これは、中小だと比較的よくあることでしょうけど。 社内の内規はありますか？ないのなら、長く働く社員ならそういうケースもあるでしょう。昔はよかったという具合で・・・。 質問者様は、上司が悪いと思われていますが、そもそも交換者がそれをそのまま上司に渡すのが、異常なのですよ。それは、普通のコンプライアンス体制なら、交換者はそれは出来ないと断ります。どうしても必要なデータなら、抽出は依頼書を記載の元で別の業者に依頼します。 個人情報管理者（コンプライアンス責任者が兼任することが多い）が、それを作っていないなら、早めに作らなければ、不味いですし、処分の方法も報告すべきか迷ってはいけません。 職務として履行する必要があります。 まず、社内で個人情報を扱うことがある事業者であったり、カード情報なども管理することがあるなら、ハードディスク交換をする時の担当者は、必ずそのディスクの内容を封印するか、または規定の手順に従い部署に持ち帰り、適正な業者に抽出を依頼するのが妥当です。 それが漏れた場合は、交換をした人間や交換を指示した人間も含めて、場合によっては相応の確認を行います。持ち帰った人間や漏洩の危険を把握しながら容認した人はもちろん処分の対象です。 何故一人ではなく、複数がそうなるか？ 基本的に、法令遵守（コンプライアンス）では、なれ合ってはダメですが、連携して守る意思を疎通させることが大事だからです。だから、その担当者がやる役割として職責を最後まで全うしたかどうかで判断しなければなりません。ディスクを交換するという作業は、個人情報の漏洩に繋がる重大な作業です。そのため、交換者は、その職務を行う場合、自分が最後まで責任を持って交換し、所定の処分方法または所定の業者に依頼しデータの抽出を依頼するまでが仕事です。（自分が抽出依頼をする担当ではないなら、その抽出を依頼できる人にお願いして引き継ぐまでが仕事です） そういうルールを作らないと、部長が処分されました。しかし、また壊れた時に別の人にディスクが渡りましたというのが日常茶飯事で起きる恐れがあります。即ち、例え部長でもこれは社内のルールで渡せませんといえる環境を作っていたかどうかも、問われます。（上司の監督責任と会社の内規不整備） 個人情報の管理、コンプライアンスの管理は、リレーのようなものです。 Aさんが、Bさんにお願いをした。Bさんが作業をして、Aさんに結果を報告するといったリレーの中で、予想しない情報の流出や食い違いが発生し、法令を逸脱する行為が発生します。そこで大事なのは、AさんとBさんの間で食い違いが起きて漏れたなら、もちろん漏らした当人が、確認を迫られることは仕方がありませんが、その漏洩を行った手前の人も、問題がなかったのか確認させる必要があります。その過程で手順の不履行があれば、そこから見直さないと、問題は根絶できないのです。だから、処分は一人ではなく、連帯を前提とします。 処分において社内のルールに不備がある場合は、不問としたり、口頭注意だけで終わらせることもあります。個人情報漏洩の場合は、その代わり絶対に漏れていない、バックアップを他人に渡していないことを誓約させる必要があります。 それをやっていた場合は、速やかに上層部と協議し、一般に情報漏洩についての開示を行う必要があります。社長などトップがそう決めれば別ですが、自分から隠すと大変不幸な結果になりますのでご注意ください。 これは、ISMSにおけるPDCAサイクルの考え方です。ただ、すぐに処分すればOKではありません。 そうやってリレーの中で一人の責任より連帯での管理を問われる（確認される）ことで、自分がミスをしたときに、自分だけが受ける処分より、自分がミスをすると周りも相応に確認を迫られるというリスクを考えるようになるのです。さらに、それだけではなく連帯を持つ以上、多人数チェックの体制などを励行することで、より高い連帯感を醸造することができます。 一人のミスを一人の責任として上司に処分申請するのは、残念ながら衰退する企業の一例です。何故なら、失敗を繰り返す人が、処分されることを繰り返すことで出来ない人を、差別する傾向が社内に強くなるためです。これは、この質問からも見られます。それは、即ち処分される側からすれば理不尽に映る恐れがあり、素行が悪くなります。周りからすれば、あいつのせいでと言い続ければ、またあいつかという雰囲気を作ります。即ち、場合によってはその人が直接の原因でなくとも、報告しましたなどの理由でその人が悪いと決まるのです。 支えても支えてもダメな人は、周りに迷惑を掛けることを理由に、自主退職をするという自浄が働く場合や上司が面談するなどで、職務から自主的に離れることがありますが、責め立てる方法だと、無理をしても働く人も多くなり、組織が切り落とした後に、その本人が裁判でパワハラを訴え揉める可能性も高くなります。（一カ所でそれが発生すると、多発的に出てきますのでお気をつけください） そのため、基準や手順はインシデントと連動させて見直しを行い。その基準や手順の基本は、ダブルチェックや、漏洩責任の多重化によって守らせる必要があります。一人を切り捨てる組織は、一人に責任をなすりつける場合があり、ハイリスクの作業を全体が嫌う傾向が露骨に出てきますので、成長戦略の悪化にも繋がります。 当人がディスクの抽出をまだ行っていないのであれば、上司と相談の上でディスク返却を速やかに命じます。それさえすれば、寛大に対処しても不味くはないかもしれません。（上司の判断次第です）ただし、抽出が出来ている可能性を考慮し、社内規定に基づき、社内で知り得た情報を、他に漏洩しないという誓約書（ISMSの遵守をしている場合なら、通常は入社時に記載させます）を再度記載させることは絶対として、必要に応じて顛末書の記載などを命じる必要があるでしょう。（もしディスクを捨てていた場合） たぶん、質問者様の会社ではこういう内規が少ない会社なのだと思います。 その場合は、この機会にそういうルールを作った方が良いですよ。組織が大きくなったり、電子情報が増えると、特にこういう問題は多くなりますので、個人に徹底させても、上手くいきません。そういう全体で醸造するルールを作ると共に、一度こういうルールについて社員に説明すれば、組織のコンプライアンスは向上するはずです。 以上のようになります。 私の経験では、法的にというケースもありましたけど（内容は書けませんが）。事象を過去の別の問題と照らすより、今回の状況を客観的に見て、どういう処分が内規で見ると適当かを考えるのが妥当です。その人を、最初から下げて考えると、パワハラなどで後から会社が不利になる可能性もあります。基本的には、他の例とは分けてこれを見ること。 その人の過去の行動がどうであれ、その人の日頃を知らない人から見ても、これは適正な判断だと思われる対処をしましょう。