導入

従業員が退職するたびに、情シス担当者は複数のSaaSアカウントの無効化、PCの回収、データの引き継ぎ、ライセンスの整理といった作業を実施しなければなりません。利用しているSaaSの種類が増え続ける現代では、退職者のアカウントを漏れなく処理することが年々難しくなっています。

実際、企業の情報漏洩の約40%は退職者・異動者が原因と言われています。「削除したつもりだったのに、1年後に退職者のアカウントでシステムにアクセスされていた」というインシデントは、どこかの企業だけの話ではありません。SSOと連携していないSaaSは台帳に載っていないケースも多く、シャドーITを含めた全アカウントの洗い出しが困難な状況が続いています。

本記事では、退社時に情シス担当者が行うべきIT管理業務を、退職2週間前から退職後3ヶ月までの5フェーズのタイムライン別チェックリストとして整理します。アカウント無効化の正しい手順（削除ではなくブロックから始める理由）、データ引き継ぎの方法、デバイス回収・消去の手順まで、実務で即使える形で提供します。

この記事でわかること：

• 退職2週間前〜退職後3ヶ月のタイムライン別チェックリスト
• Microsoft 365・Google Workspace・SaaSのアカウント無効化の正しい手順
• データ引き継ぎ・デバイス回収・ライセンス整理の具体的な方法
• 退社IT管理の自動化（デプロビジョニング自動化）の仕組み

退社時のIT管理とは｜情シスが担う役割と対応範囲

退社時のIT管理とは、退職する従業員のIT環境を安全に無効化・回収・引き継ぎするまでの一連の業務を指します。人気が担う退職届の受理や健保・雇用保険の手続きとは別に、情シスが専門的に対応すべき領域です。

退社時IT管理の対象範囲

情シスが退社時に対応すべき領域は、アカウント・デバイス・データ・ライセンスの4カテゴリに分類できます。

アカウント管理では、業務用メールアカウント、社内システム、SaaS各種、VPN、社内Wi-Fiへのアクセス権を無効化します。デバイス管理では、PC、スマートフォン、タブレット、ICカード、USBメモリなどの貸与機器をすべて回収します。データ管理では、退職者のメールボックス・クラウドストレージ・プロジェクトデータを後任者や部門管理者に引き継ぎます。ライセンス管理では、退職者が保有していたSaaSライセンスを回収し、新入社員や既存社員へ再割り当てします。

なぜ退社IT管理が複雑になっているのか

退社時のIT管理が難しくなっている主な原因は、企業が利用するSaaSの種類の急増です。

一人の従業員が日常業務で使用するSaaSは、コミュニケーション系・業務系・セキュリティ系を合わせると10〜20種類以上になるケースも珍しくありません。退職のたびにこれだけ多くのSaaSアカウントを漏れなく無効化するのは、手動対応では限界があります。さらに、従業員が情シスの承認を経ずに個人的に登録したシャドーITは台帳に載っていないため、洗い出しにも手間がかかります。

退職者アカウントを放置すると起きること

退職者のアカウントを放置することで生じるリスクは深刻です。企業の情報漏洩の約40%は退職者・異動者が原因と言われています。

退職後もアクティブなアカウントが残っていると、退職者本人による意図的なデータ持ち出しや、第三者によるそのアカウントへの不正アクセスが発生するリスクがあります。退職者が管理者権限を持っていたサービスでアカウントが放置されると、権限設定の変更や重要データの削除・持ち出しといった深刻な被害につながる可能性もあります。孤立アカウントは発見が遅れるほど被害が大きくなるため、退職日当日を期限として確実に対応することが求められます。

退社IT管理チェックリスト【タイムライン別・完全版】

退社IT管理を漏れなく実施するには、いつまでに何をすべきかを明確にしたタイムライン管理が前提となります。退職日の2週間前から退職後3ヶ月にかけての5つのフェーズに分けて整理しています。

退職2週間前までにやること

退職が確定したら、まず対象の洗い出しと引き継ぎ計画の策定から始めましょう。

アカウント・ライセンスの棚卸し：

• [ ] IT資産台帳を参照し、退職者が利用しているシステム・SaaSの一覧を作成
• [ ] 台帳に未登録のシャドーIT（個人登録SaaS・AI系ツール等）の確認
• [ ] 管理者権限・特権アカウントの保有サービスを最優先リストに記載
• [ ] 退職者が保有するライセンス一覧の抽出

データ引き継ぎ計画の策定：

• [ ] メールボックス・クラウドストレージ（OneDrive・Google Drive）の引き継ぎ先確定
• [ ] 退職者担当の顧客データ・プロジェクトデータの移管先確定
• [ ] 引き継ぎ期限（データ引き継ぎ完了期日）の設定

デバイス回収スケジュール確認：

• [ ] 貸与機器（PC・スマートフォン・ICカード等）の一覧確認
• [ ] 回収日時・回収方法の確定（リモートワーク社員の場合は郵送手配）

この段階での目標は「何を・どのタイミングで・誰が対応するか」を確定させることです。シャドーITの洗い出しは退職者本人に確認する必要があるため、早めの着手が肝心です。

退職前日までにやること

前日フェーズでは、データの保全とアカウント無効化の事前準備を完了させます。

データバックアップ・保全：

• [ ] メールボックスのバックアップ（Microsoft 365なら訴訟ホールドで保持）
• [ ] OneDrive・Google Driveの業務ファイルのバックアップ
• [ ] 退職者の重要メールへの後任者アクセス権付与

引き継ぎ完了確認：

• [ ] 業務データ・顧客データの引き継ぎ完了を後任者に確認
• [ ] 退職者から後任者への引き継ぎドキュメントの受領確認

メール転送の事前設定：

• [ ] 退職日当日に有効化できるよう、メール転送先（後任者または部門共有メール）を設定
• [ ] 自動返信文の作成（退職日以降の対応先・担当者情報を案内）

退職当日にやること（実施順序が重要）

退職当日の対応は、実施する順序が非常に重要です。パスワード変更→アカウントブロック→セッション切断という流れを守ってください。

アカウント無効化（優先順位順）：

• [ ] 全アカウントのパスワード変更（管理者権限保有サービスを最優先）
• [ ] Microsoft 365・Google Workspaceのサインインブロック（削除ではなくブロック）
• [ ] アクティブセッションの強制切断
• [ ] MFA認証の解除（退職者スマートフォン等の認証デバイス削除）
• [ ] VPN・リモートアクセスのアカウント無効化
• [ ] SaaS各種アカウントの無効化（SSO連携の有無に応じて対応）

メール転送の有効化：

• [ ] 退職者メールへの転送設定を有効化（目安：退職後1〜3ヶ月間）

デバイス・機器の回収：

• [ ] PC・ノートパソコンの回収
• [ ] スマートフォン・タブレットの回収
• [ ] ICカード・セキュリティキーの回収
• [ ] USBメモリ・外部記憶媒体の回収
• [ ] 回収確認書への署名取得・台帳への記録

退職後1週間以内にやること

退職後の最初の1週間は、ライセンスの整理とデバイスの処理を進める段階です。

ライセンス・アクセス権の整理：

• [ ] Microsoft 365・Google Workspaceライセンスの回収と再割り当て
• [ ] SaaSライセンスの回収と再割り当て
• [ ] メーリングリスト・TeamsやSlackチャンネルからの削除
• [ ] SharePointサイト・Confluenceスペースのオーナー変更

デバイスの処理：

• [ ] 回収PCのデータ完全消去（ワイプ）
• [ ] Windows初期化またはMDMによるリモートワイプ
• [ ] データ消去証明書の取得・保管
• [ ] 次の利用者へのキッティング前の動作確認

IT資産台帳の更新：

• [ ] 退職者のアカウント情報を台帳から削除（または退職済みにステータス変更）
• [ ] デバイス・ライセンスの状況を最新状態に更新

退職後1〜3ヶ月にやること

一定の保留期間を経た後、アカウントを完全削除してクローズします。

アカウント完全削除：

• [ ] ブロック状態だったMicrosoft 365・Google Workspaceアカウントの完全削除
• [ ] SaaS各種アカウントの完全削除（無効化済みアカウントを正式削除）

メール転送の終了：

• [ ] 退職者メールへの転送設定を終了
• [ ] 自動返信で後任者の連絡先を恒久的に案内

最終確認・記録：

• [ ] 対応状況の最終確認・記録（対応ログをIT管理台帳に保存）
• [ ] 未対応項目がないかの最終チェック

退社IT管理の詳細手順①｜アカウント無効化の正しい方法

アカウント無効化は、退社IT管理の中で最もミスが起きやすい工程です。削除と無効化（ブロック）を混同してしまうと、必要なデータが失われるリスクがあります。順序と方法を正確に理解した上で実施してください。

Microsoft 365のアカウント無効化手順

Microsoft 365のアカウント無効化では、サインインのブロックから始めることが正解です。削除を先に行ってはいけません。

アカウントを即座に削除してしまうと、メールボックスとOneDriveのデータも同時に失われます。サインインブロック状態にしておけば、退職者はログインできなくなりつつ、データは保持されたまま後任者が引き継ぎを完了できます。具体的な手順としては、Microsoft Entra管理センターにログインして対象ユーザーを選択し、サインインのブロックを有効化します。その後セッションの取り消しを実行することで、TeamsやOutlookのログイン済みセッションも強制終了されます。メールデータの長期保持が必要な場合は、訴訟ホールドを有効化しておくと、Exchange Online上でメールが保持されます。

アカウントの完全削除は、データ引き継ぎ完了後、退職後30〜90日を目安に実施します。

Google Workspaceのアカウント無効化手順

Google Workspaceのアカウント無効化は、管理コンソールから対象ユーザーを検索してサインインを停止します。

データ保持には、Google Vaultでの保持設定またはGoogle TakeoutでのデータエクスポートをGoogleドライブに保存する方法があります。Googleドライブ内のファイルは、アカウント削除後でも別のユーザーへ転送できる期間があるため、削除前に必ず実施してください。

SaaSアカウントの無効化手順（SSO連携あり・なし別）

SaaSアカウントの無効化は、SSO連携の有無によって対応方法が異なります。これを正確に把握しておかないと、無効化漏れが発生します。

SAMLやSCIMによるSSO連携があるSaaSの場合、IdP（Microsoft Entra IDやGoogle Workspace等）側のアカウントをブロックすれば、連携するSaaSへのサインインも自動的に無効化されます。ただし、SCIMによる自動プロビジョニングが設定されていないSaaSは、アカウントが自動削除されない場合があるため確認が必要です。

SSO連携がないSaaSの場合、各SaaSの管理画面から個別にアカウントを無効化します。特に見落としリスクが高いのは、部門ごとに個別導入したSaaS、退職者が個人的に登録したAI系ツールやノーコードツール、外部共有リンクやAPIキーの発行者となっているサービスです。

アカウント プロビジョニングとは

退社IT管理の詳細手順②｜データ引き継ぎと保管

退職者のメール・ファイル・プロジェクトデータの引き継ぎは、業務継続とコンプライアンスの両面で欠かせない手順です。アカウントを削除する前に引き継ぎを完了させることが大前提であり、引き継ぎ先と保管期間を退職確定時点で決めておくことが理想的です。

メールボックスの引き継ぎ方法

メールボックスの引き継ぎは、業務継続に最も直結する対応です。退職確定後すぐに着手してください。

Microsoft 365の場合、退職者のメールボックスに後任者を共有メールボックスとして追加することで、退職後も後任者がメールを閲覧できます。転送設定では、退職者宛に届くメールを後任者または部門の共有メールアドレスに転送します。転送期間は退職後1〜3ヶ月間が目安ですが、顧客対応が多い職種では延長を検討してください。

Google Workspaceの場合、管理コンソールからメールの自動転送設定を行います。Gmailのデータは、Google Takeoutでエクスポートしてアーカイブとして保存しておくと、後から参照が必要になった際に対応できます。

クラウドストレージの引き継ぎ

OneDriveやGoogle Driveに保存された業務ファイルの引き継ぎも、アカウント削除前に完了させる必要があります。

OneDriveの場合、Microsoft 365管理センターからサイトコレクション管理者に後任者を追加することで、退職者のOneDriveフォルダへのアクセス権を付与できます。アカウント削除後、OneDriveのデータはデフォルトで30日間保持されます。Google Driveの場合、管理コンソールのデータ転送機能を使い、退職者のマイドライブ全体を後任者のドライブに移管できます。

プロジェクトデータ・SaaS内データの引き継ぎ

プロジェクト管理ツールやCRM内のデータ引き継ぎも、見落としが起きやすい領域です。

SlackやMicrosoft Teamsのチャット履歴は、退職者がオーナーのプライベートチャンネルの扱いを確認します。AsanaやJira等のプロジェクト管理ツールでは、退職者が担当するタスクの担当者を後任者に変更します。Salesforce等のCRMでは、担当顧客データの移管と退職者アカウントの無効化を同時に行います。

退社IT管理の詳細手順③｜デバイス回収とデータ消去

退職者が使用していたPC・スマートフォン・周辺機器の回収は、情報漏洩防止と資産管理の両面で欠かせない手順です。デバイスに保存された業務データの完全消去は、回収後すぐに実施することが基本です。

デバイス回収の手順と注意点

回収すべきデバイスの種類と方法を事前に整理しておくことで、当日の対応がスムーズになります。

回収対象となる機器は次のとおりです。

• PC・ノートパソコン（会社貸与品）
• スマートフォン・タブレット（会社貸与品）
• ICカード・セキュリティキー
• USBメモリ・外部ハードディスク
• モニター・キーボード・マウス等の周辺機器

回収時は、退職者に回収確認書への署名を取得し、IT資産台帳に返却日を記録します。リモートワーク社員の場合は、退職日前後に郵送で返送してもらう手配が必要です。送付用の梱包材を準備し、追跡番号を確認できる配送方法を指定しましょう。

データ消去（ワイプ）の方法

回収したデバイスのデータ消去は、次の利用者へ渡す前に必ず完了させます。

MDMを活用したリモートワイプは、デバイス回収前でも実施できる方法です。Microsoft IntuneやJamfからリモートワイプを実行すると、デバイスの設定と業務データが消去されます。リモートワイプが完了した場合でも、回収後に改めてローカルからの完全初期化を実施することを推奨します。

Windowsの場合はBitLockerで暗号化された状態で初期化することで、データ復元のリスクを排除できます。Macの場合は消去アシスタントを使用し、FileVaultによる暗号化と初期化を実施します。高セキュリティが求められる場合は、専門業者によるデータ消去と消去証明書の取得を検討してください。

回収デバイスのリフレッシュと再利用

デバイス消去後は、次の利用者へのキッティング前に動作確認を行います。ライセンスの再割り当ては、デバイスの正式引き渡しが完了したタイミングで実施します。

退社IT管理でよくあるミスと防止策

チェックリストを整備していても、退社IT管理では特定のミスが繰り返し発生します。発生頻度の高いトラブルのパターンを把握し、事前に防止策を設けておきましょう。

SaaSアカウントの無効化漏れ

退社IT管理で最も多く発生するのが、SaaSアカウントの無効化漏れです。SSO連携がないSaaSや、部門担当者が個別に導入したSaaS、退職者が個人的に登録したシャドーITは台帳に載っていないため、洗い出し作業なしには把握できません。

防止策は、退職確定時点で退職者本人に利用しているすべてのSaaS・ツールの申告を求めることです。IT資産台帳にシャドーIT欄を設けて定期的に更新する運用を整備しておくと、退職時の対応が大幅に簡易化されます。

削除と無効化（ブロック）の混同

アカウントを即座に削除してしまうと、メールボックス・クラウドストレージのデータが失われます。特にMicrosoft 365やGoogle Workspaceのアカウントは、削除後にデータを回復するのが難しいケースがあります。

正しい手順はサインインブロック後にデータ引き継ぎを完了確認し、一定期間保持してから完全削除する流れです。退職当日にアカウントを即削除しないことをチェックリストの必須ルールとして明記しておきましょう。

データ引き継ぎ完了前のアカウント削除

後任者への引き継ぎが完了していないまま退職者のアカウントを削除してしまうと、業務データへのアクセスができなくなります。取引先との過去メールや顧客データが失われると、業務継続に深刻な影響を与えます。

チェックリストに後任者からのデータ引き継ぎ完了確認を必須項目として設けることで、この順序ミスを防ぐことができます。

デバイス回収の遅延

退職者がリモートワーク中の場合、デバイスの返送が遅れるケースがあります。回収が遅れている間も、デバイス内のデータが退職者の手元に残り続けます。

退職日前に郵送用の梱包材と配送ラベルを送付し、退職日翌日に発送するよう退職者に依頼する運用を標準化しましょう。MDMのリモートワイプを退職日当日に実行すれば、回収前でもデータの安全を確保できます。

IT資産台帳の更新忘れ

退職者対応が完了した後、IT資産台帳の更新を忘れるケースが多く見られます。台帳が最新状態でないと、次の退職者対応の際に使用ライセンス数や貸与デバイスの状況が正確に把握できなくなります。チェックリストの最終項目に台帳の更新完了確認を設けることで、対応漏れを防ぎます。

退社IT管理を自動化する方法（デプロビジョニング自動化）

チェックリストを整備しても、手動での退社IT管理には構造的な限界があります。SaaSが増え続ける環境では、退職のたびに多くのSaaSアカウントを手動で無効化していては、情シスの工数が膨大になるばかりです。

手動対応の限界

少人数の情シスチームが複数の退職者に同時対応するケースを考えてみましょう。退職者が1名いるだけで、10〜20種類のSaaSアカウントの無効化、デバイスの回収・消去、ライセンスの回収と再割り当てを、通常業務の合間に処理しなければなりません。対応を急ぐあまり確認が不十分になったり、担当者の異動・退職によって引き継ぎ情報が失われたりするリスクは、手動対応では常に付きまといます。

SaaS管理プラットフォームによる自動デプロビジョニング

SaaS管理プラットフォームを導入することで、退職情報の登録をトリガーとして複数のSaaSアカウントを自動的に無効化する仕組みが構築できます。

人事システムに退職者情報が登録されると、プラットフォームがその情報を受け取り、あらかじめ設定されたルールに基づいて各SaaSのアカウントを自動的に無効化します。無効化完了後は、情シス担当者への自動通知と対応ログの記録が行われるため、確認作業の手間も省けます。

ジョーシスのプラットフォームでは、SaaSアカウントの一元管理と自動デプロビジョニングを実現する機能を提供しています。退職者のアカウント削除対象を可視化し、SaaSとデバイスを一元的に管理することで、退職者対応の抜け漏れをなくします。導入前は専任の情シス担当者がいない状態でデバイス管理台帳と実態に差異が生じ、退職者アカウントの管理も追いついていなかった企業が、ジョーシスのプラットフォームを導入することで情シス業務全体を約30%削減した事例があります。退職者アカウントの削除対象が可視化され、ISMSの要件を満たせる体制を整えることができました。

オフボーディング IT 自動化

自動化で得られる5つの効果

退社IT管理を自動化することで得られる効果を整理すると、以下の5点が挙げられます。

• 工数削減：退職のたびに発生する手動でのアカウント無効化作業がほぼゼロになる
• ミス防止：手動操作による無効化漏れ・順序ミス・台帳未更新のリスクが排除される
• 即時対応：退職日当日に自動でアカウント無効化が実行されるため、対応遅延が発生しない
• 監査対応：アカウント無効化・削除の履歴が自動記録され、ISMSや内部監査の証跡として活用できる
• セキュリティ向上：シャドーITも含めた全SaaSの可視化により、見落としが減少する

退社IT管理チェックリストの運用・標準化のポイント

退社IT管理のチェックリストは、情シス内での標準化と人事部門との連携を組み合わせることで、より確実に機能します。

チェックリストを情シス内で標準化・共有する方法

担当者が変わっても同じ品質で対応できるよう、チェックリストはConfluenceやNotionなどのWikiツールに掲載し、情シス全員がアクセスできる状態にしておきましょう。更新履歴を記録しておくと、新しいSaaSが追加された際の変更点も把握しやすくなります。

退職者のアカウント無効化対応が情シス内の特定の担当者だけに属人化しているケースは多く、その担当者が休暇中や退職後に退職者対応が発生すると引き継ぎが困難になります。チェックリストを文書化して複数名が対応できる体制にしておくことが、属人化防止の基本です。

人事部門との連携

退職対応の最大の課題は、退職情報がいつ・どの形式で情シスに連携されるかが不明確なことです。

人事部門との間で退職日確定から情シスへの通知タイミング、通知に含める情報（氏名・所属・退職日・貸与機器一覧）、緊急退職（懲戒・即日退職）の場合の対応フローをあらかじめ合意しておくと、退職者対応の品質が大きく向上します。

退職者が多い時期の対応体制

年度末（3月）や採用減期（10月前後）は退職者が集中するケースがあります。こうした時期は、チェックリストの優先順位付けと作業の分担を事前に計画しておきましょう。

SaaS管理プラットフォームによる自動デプロビジョニングを導入していれば、退職者が集中する時期でもアカウント無効化の工数は変わらないため、繁忙期対策として特に有効です。

入社IT管理との連動

退社IT管理のチェックリストは、入社IT管理のチェックリストと対になる存在です。退職者から回収したデバイスやライセンスを新入社員に再割り当てするサイクルを、入退社の管理フローとして一体的に設計しておくことで、資産とライセンスの無駄を最小化できます。

入社 IT管理 チェックリスト

従業員ITライフサイクルとは

まとめ

退社時のIT管理は、アカウント無効化・デバイス回収・データ引き継ぎ・ライセンス整理の4つを、退職2週間前から退職後3ヶ月のタイムラインに沿って確実に実施することが核心です。

退職者アカウントの放置は情報漏洩リスクに直結します。アカウント無効化はブロックから始め、データ引き継ぎが完了してから完全削除に進む順序を徹底することが重要です。手動対応には構造的な限界があり、SaaS管理プラットフォームによる自動デプロビジョニングを導入することで、退職者アカウント放置ゼロの状態を実現できます。

退職者対応が属人化している場合は、まずチェックリストの整備と情シス内での標準化から着手してください。自動化の仕組みと組み合わせることで、退職者が集中する時期でも安定した対応が可能になります。

ジョーシスのプラットフォームで退社IT管理を自動化する

ジョーシスのプラットフォームなら、退職情報の登録をトリガーに、数十種類のSaaSアカウントを自動で即時無効化できます。退職者アカウント放置ゼロを実現する仕組みを、無料デモでご確認ください。

参考資料

• TWOSTONE&Sons「情シスが押さえるべき退職者アカウント管理の進め方と成功事例」
• dxeco「退職者のアカウント削除業務を80%削減！」
• カスペルスキー公式ブログ「急増する退職者による情報漏えい リスクと対策について」