「退職した元社員が、まだ社内システムにアクセスできる状態になっていた」という経験をお持ちの情シス担当者は少なくありません。退職者による情報漏洩は、発覚が遅れるほど被害が深刻化する一方で、その原因の多くは「退職連絡の遅延」「SaaSの把握不足」という日常的な管理の抜け穴から発生しています。

IPAが毎年発表する「情報セキュリティ10大脅威」では、「内部不正による情報漏洩」が組織部門において常に上位にランクインしており、退職者を起点とした情報流出は組織にとって無視できないリスクです。特に中堅企業では、専任のセキュリティ担当者が少なく、退職者のアカウント管理が属人的な運用になりがちです。

現場の情シス担当者からよく聞かれる課題として、「人事部門からの退職連絡が当日になることが多い」「部門で独自に契約しているSaaSが把握しきれていない」という声があります。こうした状況では、退職当日に全アカウントを確実に無効化することは、手作業では現実的ではありません。

本記事では、退職者による情報漏洩が発生するメカニズムから、事前対策・退職当日の対応チェックリスト・自動化の仕組みまでを体系的に解説します。IT部門が明日から実践できる具体的な手順と、Josysを活用した対応の自動化についてもあわせて紹介します。

退職者による情報漏洩が発生する仕組み

退職者に起因する情報漏洩は、悪意の有無にかかわらず発生します。管理体制の不備が引き金になるケースが多く、仕組みを理解することが対策の第一歩です。

なぜアカウントが残存するのか

退職者のアカウントが残存する最大の原因は、「情報の流れの遅延」にあります。退職連絡が人事部門から情シス部門に届くタイミングが遅れたり、部門で独自に契約したSaaSが全社の管理台帳に載っていなかったりすることで、対応が後手に回ります。複数のSaaSを並行して利用している環境では、1つのシステムのアカウントは削除できても、別のツールのアカウントが残存するというケースも頻発しています。

パターン1：退職後もアクティブなアカウントからのアクセス

退職者が最も利用しやすい侵入経路は、退職後も有効なままになっているアカウントです。クラウドサービスは場所を問わずアクセスできるため、オフィスを離れた後も個人のPC・スマートフォンから社内システムにアクセスできる状態が続きます。SaaSのアカウントは、オンプレミスシステムと異なりIPアドレス制限が設けられていないことも多く、特に退職直後の期間は通常の業務アクセスと区別がつきにくいという問題があります。

パターン2：退職前の大量データ持ち出し

退職が決まった後、引き継ぎの名目で大量のデータをローカル環境や個人のクラウドストレージにコピーするケースがあります。営業担当者が顧客リストをダウンロードする、エンジニアがソースコードを個人リポジトリに転送するなど、業務上の正当なアクセス権を活用した持ち出しは、リアルタイムでの検知が難しい侵害です。退職予告後の短期間にアクセス量が急増しても、上長や情シスが気づくことなく見過ごされてしまうことがあります。

パターン3：退職前のアクセス権を悪用した外部送信

社内メールに添付してデータを外部送信したり、Slackなどのコミュニケーションツールでファイルを共有したりする手口です。メール監視ソリューションや DLP（データ損失防止）が導入されていない環境では、大量のデータが外部に転送されても気づかないまま退職を迎えるリスクがあります。

パターン4：SNS・クラウドストレージへのアップロード

個人のGoogleドライブ・Dropbox・OneDriveなどに業務データをアップロードするパターンも増えています。テレワーク環境の普及により、業務データが個人のクラウドストレージと混在するケースが多く、退職後もデータへのアクセスが続く状況になりがちです。SNSへの投稿による意図しない情報漏洩も、退職直後に発生しやすいインシデントの一つです。

発生の根本原因：3つの管理上の課題

退職者に起因する情報漏洩が起きる背景には、以下の3つの管理課題が共通して存在します。

• 退職連絡の遅延：人事部門からIT部門への連絡が退職当日または事後になるケースがある
• SaaS把握不足：部門ごとに個別契約したSaaSが全社の管理台帳に反映されていない
• 対応の属人化：退職者のアカウント削除が特定の担当者の記憶や手作業に依存している

退職者情報漏洩の実態と被害規模

退職者を起因とする情報漏洩は、他の外部攻撃に比べて潜在期間が長く、発覚した時点では被害が拡大していることが多い点が特徴です。

内部不正による情報漏洩の実態

IPAが実施した「企業における情報セキュリティ実態調査」によれば、情報漏洩のインシデントのうち、内部不正に起因するものは全体の約2〜3割を占めています。内部不正の中でも「退職者または退職予定者による不正」が占める割合は高く、特に人事異動や退職者が集中する年度末前後にインシデントが増える傾向があります。

海外の調査では、退職した従業員が6割以上の割合で何らかの企業データを持ち出した経験があると回答しているという報告もあります（Tessianの調査より）。持ち出されるデータの種類としては、顧客情報・営業資料・製品仕様書・ソースコードが多く、競合他社に提供される・転職先に持参するといった動機が多く見られます。

残存アカウントの発見率

IT資産管理の実態調査においては、定期的なアカウント棚卸しを実施している企業でも、管理外のSaaSアカウントが発見されるケースが多数あります。特に、部門担当者が個人のクレジットカードで契約した「シャドーIT」のSaaSは、IT部門から完全に見えない状態になっていることが少なくありません。

退職から3か月以上経過した後に残存アカウントが発見されるケースも珍しくなく、その間ずっとアクセス可能な状態が続いていたことになります。

被害金額と業務停止リスク

情報漏洩が発覚した場合の被害は、直接的な金銭的損失だけでなく、顧客への通知コスト・弁護士費用・システム調査費用・再発防止策の実装コストなど、多岐にわたります。日本サイバー犯罪対策センターによれば、情報漏洩1件あたりの平均対応コストは数千万円規模に達することもあります。

また、顧客情報が漏洩した場合は個人情報保護法に基づく報告義務が発生し、ブランドへの信頼毀損・取引先との契約解除リスクも生じます。中堅企業では大企業と比べて監視体制が手薄になりがちで、インシデントの発覚が遅れることで被害が拡大しやすい構造があります。

退職者情報漏洩を防ぐための事前対策

退職が決まった段階から、組織的な対策を段階的に実施することが重要です。退職当日の対応だけに頼るのではなく、予告期間中から情報漏洩リスクを管理する体制が求められます。

退職前のデータアクセス監視

退職が確定した後の予告期間中は、通常の業務範囲を超えたデータアクセスが発生しやすい時期です。この期間のアクセスを適切に監視することが、持ち出し防止の基本となります。

具体的には、退職予定者のファイルダウンロード数・メール送信数・外部へのデータ転送量を平常時と比較してモニタリングします。通常の業務パターンから逸脱した行動が検出された場合は、上長や情シスにアラートを送る仕組みを整備することが効果的です。

クラウドストレージの外部共有設定の変更についても監視対象に含めます。退職前に大量のファイルを外部共有に変更するという手口は、ファイルごとのアクセス権変更として記録されるため、監査ログを定期的に確認することで早期発見につながります。

DLP（データ損失防止）ツールを導入している場合は、退職予定者に対してより厳格なポリシーを適用し、特定のファイル種別（顧客データ・機密文書）の外部転送を自動的にブロックする設定を検討します。

退職前の権限段階的削減

退職予告後から退職当日にかけて、段階的に権限を縮小することがリスク低減につながります。すべての権限を退職当日まで維持する必要はなく、業務上不要になった権限は早期に剥奪することが原則です。

引き継ぎに必要なシステムへのアクセスは継続しつつ、人事情報・財務情報・個人情報が含まれるシステムへのアクセスは早期に停止します。管理者権限を持っていた場合は、退職予告後速やかに一般ユーザー権限に降格させます。退職予告期間中の権限変更は変更理由とともに記録し、監査証跡として保存しておきます。

データ持ち出し防止の技術的措置

技術的な制御によりデータの物理的な持ち出しを防ぐ措置も重要です。

個人デバイスへのデータコピーについては、エンドポイント管理ツール（MDM/EMM）を活用して、業務PCから個人のクラウドストレージやUSBメモリへのデータ転送を制限します。退職予定者の端末に対して、この制限をより厳格に適用することが有効です。

外部メディアの制御については、USBポートの利用制限・外部ストレージの接続ブロックをポリシーとして設定します。すでに接続済みのデバイスについても、定期的なインベントリ確認を行い、許可されていないデバイスを検出します。

メール経由の情報持ち出しについては、大容量ファイルの添付を自動的に検査する仕組みや、キーワードフィルタリングによる機密情報の検出を活用します。外部送信メールのアーカイブを取得しておくことで、インシデント発生後の調査にも役立てることができます。

退職当日・退職後のアカウント管理

退職当日の対応は、時間との勝負です。退職者がオフィスを離れるタイミングに合わせて、すべてのアクセス手段を確実に無効化する必要があります。

退職当日に行うIT対応チェックリスト

退職当日にIT部門が対応すべき項目を、優先順位順に整理します。退職者がオフィスに来ない場合（テレワーク・郵送退職など）でも、以下の対応が当日中に完了するよう体制を整えておくことが重要です。

退職当日のIT対応チェックリスト：

1. 全SaaSアカウントの無効化
   • 業務で利用しているすべてのSaaSアカウントを無効化または削除する
   • IT管理台帳に記載のないシャドーITの確認も実施する
   • シングルサインオン（SSO）経由のアクセスについても設定を確認する
2. メールアカウントの処理
   • メールアカウントを無効化し、ログインをブロックする
   • 後任者へのメール転送設定を行う（設定後の転送先は定期的に確認する）
   • 退職者がメール管理者権限を持っていた場合は権限を移管する
3. VPN・リモートアクセスの即時停止
   • VPNのクレデンシャルを無効化し、アクセスを遮断する
   • リモートデスクトップ・ゼロトラストネットワークアクセスの設定を削除する
   • MFA（多要素認証）のデバイス登録を解除する
4. デバイスの回収・ワイプ処理
   • 会社支給のPC・スマートフォン・タブレットを物理的に回収する
   • 回収が当日困難な場合は、リモートワイプを即時実行する
   • 個人デバイスへの会社アプリ（MDM管理下）を削除する
5. 共有アカウント・パスワードの変更
   • 退職者が知っていた共有アカウントのパスワードをすべて変更する
   • チームで共有していたSSHキー・APIキーを再発行する
   • クラウドインフラ（AWS・GCP・Azure）の認証情報も含めて確認する

退職後の残存アカウント確認

退職当日の対応だけでなく、退職後の定期的な残存確認も欠かせません。退職当日に見落としたアカウントや、退職後に新たに発見されたシャドーITへの対応が必要なことがあります。

退職後1週間以内に、在籍者リストと全SaaSのアカウントリストを照合して残存アカウントがないかを確認します。SaaS管理ツールを活用している場合は、孤立アカウント（在籍者リストと紐づいていないアカウント）の検出機能を定期的に実行します。

孤立アカウントとは何かについては、関連記事も参照してください。

関連記事:休眠アカウントの特定とリスク対策

発見した残存アカウントは、その場で即時無効化します。長期間放置された残存アカウントは、攻撃者に悪用されるリスクも高まるため、発見から対処までのリードタイムをできるだけ短くする運用が重要です。

退職者のアクセスログ保存と監査

退職前後のアクセスログは、後の監査・インシデント調査に不可欠な証跡です。少なくとも退職前6か月分・退職後1年分のアクセスログを保存する方針を設けることを推奨します。

退職前に通常以上のアクセスが確認されていた場合は、退職後の調査においてそのログが重要な証拠となります。ログの保存形式は改ざんが難しい仕組みで保管し、誰がいつどのデータにアクセスしたかを追跡できる状態を維持します。

退職後に元従業員による不正アクセスが疑われる場合は、ログの分析・フォレンジック調査・警察への届け出・法的手続きの検討という対応フローに従います。外部の専門機関（セキュリティインシデント対応サービス）との連携体制を事前に整えておくことも重要です。

入退社に関する詳細なIT管理手順については、関連記事も参照してください

関連記事:Josysによる従業員の円滑な退職処理の自動化

退職者対応の自動化・効率化

退職者のアカウント管理を手作業で行い続けることには限界があります。SaaSの数が増加し、リモートワークが定着した現在、自動化による対応が実質的な必須要件になっています。

人事システムと情報システムの連携

退職者対応における最大のリスクは、「人事部門からIT部門への情報連携の遅れ」にあります。退職連絡が当日になってしまう背景には、人事と情シスが別々のシステムで情報を管理しているという構造的な問題があります。

人事管理システム（HRシステム）の退職日情報を情シス側のシステムと連携させることで、IT部門が退職予定日を事前に把握できる仕組みを構築します。退職日の1〜2週間前に自動通知が届くようにすることで、事前準備の時間を確保できます。

理想的な連携フローは「HRシステムで退職手続き開始→IT管理システムに自動通知→退職日のスケジュールが設定される→退職当日に自動デプロビジョニングが実行される」という流れです。

自動デプロビジョニングの仕組み

デプロビジョニングとは、退職者のアカウントを削除し、システムへのアクセス権を剥奪するプロセスです。手動で対応する場合、担当者は数十〜数百のSaaSアカウントを1つずつ確認・削除しなければならず、作業漏れが発生しやすい状態になっています。

自動デプロビジョニングを実現するためには、まずすべてのSaaSアカウントを一元管理するプラットフォームが必要です。次に、退職日情報を起点としてアカウント削除をトリガーする仕組みを構築します。これにより、担当者の手作業なしに、退職日当日に全アカウントを確実に無効化することが可能になります。

入退社のアカウント自動化については、関連記事も参照してください。

関連記事:入退社のSaaSアカウント自動化完全ガイド｜仕組み・ツール比較13選

ゼロトラスト環境での退職対応

ゼロトラストアーキテクチャを採用している環境では、「信頼しない、常に検証する」という原則から退職者対応を設計します。ゼロトラストでは、すべてのアクセスを継続的に検証する仕組みがあるため、退職者のアクセス遮断をより確実に実施できます。

IdP（アイデンティティプロバイダー）でのアカウント無効化が、SSO経由で接続されたすべてのサービスへのアクセス遮断に直結する構成では、1か所の対応が全サービスに反映されるため、管理コストを大幅に削減できます。ただし、SSOに対応していないSaaSについては別途対応が必要な点に注意が必要です。

SaaSセキュリティの全体像については、関連記事も参照してください。

内部リンク: SaaSセキュリティとは？基本的な考え方とリスク・対策を解説

JosysによるSaaSアカウント自動削除

Josysは、SaaS管理と入退社対応を一元化するITマネジメントプラットフォームです。情シスが抱える退職者対応の課題を、Access AutomationとSaaS Discoveryの2つの機能で解決します。

Access Automation：退職日に全SaaSを一括停止

Josysの「Access Automation」機能は、退職日を起点として、対象社員が利用しているすべてのSaaSアカウントを自動的に無効化・削除します。350以上のSaaSに対応しており、主要なクラウドサービスを網羅的にカバーしています。

従来の手作業では、1人の退職者に対して数時間から半日かかることもあったアカウント削除作業が、Josysを使うことで担当者が個別のツールを操作することなく完了します。IT工数を最大50%削減した実績を持ち、国内外700社以上の企業が導入しています。

退職日当日に自動実行される仕組みのため、担当者の不在・繁忙期・年度末の大量退職など、従来は抜け漏れが発生しやすかった状況でも確実な対応が可能です。

SaaS Discovery：野良SaaSを含む全アカウントを可視化

退職者対応において見落としが多いのが、IT部門が把握していない「シャドーIT」のSaaSです。Josysの「SaaS Discovery」機能は、社内ネットワークや認証基盤と連携して、IT管理台帳に載っていない野良SaaSを自動検出します。

SaaS Discoveryで発見されたシャドーITのアカウントも、Access Automationの対象に追加することができます。これにより、IT部門が管理していなかったSaaSのアカウントも含めて、退職時の一括対応が可能になります。

孤立アカウントの継続的な検出も可能で、退職後に残存しているアカウントを定期的にスキャンして発見・削除する運用を自動化できます。

退職連絡〜アカウント削除までのフロー自動化

Josysは、人事システムとの連携により、退職連絡を受け取った時点から退職当日のアカウント削除まで、一連のフローを自動化します。人事システムで退職手続きが開始されると、Josysに情報が連携され、退職日のスケジュールが自動設定されます。退職当日の指定時刻にAccess Automationが実行され、全SaaSのアカウントが削除されます。

この仕組みにより、情シス担当者が退職者ごとに手動でアカウント削除の作業を実行する必要がなくなります。担当者が気づかないうちにアカウントが残存するリスクを構造的に排除することが可能です。

また、対応結果のログが自動的に記録されるため、監査証跡の取得・定期的な棚卸し確認・インシデント時の調査にも活用できます。

情報漏洩の原因と対策の全体像については、関連記事も参照してください。

関連記事: 企業の情報漏洩｜原因TOP3と情シスが実施すべき対策ガイド

まとめ

退職者による情報漏洩は、「忘れた頃に問題が起きる」リスクの代表例です。退職当日に対応を済ませたつもりでも、把握できていなかったSaaSのアカウントが数か月後に発覚することや、退職前に持ち出されたデータが転職先で使われているケースは現実に発生しています。

対策の核心は「可視化」と「自動化」の2点です。まず、自社で利用しているすべてのSaaSと各社員のアカウントを把握する可視化の仕組みを整備します。次に、退職連絡を起点としたアカウント削除のプロセスを自動化し、担当者の手作業・記憶・注意力に依存しない体制を構築します。

JosysのAccess AutomationとSaaS Discoveryを組み合わせることで、退職者情報漏洩リスクをシステム的に管理し、IT部門の工数を削減しながら高いセキュリティ水準を維持することができます。退職者対応の自動化に関心をお持ちの方は、ぜひJosysの資料をご覧ください

退職者によるアカウント残存リスクを自動化で解決したい方へ。JosysのAccess Automationの詳細資料を無料でダウンロードいただけます。350以上のSaaSに対応した一括アカウント削除の仕組みについて、導入事例とあわせてご確認ください

‍5分でわかるJosysに関する資料をダウンロードする

無料トライアルを申し込む