年に検察官がフロッピーディスク内の文書ファイルの最終更新日時等の情報を改ざんした証拠隠滅被告事件 ¹ があります。これは、元検察官が、フロッピーディスク内に保存されていた文書ファイルの日時では、検察側の考える筋書きに沿わないと考えたため、当該文書ファイルのプロパティ情報等を改ざんした事件です。

　具体的には、元検察官は、2009年5月26日に押収したフロッピーディスク内に保存されていた当該文書ファイルの最終更新日時「2004年6月1日1時20分06秒」を、押収後の2009年7月13日に特殊なソフトウェアを用いて「2004年6月8日21時10分56秒」へと改ざんしました ²。しかし、捜査報告書に記載された当該文書ファイルの最終更新日時が「2004年6月1日1時20分06秒」であり、プロパティ情報と捜査報告書との間に齟齬が生じたことによりプロパティ情報を改ざんしたことが発覚しました。

　このように、ファイルに含まれるメタデータ等は、改ざんされている手がかりにもなり得ますが、改ざん結果について他の証拠と照らして齟齬が生じていない場合には、真正な証拠として扱われてしまう可能性にも留意する必要があります。

メールのヘッダー情報を書き換え、なりすましメールを作成したか争われた事例

　他にも、さいたま地裁平成21年7月28日判決・判例秘書L06450468は、被告人が元同僚の女性につきまとうなどしてストーカー行為を行ったという事件であり、被告人と共犯者との間で送受信されたメールに関して、共犯者が特殊なソフトウェアを使用してメールのヘッダー情報を書き換えて、なりすましメールを作成したかどうかが争われました。

　これについて、さいたま地裁は、「メールのヘッダー情報の書き換えが技術的に可能であるとしても」、共犯者において「被告人との間のメールの送受信をわざわざ偽装する理由も必要性も見当たらない上」、他の証拠からもメールの文面が一致しており、「メールが偽装されている旨の主張は明らかに失当である」として、被告人の主張を認めませんでした。

　上記の裁判例では、裁判において証拠とされた情報を改ざんする理由や必要性があるかどうかが検討され、また、他の証拠と照らして齟齬が生じていない場合は改ざんされていることの主張が認められないとしています。

写真データの撮影日時情報が改ざんされた点が争われた事例

　また、水戸地裁平成23年5月20日判決・判例秘書L06650285は、キリスト教会主任牧師である被告人が同協会の信徒を誤信させて姦淫した準強姦被告事件であり、検察官は、被告人から提出された、被告人のアリバイを示す写真データの撮影日時情報が人為的に改ざんされたとして争いましたが、裁判所は次のように判示して、改ざんされたことを認めず、他の証拠からも被告人を無罪としました。

　裁判所は、鑑定人である警察庁技官のR作成の鑑定書およびRが公判廷において証言した内容について、「Rは、パソコンのデータ解析等について専門的な知識、技能を有しており、R鑑定の内容は客観的に解析された画像データの内容について解説するもので、……R鑑定の信頼性は高い。そして、R鑑定を踏まえ、本件ハードディスクに保存されていた画像データの各時刻情報や復元された画像データの内容等を精査しても、本件写真の撮影日時が人為的に改ざんされたものであることを疑わせる事情は特には何ら存在しないというべきである」と判示しました。

　検察官は、画像データのEXIF情報等の時刻情報はインターネット上で無料で入手できる専用ソフトを使用すれば容易に改ざんできると主張しましたが、裁判所は「確かに、インターネット上でEXIF情報等の編集ソフトを入手することは比較的容易であり、これを使用すればEXIF情報を編集する作業自体も、さほど困難なものではないと認められる」としながらも、「検察官が具体的にかかる改ざんの主体として想定するところと解される」本件画像データの提供者らが「実際にそうした編集ソフトを入手しこれを使用していたなどとの形跡は全く明らかにされていないのであるから、単にそうした編集ソフトの存在をもって、本件写真の時刻情報の改ざんを疑う具体的な事情たり得るものでないことは明らかである」として、人為的に改ざんされた形跡がないとして、検察官の主張は認められませんでした。

　上記の裁判例では、電子データを含むファイルは技術的に改変しやすい性質であることには理解を示しつつ、実際には、その可能性を疑わせる具体的事情が必要であるとしています。

　ファイルのメタデータ等の改ざんは技術的に容易なため、裁判に備えるのであれば①ファイルに対する客観的な真正性を担保すること、またそれができない場合は、②必要な改ざん防止措置を取り適切な証拠保全手続を履践することが大切です。上記の裁判例では、改ざんを指摘する場合には、改ざんの可能性を疑わせる具体的な事情が必要であるとしていますが、今後もこのような判断が継続されるかはわかりません。そのため、上記①または②が行えていないと、裁判において、真正性がないとして証拠が排除される可能性も留意しておくべきでしょう。

証拠改ざんを防ぐ方法としてのハッシュ値の活用

ハッシュ値を用いた、改ざん、変更の有無の確認

　証拠の改ざんを防ぐ方法として、ハッシュ値の活用があります。ハッシュ値とは、ファイルから一定の計算手順により求められた、規則性のない固定長の値のことをいいます。メタデータは、ファイル内に保存された情報であるため、ファイルの内容が変更されていれば当然、メタデータが変更された場合にも、ハッシュ値は異なります。そのため、ファイルが変更されていないことを確認するには、ハッシュ値の活用が有効です。ハッシュ値は、ファイルのわずかな一部だけでも変更されればまったく異なる値になるため、この値が一致すれば改ざんされていないことを確認することができます。

　たとえば、あるファイルにおけるハッシュ値（SHA−1）と、ファイル中のデータを1文字変更した後のハッシュ値は、以下のようにまったく異なるものとなります。

　HDDやSSD、USBメモリ等を別のHDDやSSD、USBメモリ等に丸ごとコピー(複写)した際にも当該電磁的記録媒体全体のハッシュ値を取得できますので、同一の電磁的記録媒体を作成したことを担保できます。

　このように証拠保全されたファイルが同一のものであることや改ざん・変更されていないことを確認するためには、対象者の端末に保存されたファイルAの元となるファイルBが、別の端末に存在する場合、元となるファイルBのハッシュ値を取得し、対象者の端末に保存されたファイルAのハッシュ値と比較することで、改ざん・変更の有無が確認できます。また、解析者がファイルを改ざんしたと疑われないようにするためにも、ファイルをコピーした段階でハッシュ値を取得しておき、後の解析時にもファイルのハッシュ値を取得して比較することで、改ざんしていないことを担保できます。ただし、プロパティ情報は、パソコンのOSのファイルシステムが管理している情報になるため、ファイル内に保存された情報ではありません。そのため、プロパティ情報の改ざんはハッシュ値の一致から確認することができない点には留意する必要があります。

ハッシュ値が活用された事例

　たとえば、不正アクセス禁止法違反等被告事件 ³ において、裁判所は、被害企業のパソコンが感染した『Xfile.exe』のファイルと、被告人が使用していたパソコンから発見された『syouhingazou7.exe』のファイルのハッシュ値が、SHA-1とMD5という2種類の計算方法で一致したことを指摘しました。ハッシュ値が同一であるのにファイルが異なる確率は、比較的重複する可能性があるMD5という計算方法でも、約1800京分の1の確率であり、被告人が使用していたパソコンから発見されたファイルと被害企業に送信されたファイルは、同一のファイルであると認められると判示しており、ハッシュ値の信頼性を認めています。このようなハッシュ値の活用は、HDDを丸ごと複写して保全した場合にも活用でき、HDD全体が改ざんされていないことを立証する手法としても役立つでしょう。

　もっとも、同一と考えられたファイルのハッシュ値が異なった場合であっても、当該ファイルの証拠としての価値がなくなるわけではなく、実際にファイルに保存された内容を確認したうえで真正性が判断されます。

　例となる行政事件として、教員採用決定取消処分取消請求等事件 ⁴ では、裁判所は「解析に用いることが予定されていない……ハードディスクへのアクセスがあり、ファイルの最終アクセス日時が変動しているからといって、被告がハードディスク内に保存されていたデータを改変した事実をにわかに推認することはできない。
　また、被告が復元したファイルと鑑定人が復元したファイルとの間に過不足があることや、同一名称のファイルでありながらハッシュ値が異なるとしても、鑑定嘱託の結果は、被告が特定したファイルの内容と一致しており、被告の特定したファイルの信用性を左右するものではない。なおファイルのハッシュ値は、ファイルのバイナリデータの僅か1ビットの変動でも異なってくるものであるから、ハッシュ値の違いのみから、被告の解析結果の信用性を判断するのは全く相当でないと思慮する」（下線は筆者）と判示しています。

　上記裁判例では、ハッシュ値が異なったとしてもファイルの内容を実質的に判断していることから、単にハッシュ値が異なるからといって、ファイルの内容の同一性まで一律に否定されるわけではないことが確認できます。

最後に

　裁判手続等のIT化によって、訴状や証拠等をファイルとして扱えるようになると、検索や提出が容易になる反面、ファイル改ざんの容易性から、当該ファイルの真正性が問題になり得ます。メタデータを確認することによって改ざんされたかどうかの手がかりになり得ますが、改ざん結果に齟齬がなければ、その事実をもって当該データが真正なものとして扱われてしまう可能性も否定できません。紹介しました裁判例では、ファイルの改ざんが技術的に容易なことを認めつつ、改ざんされた可能性のある証拠であったとしても、改ざんされたことを疑わせる具体的な事情がない限り、改ざんされた証拠と認められにくいといえるでしょう。

　もっとも、今後、裁判手続等のIT化によって、ファイルを証拠として提出されやすくなり、ファイルの改ざん容易性が考慮される可能性があります。そのため、ファイルと合わせて当該ファイルが作成された時点や証拠保全された時点のハッシュ値の提供を受けてこれを確認する、他の痕跡情報による齟齬がないかを確認することなど、ファイルが改ざんされていないことをメタデータ以外の方法で確認することも考慮する必要があります ⁵。