退職時のアカウント削除漏れを防ぐチェックリストひとり情シスでも実践できる｜情報漏えいリスクを最小化する退職対応フロー

退職者のアカウント、本当にすべて削除できていますか？

退職者のアカウント削除漏れは、チェックリストと仕組み化で防げます。営業秘密漏えいの最大経路は中途退職者であり、対策の遅れは情報漏えいに直結します。本記事では、退職時に確認すべき項目を時系列で整理したチェックリストと、削除漏れを構造的に防ぐ運用フローを紹介します。

従業員が退職した際、そのアカウントを速やかに削除する——。当たり前のことのように思えますが、実際には多くの企業でアカウントの削除漏れが発生しています。あるサイバーセキュリティ企業の国際調査では、日本企業の約34%が退職者のアカウントをそのまま残しているという結果が報告されています。本記事では、退職時のアカウント削除漏れがなぜ起きるのか、その背景とリスクを整理したうえで、ひとり情シスやIT兼任担当者でもすぐに使えるチェックリストと運用フローをお伝えします。

情報漏えい事故は年々増加の一途をたどっています。東京商工リサーチの調査によると、2024年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は189件にのぼり、調査開始以来4年連続で過去最多を更新しました。漏えいした個人情報は約1,586万人分に達しています。こうした事故の背景にはサイバー攻撃の高度化がありますが、見落とされがちなのが「内部要因」による漏えいです。特に退職者のアカウントが残ったままになっていることは、外部からの攻撃と同等かそれ以上のリスクを企業にもたらします。

退職者による情報漏えいが「最大の経路」になっている現実

独立行政法人情報処理推進機構（IPA）が実施した「企業における営業秘密管理に関する実態調査2020」では、営業秘密の漏えいルートとして「中途退職者」が36.3%と最多を記録しました。2016年調査時の28.6%から約8ポイントも上昇しており、退職者を経由した情報漏えいは増加傾向にあります。

この調査では、従業員のミスによる漏えい（誤操作・誤認等）は前回調査から約半減した一方で、中途退職者による意図的な持ち出しが増えていることが明らかになりました。つまり、企業がセキュリティ対策を強化しても、退職者の管理が甘ければ根本的な解決にはならないのです。

特に注目すべきは、従業員300人以下の企業では情報漏えいを認識した際に「何もしなかった」割合が高いという点です。中小企業においては、インシデント発生後の対応体制が十分に整っていないケースが多く、被害の発見自体が遅れる傾向にあります。ひとり情シスや兼任IT担当者にとって、退職時のアカウント管理は「自分が対応しなければ誰もやらない」業務であることが多く、だからこそ仕組み化が不可欠なのです。

なぜアカウント削除漏れは起きるのか——3つの構造的要因

退職者のアカウント削除漏れは、担当者の怠慢ではなく構造的な問題から生じています。ここでは、多くの企業で共通して見られる3つの要因を整理します。

1つ目は、削除申請が現場から上がってこないという問題です。新しい従業員が配属されたときは、業務システムにログインできなければ仕事が始まらないため、必ずアカウント作成の申請が届きます。しかし退職時は、アカウントを削除しなくても業務上の支障がないため、申請が後回しにされがちです。引き継ぎ期間が終わった頃には申請自体を忘れてしまうケースも珍しくありません。

2つ目は、退職者がどのシステムを利用していたか把握できていないことです。業務で利用するSaaSやクラウドサービスは年々増加しています。メールやグループウェアのように全社共通のものだけでなく、部署単位で導入したツールや、個人で登録したサービスまで含めると、退職者のアカウントをすべて洗い出すのは容易ではありません。

3つ目は、削除フローの責任の所在が曖昧であることです。「誰かが消してくれているだろう」という思い込みが組織内に広がると、結果として誰も対応しないまま放置されるアカウントが生まれます。ある企業では、M&Aで買収した子会社において退職者のアカウント削除漏れが発覚し、退職後も個人情報や機密情報にアクセスできる状態が続いていたことが明らかになっています。

放置されたアカウントがもたらす4つのリスク

削除されずに残ったアカウントは、企業にとって「開いたままの裏口」のようなものです。具体的には、次の4つのリスクが発生します。

まず、退職者自身による機密情報の持ち出しです。転職先での評価を高めたいという動機から、営業秘密や顧客情報を持ち出すケースが報告されています。ある塗料メーカーでは、元役員が建築用塗料の設計情報をUSBメモリに複製して転職先に持ち込み、類似商品の製造にまで至った事例があります。この元役員には懲役2年6ヶ月（執行猶予3年）と罰金120万円の判決が下されました。

次に、退職者のアカウントを悪用した第三者による不正アクセスです。長期間パスワードが更新されていないアカウントは、攻撃者にとって格好の侵入口になります。存在を忘れられたアカウントは監視の目が届きにくく、不正利用されても発見が遅れる傾向があります。

3つ目は、退職者のメールアカウントを悪用したスパムメールの送信です。放置されたメールアカウントが乗っ取られ、取引先や顧客に対してフィッシングメールが送信されるケースも報告されています。これにより企業の信用が大きく毀損される可能性があります。

4つ目は、法的・経済的リスクです。個人情報保護法では、企業には個人データの安全管理措置を講じる義務があります。アカウント管理の不備から情報漏えいが発生した場合、管理責任を問われるのは情報を持ち出した退職者ではなく、管理体制が不十分だった企業側です。損害賠償請求に発展するケースも少なくありません。

ひとり情シスでも使える｜退職時アカウント管理チェックリスト

限られたリソースのなかでも確実にアカウント削除を実行するためには、チェックリストによる「仕組み化」が有効です。以下に、退職が決定した時点から退職後までの流れに沿ったチェック項目を整理しました。

退職決定時（退職日の2週間〜1ヶ月前）

退職者が利用しているシステム・サービスの一覧を作成します。メール、グループウェア、ファイル共有、CRM、会計ソフト、プロジェクト管理ツールなど、業務で使用しているすべてのアカウントを棚卸しましょう。見落としやすいサービスとしては、Slack・Chatworkなどのチャットツール、TrelloやBacklogなどのプロジェクト管理ツール、GitHub・Figmaなどの開発・デザインツールが挙げられます。同時に、退職者の業務データのバックアップ計画を立てます。メールの転送設定や、共有フォルダの権限移管も、この段階で準備しておくことが重要です。

最終出社日

退職者が利用していた端末（PC、スマートフォン、タブレット）を回収し、初期化またはデータ消去を実施します。入館証やセキュリティカード、物理鍵の回収も忘れずに行いましょう。退職者本人の目の前で、主要システムのパスワード変更またはアカウント無効化を実施することをお勧めします。

退職日当日

メールアカウントの無効化、VPNアクセスの遮断、リモートアクセス権限の削除を優先的に行います。Active DirectoryやGoogle Workspace、Microsoft 365などのディレクトリサービスでアカウントを無効化すれば、連携する複数のサービスへのアクセスを一括で遮断できます。

退職後1週間以内

部署単位で導入しているSaaSやクラウドサービスのアカウント削除を完了させます。共有アカウントやチーム用アカウントのパスワード変更も必ず行いましょう。退職者が管理者権限を持っていたサービスがあれば、権限の移管と旧アカウントの削除を確認します。

退職後1ヶ月

全システムのアクセスログを確認し、退職者のアカウントでのログイン履歴がないことを検証します。チェックリストを完了記録として保管し、次回の退職対応に備えましょう。

削除漏れを「仕組み」で防ぐための3つの運用ポイント

チェックリストを作成しただけでは、運用が属人化してしまうリスクがあります。継続的に機能する仕組みにするために、3つのポイントを押さえておきましょう。

1つ目は、人事情報とIT管理の連携です。退職が決定した時点で人事部門からIT担当者に自動的に通知が届く仕組みを作ることが理想です。規模が小さい企業であれば、人事担当者とIT担当者の間で「退職確定時に必ず共有する」というルールを明文化するだけでも効果があります。

2つ目は、アカウント台帳の整備です。従業員ごとに「誰がどのシステムにアカウントを持っているか」を一覧で管理できる台帳を作成しましょう。Excelやスプレッドシートでも構いません。重要なのは、新規アカウント作成時に必ず台帳に記録する運用を定着させることです。台帳があれば、退職時に「この人のアカウントをすべて削除できたか」を確実に確認できます。実際にGXOが支援した企業でも、アカウント台帳の整備と退職フローの明文化により、それまで発生していた削除漏れをゼロに改善した実績があります。

3つ目は、定期的な棚卸しの実施です。四半期に一度、あるいは少なくとも半年に一度は、全システムのアカウント一覧と在籍者リストを突合し、不要なアカウントが残っていないかを確認しましょう。退職者だけでなく、異動者のアカウント権限の見直しも同時に行うと効果的です。

これらの取り組みは、一見すると手間がかかるように思えます。しかし、情報漏えいが発生した場合の対応コスト——原因調査、顧客への通知、損害賠償、信用回復——と比較すれば、予防にかけるコストは圧倒的に小さいものです。

まとめ

退職時のアカウント削除漏れは、多くの企業で見過ごされがちなセキュリティリスクです。IPAの調査が示すように、営業秘密漏えいの最大経路は中途退職者であり、アカウント管理の甘さが重大な情報漏えいにつながる可能性があります。ひとり情シスや兼任IT担当者であっても、チェックリストの活用とアカウント台帳の整備によって、削除漏れを大幅に減らすことができます。まずは自社のアカウント管理状況を確認し、退職者のアカウントが残っていないか棚卸しをしてみてください。

「どこから手をつければいいかわからない」「社内のIT管理体制を見直したい」とお考えでしたら、GXOにご相談ください。180社以上の支援実績を持つGXOでは、アカウント管理体制の構築やチェックリストの導入支援、セキュリティ運用の仕組み化まで、御社の状況に合わせた伴走型の支援を行っています。

お問い合わせはこちら