こんにちは。弁護士の浅見隆行です。
2023年6月30日、京都府京丹後市は、職員が上司職員のPCを損壊して業務の遂行に影響を及ぼしたほか、SNSで誹謗中傷、スケジュールの削除などしていたことから、減給3か月の懲戒処分としたことが明らかになりました。
また、京都府京丹後市は2022年10月20日に刑事告訴し、職員は2023年6月14日に略式命令により器物損壊として罰金20万円に処せられたことも明らかになっています。
刑事罰の量刑は相当だとしても、過去の事例と比べても、懲戒処分の内容が軽すぎる印象を受けました。そこで、同種の事件では、どのような顛末になっているかを比較します。
在職中にPCの破壊やデータを破損した事例
京都府京丹後市の職員のように在職中にPCの破壊やデータを破損するケースは、それほど多くはありません。多いのは、退職直前に嫌がらせ目的でPCの破壊やデータ破損をするケースです。
共有サーバからデータを削除した水戸市の事例
2023年2月28日には、水戸市の財務部税務事務所収税課の主査が、2022年12月にマスク着用の指導を受けたことに腹を立て、所属する課の共有ファイルサーバから、2019年度から2022年度までの滞納処分に関わる職員の実績データを削除したとして、懲戒免職処分を受けています。また、水戸市は職員を公用文書等毀棄罪として被害届を提出しています(2023年3月2日ITメディア)。
不正プログラムでデータを削除した警視庁の事例
2021年8月6日には、警視庁情報管理課の主事が、上司に叱られた腹いせで、上司のPCを通じて運転免許管理システムに接続し、自作した不正プログラムで約26万人分の免許関連データを削除したとして、電子計算機損壊等業務妨害で書類送検され、かつ、懲戒免職処分を受けています(2021年8月7日、読売新聞オンライン)。
公務員に対する懲戒免職は、民間企業の懲戒解雇と同じものです。
データ削除などにより業務に支障が生じた場合には、それなりに厳しい処分にしています。それに比べると、刑事罰を受けたのに減給3か月の懲戒処分に留めた京都府京丹後市のケースはやはり軽い印象を受けます。
データ改ざんした世田谷区の事例
2016年2月25日には、世田谷区の職員が、2015年9月26日に職場の自分のパソコンから区の給与などを扱う管理システムにアクセスし、清掃事務所の上司や同僚約30人分の残業時間や休日出勤をゼロにしたり減らしたりして給与が下がるように工作したとして、電子計算機損壊等業務妨害(データ改竄)で逮捕されています。このケースも、動機は、過去の業務ミスを指摘され、弁明の機会もなかったことの腹いせ、とのこと。
なお、この職員は、2005年に世田谷区の保健福祉センターに在職していた当時にも、出会い系サイトで知り合った女性医師に1回会って断られたことを腹いせに、医師の個人情報をネットで晒していたとして名誉毀損により逮捕されています(2016年2月26日、jcastニュース)。
在職中に問題を起こしてニュースになるのは、なぜか、腹を立てた公務員ばかりでした。こらえ性がないのでしょうか。ストレス耐性が弱すぎる気がします。
ソースコードを書き換えプログラムが作動しなくなったものの「無罪」になった事例
システムエンジニアが、処遇に不満を抱き、在職中の2019年8月2日午後5時頃に、9月1日午前9時以降に作動しないように自社の商品管理プログラムのソースコードを書き換えた後、8月7日に体調不良で早退した後出社しないまま9月9日に退職し、電子計算機損壊等業務妨害として起訴されたケースもあります。
裁判所は、ソースコードを書き換えたことや処遇に不満を抱いていたことは認めたものの、代表を含め3人の規模の会社でシステムエンジニア本人が作成し本人が使用することを前提としたプログラムであること、書き換えた当時に退職を検討をしていたとは認められないこと、数分で修正できる内容であることなどから、故意は認められないとして無罪としました(電子計算機損壊等業務妨害罪は故意犯。高松地裁丸亀支部2021年1月12日)。
ソースコードを書き換えたことが無罪になるわけではありません。あくまで電子計算機損壊等業務妨害の故意が認められなかったので無罪になっただけですので、先例として誤解しないでください。
この記事ではだいぶ端折りましたが、判決文を読むと故意の有無は丁寧かつ詳細に事実認定されています。適当な言い訳をされたら故意が否定されてしまう、とも誤解しないでください。
退職後にPCの破壊やデータを破損した事例
退職した後に、会社のサーバのログインIDやパスワードがそのままになっていることを奇貨として、外部から不正アクセスしてデータを破損するケースもあります。こちらは民間企業でも目立ちます。
退職後に退職前の権限を利用して不正アクセスした事例
建設会社のシステム管理を1人で行っていた従業員が2019年1月に退職した後、退職後もIDやパスワードがそのままだったことを奇貨として、3月5日から6日にかけて建設会社のPCに不正アクセスして、顧客情報、契約書などの全データを削除して、11月25日に、電子計算機損壊等業務妨害により逮捕されています。社長や会社の対応への不満が動機だそうです(2019年11月25日、産経新聞デジタル)。
退職後に元同僚・元上司のパスワードを使用して不正アクセスした事例
共立電気計器のシステム管理を担当していた従業員が2021年12月に退職した後、2022年3月から6月に元同僚や元上司のパスワードを使用してサーバに不正アクセスし、人事、技術、顧客に関する情報を削除したなどとして、2023年1月24日に不正アクセス防止法違反と電子計算機損壊等業務妨害により逮捕されました(逮捕されたのは6月の不正アクセスに関するもの)。
共立電気計器はバックアップにより復旧できたものの、復旧に約660万円を要したそうです。なお、元従業員は逮捕時点では否認しています。(2023年1月24日、朝日新聞デジタル)。
共通しているのは、ID・パスワードなどのアクセス権限がそのままになっていたことです。退職者のIDやパスワードなどのアクセス権限は退職後、ただちに削除するか変更するようにしてください。できれば退職前でも最後の有休消化を始めた時点で削除するか変更してしまうのが理想です。
退職後にファイル自動削除ソフトを使ってデータを削除した事例
福井県敦賀市内の自動車販売会社の元従業員が、2020年8月8日午後4時55分ごろから同5時15分ごろの間に、会社のパソコン内にファイル自動削除ソフトをインストールし、2021年1月4日に会社のローカルネットワークで接続されたハードディスク内の顧客情報などのデータを削除し、業務を妨げたとして、不正指令電磁的記録供用と電子計算機損壊等業務妨害罪で、懲役1年6月、執行猶予4年の有罪判決を受けています(福井地裁敦賀支部2022年8月18日、福井新聞)。
データ漏えいのケースですが、かっぱ寿司の元社長のケースも、楽天の元社員のケースも、どちらも退職間際に情報を持ち出して不正競争防止法違反になっています。
データの破損防止と漏えい防止と両方の観点からアクセス権限の管理は重要です。
外部からの不正アクセスにより取引先などデータを損壊
業務を請け負っていた者が取引先のデータを損壊するケースも発生しています。
業務委託元のホームページを改ざんした事例
2021年には、業務委託元の広告会社のホームページに不正アクセスし改ざんし閲覧できなくしたとして、6月・7月に不正アクセス防止法違反で逮捕された後、改ざんについて7月27日に電子計算機損壊等業務妨害により逮捕されたケースがあります(2021年7月27日、読売新聞オンライン)。
退職後に会社が契約しているサーバに不正アクセスしてデータを削除した事例
福岡県のホテルのサイトを管理していたウエブサイト制作会社の従業員が、2021年4月に退職した後も会社から貸与されていたPCを返却せず、7月にウエブサイト制作会社が契約するサーバに不正アクセスし、ホテルの顧客情報、メール履歴、ホームページの情報などを削除し、15時間閲覧できなくさせたとして、2022年5月16日に、不正アクセス防止法違反と電子計算機損壊等業務妨害により逮捕されています(2022年5月17日、読売新聞オンライン)。
業務委託元が契約しているサーバに不正アクセスしてデータを削除した事例
名古屋市のウエブサイト制作会社から業務を請け負っていた者ら2人が、2021年11月23日から24日にかけてネットカフェからウエブサイト制作会社が契約しているサーバに不正アクセスし、自分が作成・管理していた1020社のサイトの表示に必要なファイルを削除したとして、電子計算機損壊等業務妨害により逮捕されました。中には復旧まで4か月かかったサイトもあり、被害総額は4500万円を超えるそうです(2022年6月7日、朝日新聞デジタル)。
取引先の担当者が退職したときも、自社の担当者が退職したときと同じようにアクセス権限などを変更する対応が必要かもしれません。
損害賠償請求の回収困難性
会社から従業員・退職者・取引先に対する損害賠償請求権の成否
名古屋市のウエブサイト制作会社のケースでは4500万円を超える被害が発生し、共立電気計器のケースでは約660万円の損害が発生しています。福岡県のホテルも顧客情報やメール履歴が削除され、15時間ウエブサイトが閲覧できない実害が発生しました。
いずれも会社には大きな財産的損害です。
この場合、会社の損害賠償請求が認められるかどうかは、請求する相手が従業員なのか、退職者・取引先なのかによって要件が変わります。
従業員に対する損害賠償請求は故意・重過失に限定される
会社から従業員に対する不法行為に基づく損害賠償請求は従業員に故意・重過失がある場合に限定されます(大隅鐵工所事件・名古屋地判1987年7月27日など)。
腹が立ったことを理由にデータを破損した電子計算機損壊等業務妨害の場合には、従業員に故意があることが明らかなので、会社は加害者である従業員に対し不法行為に基づく損害賠償を請求できます。
他方で、業務中にうっかりとした不注意でデータを破損してしまったような場合には、従業員には故意・重過失はないので、会社は従業員に対して不法行為に基づく損害賠償を請求することは難しいです。また、故意ではないので電子計算機損壊等業務妨害罪も成立しません。
退職者や取引先に対する損害賠償請求は故意・重過失に限定されない
退職者や取引先による電子計算機損壊等業務妨害の場合には、退職者や取引先に故意・過失さえあれば会社は損害賠償請求することができます。
加害者が在職中の従業員で懲戒解雇する場合
加害者が個人でPCの損壊やデータの破損をした場合、在職中の従業員によるものなら懲戒解雇による退職金の没収、退職金支給後の相殺などで少しでも会社は損害を穴埋めすることはできます。
退職者や社外の者がした場合には、会社は裁判に勝っても回収することは難しいのが現実です。
加害者である従業員が引き続き在職する場合に賃金と損害賠償請求とを相殺できるか
加害者が在職中の従業員で、懲戒解雇までは至らずにその後も在職し続ける場合には、会社が従業員に損害賠償請求するにしても、賃金と損害賠償請求とを簡単には相殺することはできません。
労基法24条1項但書では「法令の定め」か「労使協定がある場合」に限って賃金からの控除を認めています(賃金全額払いの原則(相殺禁止))。
しかし、賃金と損害賠償請求権との相殺を認めた法令はありません。また、労使協定があるとは限りません。
そのため、賃金と損害賠償請求権とを相殺するためには、労使協定ではなく、就業規則の定めまたは労働契約上の根拠が必要と考えられています(富士火災海上保険事件・東京地判2008年1月9日)。
さらに、賃金債権の4分の3は差押禁止債権であり、その範囲では相殺が禁止されています(民事執行法152条、民法511条)。そのため、賃金と損害賠償請求権とを相殺できるのは、毎月の賃金の4分の1が上限です。
サイバーリスク保険
いずれの場合でも会社は分割払いで少しずつでも回収する以外に、サイバーリスク保険に入っていた方がよいかもしれません。
