「退職した社員のメールアドレスや、クラウドサービスのアカウントはすべて停止できているだろうか」
「『念のため残しておいて』と現場から言われたアカウントが、そのまま放置されていないか」
このような、退職者(業務委託メンバーを含む)のアカウント管理(ID管理)に漠然とした不安を抱える総務・人事・情報システム担当者の方は少なくありません。
日々の業務の忙しさや、引き継ぎ作業のドタバタに紛れ、退職者のアカウントが「削除も停止もされずに残ってしまう」というケースは、多くの企業で発生しがちな盲点です。
目に見える物理的なオフィスの鍵は必ず回収するにもかかわらず、デジタル上の「鍵」であるアカウントが放置されてしまうのはなぜでしょうか。
「もう会社にいない人だから悪さはしないだろう」
という油断は禁物です。
放置されたアカウントは、元社員による悪意のある・なしに関わらず、外部のサイバー犯罪者にとっても格好の「侵入口」となり、企業の社会的信用を揺るがす重大なインシデントを引き起こす恐れがあります。
本記事では、退職者のアカウント放置がもたらす5つの重大なリスクと、企業が実務として整備すべき安全な運用手順について解説します。
1. 退職者アカウントの放置が引き起こす「5つのリスク」
アカウントの削除漏れや停止の遅れは、具体的にどのようなトラブルに繋がるのでしょうか。企業が見落としがちなリスクを5つの視点で整理します。
リスク1:元従業員による「情報の不正な持ち出し」
最もイメージしやすいのが、退職した元従業員が自宅などの外部環境から、在職時と同じID・パスワードを使って社内ネットワークやSaaS(Googleドライブ、Salesforceなど)にログインし、顧客リストや営業秘密をダウンロードして持ち出すケースです。
転職先での実績作りのため、あるいは会社への不満から、悪意を持って行われる恐れがあります。
リスク2:サイバー犯罪者による「不正アクセスの踏み台」にされる
元従業員に悪意がなくても発生するのがこのリスクです。
放置されたアカウントのID・パスワードが、他のWebサイトからの漏洩や簡単な文字列だったことが原因でハッカーに破られた場合、そのアカウントが社内システムへ侵入するための「踏み台」として悪用される恐れがあります。
現在利用されていないアカウントは、ログインされても異変に気づきにくいため、被害の発覚が遅れる傾向にあります。
リスク3:不要な「ライセンス費用」の無駄遣い(コストの肥大化)
多くのSaaSやクラウドサービスは、1アカウント(1ユーザー)ごとに月額費用が発生する従量課金制を採用しています。
退職者のアカウントを放置し続けることは、誰も使っていないツールに対して毎月無駄なコストを支払い続けている状態を意味します。
従業員の入れ替わりが激しい企業ほど、積もり積もって大きな財務圧迫に繋がることがあります。
リスク4:社内情報の変更や「意図しないデータ削除」
アクセス権限が残ったままのアカウントを悪用され、社内の重要な共有ファイルや設定が書き換えられたり、データが消去されたりする恐れがあります。
「誰が操作したのか」のログを追った際、すでに退職しているメンバーの名前が表示され、原因究明や犯人の特定が難航するケースも想定されます。
リスク5:法的な「安全管理措置義務違反」に問われるリスク
個人情報保護法に基づき、個人情報取扱事業者は個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています(同法第23条)。
個人情報保護委員会が公表している「個人情報の保護に関する法律についてのガイドライン(通達)」等においても、アクセス権限の適切な管理や不要な権限の削除が求められており、退職者のアカウントを長期間放置している状態は、適切な安全管理措置を怠っているとみなされる恐れがあります。
2. アカウントの削除漏れを防ぐための「3つの実務対策」
従業員の「うっかり忘れ」をなくし、組織として確実にアカウントをクローズするための具体的なアプローチです。
アクション1:退職手続きの「チェックリスト」への組み込み
- 具体策:人事・総務部門が主導する退職手続きのチェックリスト(保険証の回収や離職票の発行など)の中に、「利用していたSaaS・社内システムのアカウント停止」という項目を正式に組み込みます。システム部門単独ではなく、人事と連携して「誰が、いつ辞めるのか」の情報が自動的に共有される仕組みを作ることが有効です。
アクション2:利用しているSaaSの一元管理(アカウントの棚卸し)
- 具体策:現場の各部署が独自に契約して使っているツール(シャドーITなど)があると、システム部門が退職者の存在を把握していてもアカウントを消しきれません。 会社全体でどのようなクラウドサービスを利用しているのかを台帳にまとめ、少なくとも半年に1回は「現在、本当に在籍しているメンバーだけで運用されているか」を定期的にチェック(棚卸し)するプロセスを標準化します。
アクション3:「退職日当日」の即時停止ルールの徹底
- 具体策:「引き継ぎがあるから」「元社員から質問が来るかもしれないから」といった理由で、アカウントを数週間残しておく運用は極めて危険です。 原則として、退職日当日、あるいは最終出社日の業務終了時刻をもって速やかにアカウントを一時停止(サスペンド)または削除し、外部からのアクセス経路を完全に断つルールを徹底します。
3. 現場の理解と協力を得るための「セキュリティ教育」
「アカウントをすぐに消されると業務が回らない」という現場の反発に対しては、なぜこれほど厳格な管理が必要なのかを理解させる教育が不可欠です。
- 「過去の事故事例」から学ぶ短時間動画の活用: 単に「ルールだから消します」と伝えるのではなく、「退職者のアカウントを1ヶ月放置した結果、そこから不正アクセスを受けて顧客データが流出し、企業の存続危機に陥った他社の事例」などを視覚的に学べる15分〜30分程度の短い動画教材を導入します。 定期的な研修を通じて現場のマネージャー層や従業員の意識をアップデートしておくことで、アカウントの削除要請に対してスムーズな協力が得られるようになります。
よくある質問(FAQ)
Q. 「元社員のメールアドレス宛てに、取引先から重要なお知らせが届くかもしれない」という理由で、アドレスを残してほしいと現場から要望されました。どう対応すべきですか?
A. アカウントそのものを残すのではなく、「メールの自動転送設定」や「エイリアス(別名アドレス)」を活用し、後任担当者のアドレスへ受信される設定を行った上で、元のアカウントは停止することをお勧めします。
ログイン可能なアカウントの状態で放置するのではなく、受信したメールだけが安全に社内に共有される仕組みへ切り替えることで、不正アクセスのリスクを抑えつつ、業務上の不利益を防ぐことができる場合があります。
Q. 退職者が在職中に作成したGoogleドライブのファイルやデータは、アカウントを削除すると消えてしまいますか?
A. クラウドサービスの種類や設定によっては、アカウント削除と同時にデータが消失する恐れがあります。
アカウントを完全に削除する前に、データの「所有権」を後任の担当者やチームの共有ドライブへ確実に移管する(オーナー変更)作業を、退職手続きのフロー内に明記して実施してください。
詳細な仕様については、各ツールの公式ヘルプページ等をご確認ください。
まとめ
退職者アカウントの放置の本質は、ITシステムの不備ではなく、人事とシステム部門の「連携不足」や「危機意識の薄さ」という運用の問題にあります。
- 放置されたアカウントは、元社員の持ち出しだけでなく、外部ハッカーの侵入口(踏み台)になる恐れがある
- 「退職日当日の即時停止」を原則とし、定期的なアカウントの棚卸しを組織として標準化する
- 現場の協力を得るために、アカウント放置がもたらすリスクの生々しさを研修動画等で伝えておく
※個別の契約トラブルや具体的な法的判断が必要なインシデントが発生した場合は、弁護士や公的な相談窓口等の専門家へご相談ください。
情報セキュリティ研修をご検討中の方へ
当サイトでは、企業・自治体向けに以下のサービスをご提供しています。
- 研修動画パッケージ(買い切り型)
- 講師派遣による対面・オンライン研修
- 社内啓発に活用できる無料「情報セキュリティ10箇条」ポスター
動画研修には、スライド一式・理解度確認テスト・研修実施報告書テンプレート・社内掲示用ポスターも付属しており、研修担当者の負担軽減にも役立ちます。
料金やカリキュラムの詳細は、[情報セキュリティ研修サービス一覧] をご覧ください。




