これまで本連載では、社内のデータが退職社員によって「持ち出される」ケースを扱った裁判は何度か取り上げてきました。しかし、データが意図的に「消された・破壊された」場合にはどうなるのでしょうか。退職社員が何らかの意図を持って、故意にデータを消去することがあります。今回の場合は、退職時には何も異常はなかったのですが、退職から一ヵ月後に、突然データがすべて消去されてしまいました。自動で発動するプログラムが仕込まれていたのです。
退職から一ヵ月後に「時限爆弾」が発動、自動プログラムでデータがすべて消去された
昔から情報システムの世界では、退職した従業員が情報を「持ち出す」リスクについては多くの企業が意識を高めてきました。アクセスログの監視、USBメモリの使用制限、退職時の誓約書といった対策を講じている企業は少なくありません。
しかし、持ち出すのではなく「消す」という行為についてはどうでしょうか。退職する従業員が、自分の関わったシステムのデータやプログラムを会社のサーバーから削除して去る。そんな事態を想定して備えている企業はそれほど多くないのではないでしょうか。
しかも厄介なことに、その技術者が悪意を持っていた場合、単純なファイル消去で済むとは限りません。今回紹介する事件では、退職後しばらく経ってから発動するよう仕組まれた「自動削除プログラム」が使われました。退職時点では何も起こっていないように見えても、一ヵ月後にデータが消える……。こうした手口を、通常のアクセスログ監視で事前に防ぐことは困難です。まずは事件の概要からご覧ください。
高松高等裁判所 令和7年10月31日判決
ある企業(一審原告)の従業員であったA(一審被告A)は、退職の際、同社が管理するサーバーに保存されたファイルを削除した。削除されたのは、Aが在職中に開発に関わったソフトウェアに関するファイルである。
同社はAに対し、不法行為に基づく損害賠償として3043万7205円の支払いを求めて提訴した。Aは「削除したソフトウェアはオープンソースの無償版を商用利用していたものであり、そのまま会社に残せば著作権侵害による莫大な損害賠償リスクが生じる。そのリスクを回避するために削除した。故意ではなく過失にすぎない」と主張した。
出典:裁判所ウェブ 事件番号 令和7(ネ)37
今回の記事では、Aの行動が故意か過失かは話題にしません。ある退職者が企業を去る際、どういうわけか会社のデータを削除してしまい、そのために会社の業務に影響が出たという、事象そのものに着目して話を進めます。つまり、「何らかの不満を持って退職する社員が、腹いせに会社のデータを削除してしまう」といった事態に備えましょう、という話です。
さて、今回の事件で特筆すべきは削除の手口です。Aは、最終出勤日にファイルを直接削除したわけではありません。最終出勤日から一ヵ月後に「自動的にファイルが削除されるプログラム」を、秘密裏に作成してサーバーに組み込んでいたのです。会社がデータの消失に気づいたのは、Aがすでに退職した後のことでした。
Aが裁判で述べた「著作権侵害リスクの回避」という動機が、真実かどうかはわかりません。しかし、技術者が退職に際して、自分の開発した成果物を会社に残したくない、あるいは転職先や独立後に同じ技術を使いたいという動機から、データを道連れにして去るというリスクは、IT企業にとって決して他人事ではないはずです。
この記事は参考になりましたか?
- 紛争事例に学ぶ、ITユーザの心得連載記事一覧
-
- 何かの腹いせか?退職社員が「一ヵ月後にデータが消去される」自動プログラムを仕込んでいた……
- 裁判所が考える、そのデータが「営業秘密」だと判断される3つの要件──なぜ“主観”で管理方法...
- 名刺管理ツール内の「名刺情報」を退職社員が持ち出した──損害賠償を請求するために必要な条件...
- この記事の著者
-
細川義洋(ホソカワヨシヒロ)
ITプロセスコンサルタント
経済産業省デジタル統括アドバイザー兼最高情報セキュリティアドバイザ
元東京地方裁判所 民事調停委員 IT専門委員
筑波大学大学院修了(法学修士)日本電気ソフトウェア㈱ (現 NECソリューションイノベータ㈱)にて金融業向け情報システム及びネットワークシステム...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
