最近、英国で4番目に大手のスーパーマーケットであるモリソンズで、雇用主に恨みを持つ従業員によって故意にデータを漏らされたことで、モリソンズが代位責任を問われるという事件があった。このケースは、データに関する保護・準備・認識は一番重要であることを世の中に知らしめた。

2014年、シニアＩＴ監査担当者のアンドリュー・スケルトンが、個人のUSBにほぼ10万人の従業員の給与情報（名前、住所、生年月日、国民保険番号、銀行口座情報を含む）をコピーした。データは、権限のある人事担当者によって管理されていた暗号化されたUSBに保存されていたセキュリティ付ソフトウェアからコピーされ、外部監査担当者へ渡す目的で、スケルトン氏のパスワード付ノートパソコンにアップロードされたものであった。ノートパソコンに保存後は、KPMGの準備した更なるパスワードのかけられたUSBに保存され予定通り送信された。

モリソンズには知られることなく、スケルトン氏はノートパソコンからデータを削除する前に、それをコピーした。その年の始め、彼は懲戒処分になったことで、それによって会社への恨みをつのらせ、このように会社に対して甚大な被害を与える行動へ導いたと言われている。

彼は給与情報を公共のファイル共有サイトに投稿し、また同時にマスコミにその情報を漏らし、無罪の同僚を巻き込もうとした。マスコミがモリソンズに情報漏えいについて伝えると、モリソンズはすぐにウェブサイトからデータを消すように働きかけ、また同時に銀行と警察にも連絡をした。

2015年、スケルトン氏はブラッドフォード刑事裁判所にて、権限のないデータへの不正アクセスを確保し、個人情報を漏えいした罪によって8年間の禁固の判決を受けた。

しかしながら、モリソンズの不運はそれだけでは終わらず、2017年のVarious Claimants 対 WM Morrisons Supermarketの案件において、5,500人もの被害を受けた従業員がモリソンズをデータ保護規則（the Data Protection Act 1998 (DPA)）の不履行として上告した。モリソンズは情報漏えいに対して迅速な対応をとったにも関わらず、2017年12月１日、スケルトン氏への行動に対して代位責任があるとされ、被害を受けた従業員に対して支払いを命じられる可能性が濃厚となった。リーズの高等裁判所の聴聞では、モリソンズはDPAに関わる情報漏えいに直接的な責任はないとし、結論として、スケルトン氏によってデータがコピーされ漏えいされた際には、モリソンズはそのデータの管理者ではなく（スケルトン氏が管理者とされた）、そのため初期責任はモリソンズにはないとされた。

しかしながら、モリソンズ自身が情報漏えいを起こしたのではないのにも関わらず、裁判所はモリソンズをスケルトン氏の違法行為に対して代位責任があったと判断した。これにより、雇用者は、従業員が雇用期間中に行った不法行為に対して、責任をとらなければいけない可能性があることが立証された。

これは、従業員規則について詳細まで見直す良い機会である。2018年5月25日からより厳しい義務が課されることに対して、雇用者自身が会社として準備するだけではなく、従業員も同じように準備をしていくことが重要である。従業員に対するトレーニングはその鍵であり、情報漏えいに関する適切な対応を決めておくことはさらに大切である。