特に内部犯行にどう対処するかの議論の中で、ある重要インフラ企業の人が、
「状況証拠が揃っても、自白してくれないとどうしようもない」
と発言した。私自身は違和感があったのだが、何人かの企業人が同意の表情をしている。その場での質問は控え、休憩時間に個別に聞いてみた。
・かつては「自白は証拠の王」とされていたが、現在の捜査は証拠主義
・極端な例だが「和歌山毒カレー事件」は被疑者否認のまま死刑が確定
なのに、サイバー事案が「自白頼り」というのは、法規制の違いなのか?と問うと、意外な答えが返ってきた。
・容疑者を裁くことは(サイバーセキュリティ責任者の)目的ではない
・被害を局所化することが目的で、そのためには自白を含めた容疑者の協力が要る
・問い詰めているうちに、外部クラウドから機密情報を拡散されるなどしたら大変困る
なるほど、ここにも被害企業と警察の関係についてのコンフリクトがあるなと納得した。いかに民間企業の立場に配慮すると言っても、警察としては被害局所化よりも犯罪の追及、容疑者の訴追をめざすのは当然のこと。局所化が終了して、これ以上被害が広がらない(企業としての信頼を失墜しない)ようになるまで、警察の捜査は受けたくないのだろうと思った。
グローバル企業の人が、米国FBIと関わった時の話をしてくれた。サイバー犯罪対応にも経験のあるFBIは、素早くやってきて容疑者と関係するもの(企業内のPC、スマホ、容疑者個人の機器)を持って行ってしまった。もう企業側で、何かできることは無くなってしまったという。加えて警察からは「捜査中の案件についての公表は控えるように」指示されるから、メディア・市場などへの情報提供も制限される。
かといって、警察への通報を遅らせ過ぎれば、隠ぺいしたのではないかと(メディアなどに)勘ぐられる可能性もある。事案が発生した、もしくは事案の疑いがある場合、どのように警察と関わっていくか、企業としても経験を積み、実態を公表して議論し、社会全体に広めていく努力が必要になろう。