退職者アカウント管理ガイド｜情報漏洩を防ぐ実務手順棚卸・削除・権限停止のチェックリストと内部不正対策の進め方

退職者のアカウント放置が招く情報漏洩リスク

退職者のアカウントを適切に管理できていますか。「退職したから関係ない」と放置していると、その未削除アカウントが情報漏洩の入口になる可能性があります。本記事では、退職者アカウントの棚卸から削除までの具体的な手順を解説します。チェックリストの作り方、権限停止のタイミング、内部不正を防ぐ仕組みづくりまで、実務で使える内容をお伝えします。

IPA（独立行政法人 情報処理推進機構）が発表した「情報セキュリティ10大脅威 2024」では、「内部不正による情報漏洩」が組織向け脅威の第3位にランクインしています。この内部不正の多くは、退職者や異動者のアカウントが適切に処理されていないことに起因しています。退職者が会社のシステムにアクセスできる状態が続いていれば、悪意を持った情報持ち出しはもちろん、アカウント情報が第三者に渡るリスクも生じます。

中小企業の場合、専任のIT管理者がいないケースも多く、退職時のアカウント処理が属人的になりがちです。「誰がどのシステムのアカウントを持っているか把握できていない」という状態は珍しくありません。この記事を通じて、自社のアカウント管理体制を見直すきっかけにしていただければ幸いです。

アカウント管理不備が引き起こす具体的な被害

退職者アカウントの放置によって、実際にどのような被害が発生するのでしょうか。総務省の「クラウドサービス提供における情報セキュリティ対策ガイドライン」でも、アカウントのライフサイクル管理の重要性が強調されています。

まず考えられるのは、退職者本人による不正アクセスです。退職時に円満でなかった場合、恨みを持った元従業員が顧客データや営業機密を持ち出すケースがあります。特にクラウドサービスの普及により、社外からでもアクセスできる環境が増えているため、アカウントさえ有効であれば物理的な入退室管理だけでは防げません。

次に、アカウント情報の流出による第三者からの侵入があります。退職者のメールアドレスとパスワードがダークウェブで売買され、それを使って攻撃者が社内システムに侵入するパターンです。退職者のアカウントは本人が使っていないため、不審なログインがあっても気づきにくいという特徴があります。

さらに、取引先や顧客への影響も無視できません。退職者のアカウントを使って取引先に偽のメールが送られた場合、自社の信用問題に直結します。ある製造業の企業では、退職した営業担当者のメールアカウントが乗っ取られ、取引先に偽の請求書が送付される事件が発生しました。このように、アカウント管理の不備は自社だけでなく、取引先にも被害を及ぼす可能性があります。

退職者アカウント棚卸の進め方

アカウント管理の第一歩は、現状把握です。自社でどのようなシステム・サービスを利用しており、誰がアカウントを持っているかを棚卸しする必要があります。

棚卸しを始めるにあたって、まずシステムの一覧表を作成します。社内で利用しているすべてのシステムとサービスをリストアップしてください。オンプレミスの基幹システムだけでなく、クラウドサービスも漏れなく含めることが重要です。Microsoft 365やGoogle Workspace、Slack、Salesforce、freee、マネーフォワードなど、部署単位で契約しているサービスも把握対象に含めます。

システム一覧ができたら、各システムの管理者を特定します。誰がアカウントの発行・削除権限を持っているかを明確にしておかないと、退職時の処理が漏れる原因になります。管理者が明確でないシステムがあれば、この機会に責任者を決めておきましょう。

次に、現在有効なアカウントの一覧を取得します。多くのシステムには管理画面からユーザー一覧をエクスポートする機能があります。この一覧と人事部門が持つ従業員名簿を突き合わせることで、すでに退職している人のアカウントが残っていないかを確認できます。

棚卸しを実施すると、想像以上に「退職者のアカウントが残っている」ケースが見つかることが多いです。ある中堅企業では、棚卸しの結果、5年以上前に退職した元従業員のアカウントが複数のシステムで有効なままだったことが判明しました。棚卸しは年に1回以上、定期的に実施することをお勧めします。

退職時のアカウント削除・権限停止の手順

棚卸しで現状を把握したら、次は退職時の処理手順を整備します。退職が決まってから最終出社日までの間に、計画的にアカウント処理を進める必要があります。

退職決定時には、まず人事部門から情報システム部門（または管理担当者）へ退職予定者の情報を共有します。この連携が遅れると、最終出社日を過ぎてもアカウントが有効なままという事態が発生します。退職届の受理から24時間以内に情報システム担当へ連絡するなど、明確なルールを設けておくことが効果的です。

最終出社日までに実施すべき作業としては、まず貸与機器の返却確認があります。パソコン、スマートフォン、セキュリティカードなど、会社から貸与している機器をすべて回収します。特にパソコンについては、ローカルに保存されたデータの取り扱いも確認が必要です。業務に必要なデータは引き継ぎ先に移行し、個人的なデータは削除するよう本人に依頼します。

最終出社日当日または翌営業日には、アカウントの無効化を実施します。削除ではなく「無効化」を先に行うのは、万が一のデータ復旧や引き継ぎ漏れに備えるためです。無効化後、一定期間（30日〜90日程度）経過してから完全削除するという二段階のプロセスが安全です。

アカウント処理で見落としがちなのが、共有アカウントや代表メールアドレスの権限です。「info@」や「sales@」などの代表アドレスに退職者がアクセスできる状態になっていないか確認してください。また、外部サービスのアカウントで会社のメールアドレスを登録している場合は、メールアドレスの変更または削除が必要です。

アカウント管理チェックリストの作り方

退職時のアカウント処理を漏れなく実施するためには、チェックリストの活用が効果的です。チェックリストは一度作成したら終わりではなく、新しいシステムの導入時に更新し続けることが重要です。

チェックリストに含めるべき項目は、大きく分けて3つのカテゴリーがあります。1つ目は「社内システム」で、基幹システム、グループウェア、ファイルサーバー、社内ポータルなどが該当します。2つ目は「クラウドサービス」で、メール、チャット、ストレージ、業務アプリケーションなどです。3つ目は「外部サービス・取引先システム」で、取引先から発行されたアカウントや、業界団体のポータルサイトなどが含まれます。

各項目には、「システム名」「管理者」「削除手順」「確認方法」を記載します。削除手順は、管理画面のURLや操作手順を具体的に記載しておくと、担当者が変わっても対応できます。確認方法としては、削除後にログインを試みて失敗することを確認する、管理画面でアカウントが表示されないことを確認する、といった検証方法を明記します。

チェックリストの運用では、退職処理の完了報告を必須とします。すべての項目にチェックが入り、確認者の署名（または電子承認）があって初めて退職処理完了とするルールを設けることで、漏れを防止できます。

内部不正を防ぐ仕組みづくり

アカウントの削除だけでなく、在職中から内部不正を防ぐ仕組みを構築しておくことも重要です。退職時に「何か持ち出されているかもしれない」と心配するよりも、日頃から不正を検知・抑止できる環境を整えておく方が効果的です。

まず、アクセスログの取得と保管を実施します。誰が、いつ、どのシステムに、どのような操作をしたかを記録しておくことで、不正があった場合の追跡が可能になります。ログは最低でも1年間、可能であれば3年間保管することをお勧めします。

次に、権限の最小化を徹底します。業務に必要な範囲を超えたアクセス権限を付与していると、退職前の大量データダウンロードなどが可能になってしまいます。定期的に権限を見直し、不要な権限は削除する運用を習慣化してください。

また、異常検知の仕組みも有効です。通常とは異なるアクセスパターン（深夜のログイン、大量のファイルダウンロードなど）を検知してアラートを上げる仕組みがあれば、不正の早期発見につながります。SIEM（セキュリティ情報イベント管理）などの仕組みを導入している企業では、退職予定者のアクティビティを監視対象に含めることも検討すべきです。

今すぐできる5つのアクション

ここまでの内容を踏まえて、自社で今すぐ実施できるアクションを整理します。

1つ目は、利用中のシステム・サービスの一覧表を作成することです。まずはExcelやスプレッドシートで構いません。社内で利用しているすべてのシステムを洗い出し、各システムの管理者を明確にしてください。

2つ目は、過去1年以内の退職者のアカウント状況を確認することです。主要なシステムについて、すでに退職している人のアカウントが有効なままになっていないかを点検します。もし残っていれば、速やかに無効化または削除してください。

3つ目は、人事部門との情報共有ルールを明文化することです。退職届受理から何時間以内に情報システム担当へ連絡するか、連絡手段は何か（メール、チャット、システム連携）を決めておきます。

4つ目は、退職時アカウント処理チェックリストを作成することです。自社で利用しているシステムに合わせたチェックリストを作り、退職処理のたびに使用します。チェックリストは新しいシステム導入時に必ず更新します。

5つ目は、アクセスログの取得状況を確認することです。主要なシステムでログが取得されているか、ログの保管期間は十分かを確認します。ログが取得されていないシステムがあれば、設定変更やシステム更新を検討してください。

GXOのセキュリティ支援サービス

アカウント管理やID管理の整備は、専門的な知識と継続的な運用が求められる領域です。「どこから手をつけていいかわからない」「現状の棚卸しだけでも外部の力を借りたい」という場合は、専門家への相談も有効な選択肢です。

GXOでは、180社以上の企業を支援してきた実績をもとに、セキュリティ体制の構築から運用までを伴走型でサポートしています。ID管理の設計、アクセス権限の棚卸し、SIEM/SOARの導入支援など、お客様の状況に応じた支援が可能です。

退職者アカウント管理の整備を検討されている方は、まずは現状の課題整理からお手伝いします。お気軽にご相談ください。

まとめ

退職者のアカウント管理は、情報漏洩や内部不正を防ぐための基本的かつ重要なセキュリティ対策です。放置されたアカウントは、元従業員による不正アクセスや、第三者による悪用のリスクを高めます。システム一覧の作成、定期的な棚卸し、退職時の処理手順の整備、チェックリストの活用を通じて、アカウント管理体制を強化してください。まずは自社で利用しているシステムの洗い出しから始めてみましょう。

アカウント管理・ID管理の整備についてお困りの際は、GXOまでお問い合わせください。

お問い合わせはこちら：https://gxo.co.jp/contact-form