退職者のメールアカウントが残っていた。
異動した社員が、前の部署の共有フォルダをまだ見られる。
契約が終わった外部協力者のクラウドアカウントが削除されていない。
SNSやECサイトの管理画面に、退職者の権限が残っていた。
こうした「アカウントの消し忘れ」は、中小企業で起こりやすい情報セキュリティ上のリスクです。
外部からのサイバー攻撃対策はもちろん重要です。
しかし、すでに発行されている正規アカウントが残っている場合、攻撃者にとっても、内部不正を行う者にとっても、悪用しやすい入口になります。
この記事では、退職者・異動者・契約終了者のアカウントを消し忘れないために、中小企業で使いやすい月次棚卸チェックリストを整理します。
なぜアカウントの消し忘れが危険なのか
アカウントは、情報システムに入るための「鍵」です。
退職や異動により、その人が業務上アクセスする必要がなくなったにもかかわらず、アカウントや権限が残っていると、顧客情報、従業員情報、見積書、請求書、契約書、営業資料などにアクセスできる状態が続きます。
IPAの「組織における内部不正防止ガイドライン」では、内部不正の対象として、重要情報や情報システム等の情報資産の窃取、持ち出し、漏えい、消去・破壊等を挙げ、退職後に在職中に得ていた情報を漏えいする行為も内部不正として取り扱うとしています。
また、同ガイドラインでは、雇用終了時や契約終了時に、委託していた情報資産を返却または完全消去させること、情報システムの利用者IDや権限を削除することを求めています。特に、元役職員のIDや権限の削除には、テレワークのために付与した権限も含まれ、雇用終了直後に速やかに実施することが重要とされています。
つまり、退職者アカウントの管理は「IT担当者だけの細かい作業」ではありません。
情報漏えい、内部不正、取引先への説明責任に関わる重要な管理項目です。
SECURITY ACTIONの基本対策とも関係する
アカウント管理は、SECURITY ACTIONの基本対策とも関係します。
IPAのSECURITY ACTION一つ星では、「情報セキュリティ6か条」への取組みを宣言します。その中には、パスワードの強化、共有設定の見直し、バックアップ、脅威や攻撃の手口を知ることなどが含まれています。
退職者や異動者のアカウントを放置すると、パスワードを強化していても、MFAを設定していても、共有設定を見直していても、古い権限が抜け穴になることがあります。
そのため、アカウント棚卸は、SECURITY ACTIONやSCS評価制度への対応を考えるうえでも、実務上とても重要です。
個人情報を扱う場合は、権限管理の定期確認が必要
顧客情報や従業員情報などの個人データを扱う場合は、個人情報保護法上の安全管理措置との関係も意識する必要があります。
個人情報保護委員会のFAQでは、アクセス制御の手法として、識別に基づくアクセス制御、権限の最小化、アクセス可能な者を許可する権限管理の適切かつ定期的な実施などが例示されています。
この点からも、「退職したら削除する」「異動したら権限を変える」だけでなく、定期的に確認した記録を残すことが重要です。
対象は正社員だけではない
アカウント棚卸でよくある失敗は、正社員だけを対象にしてしまうことです。
実際には、次のような人も確認対象に含める必要があります。
| 区分 | 確認すべき例 |
|---|---|
| 退職者 | 正社員、パート、アルバイト、派遣社員 |
| 異動者 | 部署異動、担当変更、役職変更 |
| 休職者 | 長期休職、産休・育休、病休 |
| 契約終了者 | 業務委託、外部エンジニア、制作会社、保守会社 |
| 外部専門家 | 税理士、社労士、弁護士、コンサルタント |
| 一時利用者 | 短期プロジェクト参加者、研修参加者 |
| 共有利用者 | 共通IDを使っていた担当者 |
特に注意したいのは、外部協力者です。
社内の人事台帳には載っていないため、契約が終わってもクラウドサービスや共有フォルダの権限が残りやすくなります。
まず確認するシステム一覧
退職者・異動者のアカウントを確認するときは、メールだけを見て終わらせてはいけません。
中小企業でも、業務に使うサービスは多くなっています。
前回の記事で作成したSaaS・クラウド台帳を使い、次のようなシステムを確認します。
| 分類 | 確認対象 |
|---|---|
| メール・グループウェア | メール、予定表、チャット、掲示板 |
| ファイル共有 | クラウドストレージ、NAS、共有フォルダ |
| 業務SaaS | 会計、請求、給与、勤怠、労務、CRM |
| 販売・顧客対応 | ECサイト、予約システム、問い合わせ管理 |
| Web・SNS | ホームページ管理、SNS、アクセス解析 |
| リモートアクセス | VPN、リモートデスクトップ、クラウド管理画面 |
| 端末 | PC、スマートフォン、タブレット、USBメモリ |
| 管理者権限 | サーバ、ドメイン、クラウド管理者、SaaS管理者 |
| 外部共有 | ゲストユーザー、共有リンク、共同編集者 |
| 開発・保守 | ソースコード管理、サーバ管理、監視ツール |
| 決済・金融 | インターネットバンキング、決済代行、法人カード管理 |
ポイントは、「アカウントがあるか」だけではなく、「どの権限が残っているか」を確認することです。
一般利用者の権限が残ることも問題ですが、管理者権限が残っている場合は、より重大なリスクになります。
退職・異動時の対応は3段階で考える
アカウント管理は、退職日当日に慌てて行うものではありません。
次の3段階で考えると、漏れを減らしやすくなります。
1. 退職・異動が決まった時点
退職や異動が決まったら、まず対象者が使っているシステムを洗い出します。
確認する内容は、次のとおりです。
| 確認項目 | 内容 |
|---|---|
| 対象者 | 氏名、所属、雇用形態、最終出社日、退職日または異動日 |
| 利用システム | メール、SaaS、共有フォルダ、VPN、SNSなど |
| 保有端末 | PC、スマートフォン、タブレット、USBメモリ |
| 管理者権限 | 管理画面、サーバ、クラウド、SNSなど |
| 共有アカウント | 共通ID、共有パスワードの利用有無 |
| 外部共有 | 顧客、取引先、委託先との共有フォルダ |
| 引継ぎ対象 | メール、ファイル、案件、顧客情報、契約情報 |
| 削除・変更予定日 | いつ、誰が、何を処理するか |
この時点では、いきなり全アカウントを削除するのではなく、業務引継ぎと情報保護のバランスを取る必要があります。
ただし、退職予定者が重要情報へ広くアクセスできる状態が続く場合は、必要に応じてアクセス範囲の見直し、USBメモリの利用制限、ログ確認の強化などを検討します。IPAの内部不正防止ガイドラインでも、雇用終了前の一定期間からアクセス範囲の限定、USBメモリ利用制限、モニタリング強化等を例示しています。
2. 最終出社日・退職日・異動日
最終出社日や異動日には、実際の停止・削除・権限変更を行います。
ここで重要なのは、削除する前に引継ぎと証跡を確認することです。
例えば、Microsoft 365の公式手順では、退職者のサインイン防止、メールボックス内容の保存、モバイル端末のワイプやブロック、メール転送や共有メールボックス化、OneDriveやOutlookデータへのアクセス付与、ライセンス削除、ユーザーアカウント削除といった手順が整理されています。
これはMicrosoft 365の例ですが、他のクラウドサービスでも考え方は同じです。
退職者のアカウントを単に削除するだけでは、必要なメールやファイル、顧客対応の履歴が失われることがあります。
一方で、引継ぎを理由にアカウントを残したままにすると、不正アクセスや情報漏えいのリスクが続きます。
そのため、次の順番で進めると安全です。
| 順番 | 作業 |
|---|---|
| 1 | 業務データ、メール、顧客対応履歴の引継ぎを確認する |
| 2 | 端末、入館証、USBメモリ、貸与物を回収する |
| 3 | サインインを停止する |
| 4 | セッションやログイン状態を失効させる |
| 5 | 管理者権限を削除する |
| 6 | 共有フォルダ、SaaS、VPN、SNSの権限を削除する |
| 7 | 必要に応じてメール転送や共有メールボックスを設定する |
| 8 | ライセンスや契約数を見直す |
| 9 | 削除・変更した記録を残す |
3. 月末の棚卸
退職日や異動日に処理したつもりでも、漏れは起こります。
例えば、次のような漏れです。
- メールは削除したが、クラウドストレージの権限が残っていた
- 社内SaaSは削除したが、SNS管理画面の権限が残っていた
- 正社員のアカウントは削除したが、外部協力者のゲスト権限が残っていた
- VPNは削除したが、業務アプリのIDが残っていた
- 個人メールアドレスで登録された管理者権限に気づかなかった
- 共有IDのパスワードを変更していなかった
- APIキーや外部アプリ連携が残っていた
この漏れを拾うために、月1回の棚卸を行います。
月次棚卸では、人事・総務が持つ退職者・異動者リストと、IT・各部門が持つアカウント一覧を照合します。
月次棚卸チェックリスト
以下は、中小企業で使いやすい月次棚卸チェックリストの例です。
| No | チェック項目 | 確認内容 | 完了 |
|---|---|---|---|
| 1 | 退職者リストの確認 | 当月退職者、退職予定者、契約終了者を確認したか | □ |
| 2 | 異動者リストの確認 | 部署異動、担当変更、役職変更を確認したか | □ |
| 3 | 外部協力者の確認 | 業務委託、制作会社、保守会社、専門家の契約終了を確認したか | □ |
| 4 | メールアカウント | 不要アカウントの停止・削除・転送設定を確認したか | □ |
| 5 | グループウェア | チャット、予定表、掲示板、グループの所属を確認したか | □ |
| 6 | クラウドストレージ | 共有フォルダ、共有リンク、ゲスト権限を確認したか | □ |
| 7 | 業務SaaS | 会計、給与、勤怠、CRM、予約、EC等の権限を確認したか | □ |
| 8 | VPN・リモートアクセス | VPN、リモートデスクトップ、管理画面の権限を確認したか | □ |
| 9 | 管理者権限 | サーバ、クラウド、SaaS、SNS等の管理者を確認したか | □ |
| 10 | 共有ID・共通パスワード | 共有IDの利用者変更時にパスワードを変更したか | □ |
| 11 | 端末・貸与物 | PC、スマートフォン、USBメモリ、入館証を回収したか | □ |
| 12 | 外部アプリ連携 | APIキー、外部アプリ、連携ツールを確認したか | □ |
| 13 | ログ確認 | 退職・異動後の不審なログインがないか確認したか | □ |
| 14 | 証跡保存 | 処理日、担当者、対象システム、対応内容を記録したか | □ |
| 15 | 未対応事項 | 未対応の項目に担当者と期限を設定したか | □ |
このチェックリストは、完璧なシステム管理台帳がなくても使えます。
まずは主要なクラウドサービス、メール、共有フォルダ、VPN、会計・給与・顧客管理など、影響が大きいものから確認しましょう。
棚卸記録のサンプル
棚卸では、「確認しました」だけで終わらせないことが大切です。
取引先に説明できるように、いつ、誰が、何を確認したかを残します。
| 確認日 | 対象者 | 区分 | 対象システム | 対応内容 | 担当者 | 証跡 | 未対応 |
|---|---|---|---|---|---|---|---|
| 5/5 | A氏 | 退職 | メール | サインイン停止、転送設定 | 総務 | 管理画面スクリーンショット | なし |
| 5/5 | A氏 | 退職 | クラウドストレージ | 共有フォルダ権限削除 | 営業責任者 | 権限一覧保存 | なし |
| 5/5 | B氏 | 異動 | 会計SaaS | 閲覧権限削除 | 経理責任者 | 権限変更履歴 | なし |
| 5/5 | C社 | 契約終了 | VPN | アカウント無効化 | システム担当 | 設定画面保存 | なし |
| 5/5 | D氏 | 外部協力者 | SNS | 管理者権限削除 | 広報担当 | 管理者一覧保存 | パスワード変更予定 |
証跡は、スクリーンショット、管理画面の出力、CSV、作業記録、チケット、メール報告などで構いません。
重要なのは、後から見たときに「本当に確認したか」が分かることです。
「削除」と「無効化」を使い分ける
退職者アカウント対応では、「削除」と「無効化」を使い分ける必要があります。
すぐに完全削除すると、メール、ファイル、ログ、業務履歴が失われる場合があります。
逆に、無効化だけで放置すると、ライセンス費用が残ったり、管理対象が増えたりします。
そのため、次のように整理するとよいでしょう。
| 処理 | 目的 | 使う場面 |
|---|---|---|
| 無効化 | ログインを止める | 退職日直後、調査中、引継ぎ中 |
| 権限削除 | 不要なアクセスを消す | 異動、担当変更、外部協力者の契約終了 |
| データ移管 | 業務継続のために情報を引き継ぐ | メール、顧客対応、案件管理 |
| ライセンス削除 | 費用を減らす | データ移管後、利用不要になったとき |
| 完全削除 | 管理対象から外す | 保存期間や法務・業務上の確認が終わった後 |
利用しているサービスによって、削除後の復元期間やデータ保持期間は異なります。
そのため、主要サービスについては、公式手順や契約条件を確認しておく必要があります。Microsoft 365の例では、退職者アカウントを削除した後のOneDriveやOutlookの内容の保持、ライセンス削除時のメール・連絡先・予定表の保持期間などが公式手順に記載されています。
異動者は「削除」ではなく「権限変更」が中心
退職者の場合はアカウント停止や削除が中心になりますが、異動者の場合は権限変更が中心です。
異動者対応で確認すべきことは、次のとおりです。
| 確認項目 | 内容 |
|---|---|
| 前部署の共有フォルダ | 閲覧・編集権限が残っていないか |
| 前担当の顧客情報 | 業務上必要がなくなった情報にアクセスできないか |
| 承認権限 | 経費、請求、発注、勤怠などの承認権限が残っていないか |
| 管理者権限 | 部門管理者、プロジェクト管理者の権限が残っていないか |
| グループ・メーリングリスト | 前部署のグループに残っていないか |
| 外部共有 | 旧担当案件の共有リンクに残っていないか |
| 新部署の権限 | 新しい業務に必要な権限だけ付与されているか |
異動者の場合、「前の仕事も分かるから便利」という理由で権限が残りがちです。
しかし、個人データを扱う場合は、アクセス権限の最小化や権限管理の定期的実施が重要です。個人情報保護委員会のFAQでも、アクセス権限を有する者に付与する権限の最小化や、個人データにアクセスできる者を許可する権限管理の適切かつ定期的な実施が示されています。
外部協力者のゲスト権限に注意する
中小企業では、外部の制作会社、保守会社、税理士、社労士、コンサルタントなどにクラウドサービスの権限を付与することがあります。
このとき、契約終了後にアカウントが残ることがあります。
特に注意すべきものは、次のとおりです。
- クラウドストレージのゲストユーザー
- チャットツールの外部ユーザー
- Webサイト管理画面の編集者
- SNS管理者
- ECサイト管理者
- 会計・請求システムの閲覧者
- VPNアカウント
- サーバ保守用アカウント
- APIキーや連携アプリ
- 共有リンク
外部協力者は、社内の退職者リストには載りません。
そのため、契約終了日、最終作業日、権限削除日を台帳で管理する必要があります。
共有IDは特に危険
中小企業では、複数人で同じIDとパスワードを使っていることがあります。
例えば、次のようなものです。
- SNS管理用アカウント
- ECサイト管理画面
- 予約システム
- 共有メールアドレス
- サーバ管理用アカウント
- 複合機やネットワーク機器の管理者ID
- インターネットバンキングの補助ID
- 外部サービスの共通ログイン
共有IDは、誰が操作したか分かりにくく、退職者がパスワードを知ったままになるリスクがあります。
可能であれば、個人別アカウントに切り替えましょう。
すぐに切り替えられない場合でも、退職・異動・契約終了のたびにパスワードを変更し、利用者一覧を更新する必要があります。
管理者権限は最優先で確認する
アカウント棚卸で最も重要なのは、管理者権限です。
管理者権限が残っていると、次のような操作ができる場合があります。
- 他人のパスワードを変更する
- 新しい利用者を追加する
- ログを削除または変更する
- ファイル共有範囲を変更する
- メール転送を設定する
- MFAを無効化する
- バックアップを削除する
- 外部アプリを連携する
- 請求先や契約情報を変更する
IPAの内部不正防止ガイドラインでは、組織内部者による情報資産の持ち出しや漏えい等を内部不正として扱い、具体的な対策を示しています。管理者権限の棚卸は、こうした内部不正対策の実務としても重要です。
管理者権限は、月次棚卸で必ず確認しましょう。
月次棚卸の進め方
中小企業では、複雑なシステムを入れなくても、まずはExcelやスプレッドシートで十分です。
進め方は、次の5ステップです。
ステップ1:人事・総務のリストを用意する
当月の退職者、異動者、休職者、契約終了者を一覧にします。
項目は、氏名、所属、区分、最終出社日、退職日または異動日、担当業務、利用していた主要システムなどです。
ステップ2:SaaS・クラウド台帳と照合する
前回作成したSaaS・クラウド台帳を使い、対象者が利用していたサービスを確認します。
台帳がまだない場合は、メール、ファイル共有、会計、給与、勤怠、CRM、VPN、SNSから始めます。
IPAの中小企業向けガイドラインは、経営者が認識し実施すべき指針と、社内で対策を実践する手順や手法をまとめたものとして公開されており、中小企業が段階的に対策を進めるための資料として活用できます。
ステップ3:各システムの管理者に確認する
システムごとに、管理者へ確認依頼を出します。
確認依頼には、次の情報を入れます。
- 対象者名
- 退職日または異動日
- 対象システム
- 削除すべき権限
- 引継ぎが必要なデータ
- 期限
- 証跡の提出方法
ステップ4:未対応を一覧化する
棚卸で最も重要なのは、未対応を見える化することです。
「確認中」「担当者不明」「管理画面に入れない」「外部業者に依頼中」などの状態を一覧にして、担当者と期限を決めます。
未対応を見つけること自体は問題ではありません。
問題は、未対応のまま放置することです。
ステップ5:代表者または責任者が確認する
最後に、代表者または情報セキュリティ責任者が棚卸結果を確認します。
確認する内容は、次の3つです。
- 当月の退職者・異動者・契約終了者に漏れがないか
- 重要システムの権限削除・変更が完了しているか
- 未対応事項に担当者と期限が設定されているか
これにより、アカウント管理が担当者任せになりにくくなります。
よくある落とし穴
メールだけ削除して終わる
退職者対応で最も多い落とし穴は、メールアカウントだけ処理して終わることです。
しかし、実際にはクラウドストレージ、会計ソフト、勤怠、顧客管理、SNS、VPNなど、複数のサービスに権限が残っていることがあります。
個人契約のSaaSを把握していない
担当者が個人メールアドレスや個人クレジットカードで契約したSaaSは、会社の管理から漏れやすくなります。
会社の業務で使っている場合は、個人契約であっても台帳に入れ、退職・異動時の確認対象にする必要があります。
共有リンクを確認していない
クラウドストレージでは、アカウントを削除しても、過去に作成した共有リンクが残っていることがあります。
退職者が作成した共有リンク、外部共有、ゲスト権限は、必ず確認しましょう。
管理者アカウントを1人に依存している
1人だけが管理者権限を持っている場合、その人が退職すると、会社として管理画面に入れなくなることがあります。
一方で、管理者を増やしすぎるのも危険です。
必要最小限の人数にし、誰が管理者かを台帳で把握しましょう。
APIキーや外部アプリ連携を忘れる
最近は、SaaS同士を連携させて使うことが増えています。
退職者のアカウントで作成したAPIキー、外部アプリ連携、Webhook、Botなどが残っていると、アカウント削除後も予期しない連携が続く場合があります。
重要なSaaSでは、外部アプリ連携も棚卸対象に入れましょう。
月次棚卸を続けるためのコツ
アカウント棚卸は、最初から完璧にしようとすると続きません。
中小企業では、次のように小さく始めるのがおすすめです。
1か月目は、退職者のメールとクラウドストレージだけ確認する。
2か月目は、会計、給与、勤怠、CRMを追加する。
3か月目は、VPN、SNS、外部協力者、共有リンクを追加する。
このように段階的に対象を広げれば、現場の負担を抑えながら管理精度を上げられます。
また、棚卸日は毎月固定することをおすすめします。
例えば、「毎月第1営業日」「給与締め日の翌日」「月次会議の前日」など、社内の業務サイクルに合わせると続けやすくなります。
まとめ
退職者・異動者アカウントの消し忘れは、中小企業にとって現実的なリスクです。
対策の基本は、次の5つです。
- 退職者・異動者・契約終了者を毎月一覧化する
- SaaS・クラウド台帳と照合する
- メール、共有フォルダ、SaaS、VPN、SNS、管理者権限を確認する
- 削除・無効化・権限変更・データ移管を記録する
- 未対応事項に担当者と期限を設定する
アカウント管理は、単なるIT作業ではありません。
顧客情報を守ること、内部不正を防ぐこと、取引先に説明できる状態を作ることにつながります。
まずは、主要なクラウドサービスとメールからで構いません。
月1回の棚卸を始め、退職者・異動者・外部協力者のアカウントが残っていないか確認しましょう。
ライトハウスコンサルタントでは、情報セキュリティに関するコンサルティング、SECURITY ACTIONに関する支援、CIOアウトソースサービスなどを行っています。SaaS台帳、アカウント棚卸、退職者対応ルール、社内規程の整備に不安がある場合は、早めに専門家へ相談することをおすすめします。
- 投稿タグ
- SaaS台帳, SECURITY ACTION, アカウント管理, 中小企業の情報セキュリティ, 内部不正対策, 権限管理, 異動者対応, 退職者対応
