退職者が機密情報を勝手に持ち出し！？報復目的での情報人質問題にどう対処する？

どの業界においても人手不足が続く中、退職者が出ることは決して珍しくありません。多くの場合、退職は穏便に進み、特段のトラブルなく退職していきます。

しかし、ごく稀にではあるものの、退職に際して事業所に深刻なダメージを残していくケースが存在します。

「立つ鳥跡を濁さず」とはよく言ったものですが、実際には、大きな混乱や不安を残して去っていく、そんな退職の仕方をされると、事業所側としては対応に追われることになります。

今回は、退職者が事業所内の機密情報を密かに持ち出し、それが発覚したことで、事業所の責任者や管理職が一気に緊張状態に陥った事例をもとに、いわゆる「情報人質」問題の実態と、実務上どのように対処すべきかについて解説します。

頼りにしていた兼任のIT管理担当者が退職

ある事業所では、若手職員Aに兼務としてIT管理業務を任せていました。
AはパソコンやITに詳しく、事業所内のインターネット環境、各種アプリケーション、業務ソフト、機器の管理などを担当していました。

Aは真面目な性格で、IT管理業務も丁寧にこなしており、これまで施設長が手探りで対応していたIT関連業務は、Aが担当するようになってから安定して運用されるようになっていました。
業務量が増え、施設長一人では対応しきれなくなっていた事情もあり、Aは非常に頼りにされていたのです。

ところが、ある日突然、Aが「退職したい」と申し出てきました。施設長にとっては寝耳に水でしたが、話を聞くと、Aは以前から職場に強い不満を抱えており、退職を考えていたとのことでした。

人手不足の現場にとってAの退職は大きな痛手でしたが、説得しても気持ちは変わらず、施設長はやむなく退職を受け入れました。
そして、Aにはこれまで担当していたIT管理業務を、事務長へ引き継ぐよう指示しました。

退職後に発覚した「まさかの事態」

Aの退職からしばらく経ったある日、事務職員から施設長に連絡が入りました。

「勤怠管理ソフトに新入社員を登録したいのですが、IDとパスワードが分からないので教えてもらえますか」。しかし、施設長はIDやパスワードを把握していません。それらはすべて、Aが設定・管理していたからです。

嫌な予感がした施設長は、他の業務ソフトや契約しているクラウドサービスも確認しました。すると、複数のサービスでパスワードが変更されており、管理画面に一切アクセスできない状態になっていたのです。

これでは、新しい職員の登録も設定変更もできません。

新しいパスワードを伝えずに担当者が退職

原因は明らかでした。Aが退職前にパスワードを変更し、その内容を引き継がないまま退職していたのです。事務担当者が業務を引き継ぐ際にAからパスワードの説明はなく、事務担当者も、パスワード管理まで引き継ぐ必要があるとは認識していませんでした。

施設長がAに連絡を取ると、返答は、「記憶にありません」の一点張り。
これ以上Aから情報を得ることは困難と判断し、事業所側は各ソフト・クラウドサービスのサポート窓口に連絡し、事情を説明してパスワードの再設定を行うことになりました。

もちろん、法人契約であることの証明、本人確認、対応完了までには相当な時間と手間がかかりました。この一連の出来事を受け、施設長から次のような相談が寄せられました。

「パスワードを勝手に変えて退職したAは、罪に問われないのでしょうか？」

罪になる可能性はあるが、ハードルは高い

Aの行為は、状況によっては威力業務妨害罪に該当する可能性があります。
ただし、実務上は、このようなケースがすぐに刑事事件として立件されることは多くありません。

今回のような場合、Aが「セキュリティ上、定期的にパスワードを変更しただけ」、「変更したこと自体は覚えていない」と主張すれば、故意に業務を妨害する目的で行ったことの立証が難しいためです。このような事態が生じた場合に事業所が退職した職員に対して責任追及することを見据えるのであれば、例えば、次のような対策を講じておく必要があります。

• パスワードを定期的に変更するルールと変更日をあらかじめ定めておく
• 引き継ぎ資料に、各種ソフト・サービスのID・パスワード記載欄を設け、確認・記録を残す
• 担当者の退職が決まった時点で、パスワードを変更し、法人側で一元管理する

こうした体制があれば、「個人の判断で勝手に変更した」と評価しやすくなり、責任追及できる余地が高まります。

ITや情報に関するリスクのマネジメントも重要

今回の事例では、時間と手間はかかったものの、最終的にパスワードを取り戻すことができました。しかし、退職者が報復的に、パスワードの変更や、データ削除、機密情報の持ち出し等を行うリスクは、どの事業所でも常に存在しています。業務上、職員に情報やパスワードを管理させることは避けられませんが、個人に任せきりにしない仕組みづくりが不可欠です。

例えば、次のような点を意識するとよいでしょう。

• 私怨により「情報を人質にされる」リスクがあることを理解する
• 機密情報やパスワードを、特定の個人ではなく複数人で管理する体制にする
• 契約しているソフト・サービスを一覧化し、担当者名も記録しておく
• 退職時の引き継ぎマニュアルを整備する
• 日頃からITリテラシー教育を行う

※退職時のデータ削除や、私用スマホで業務写真を撮影する行為に潜むリスクも含めて周知する

これらは一例にすぎませんが、IT・情報管理も立派なリスクマネジメントの一部です。
日頃から職場の人間関係を円滑に保つ努力とあわせて、ぜひ体制の見直しを検討してみてください。