本文へスキップ
株式会社オブライト
Business DX2026-07-15約5分で読めます

退職者のクラウドアカウント、消していますか — アクセス管理の基本

退職者のメールや共有ドライブへのアクセス権限が残っていないか。中小企業で見落とされがちなアカウント管理の穴と、今日からできる対策をまとめる。


退職者のアカウントが「消えないまま」残っていないか

アカウントのオフボーディングとは、社員が退職・異動した際に、その人が利用していたメール・共有ドライブ・業務システムなどのアクセス権限を、適切なタイミングで停止・削除する一連の手続きのことである。入社時のアカウント発行は比較的丁寧に行われる一方、退職時の停止作業は後回しにされがちで、気づいたときには何年も前に辞めた人のアカウントがまだ有効だった、という話は珍しくない。

中小企業で特に起こりやすい理由

クラウドサービスは個人単位で契約・追加できるものが多く、部署やプロジェクト単位で担当者が個別に契約していることがある。その結果、会社として「誰がどのサービスにどんなIDでアクセスできるか」を一元的に把握できておらず、退職時にどのアカウントを止めるべきか、誰にも分からない状態になりやすい。

さらに、退職手続きは総務・人事の業務として完結してしまい、ITやシステムの担当者が関与しない会社も多い。退職の連絡がIT担当(あるいは外部の情シス代行先)に届かなければ、アカウントの停止は誰の仕事にもならないまま放置される。

放置されたアカウントが引き起こすリスク

リスク内容
情報の持ち出し退職者が在職中に閲覧していた顧客情報や資料に、退職後も引き続きアクセスできてしまう
不正アクセスの入口使われなくなったアカウントはパスワード変更などの管理が緩みやすく、乗っ取りの標的になりやすい
監査・取引先チェックでの指摘セキュリティ監査や取引先の与信・審査でアカウント管理の不備を指摘され、取引条件に影響することがある
誤操作・意図しない共有権限が残ったままの共有ドライブやツールで、想定外の操作や情報共有が起きる

今日からできる対策

アカウント管理の仕組みを一から作り直そうとすると腰が重くなるが、まずは現状を洗い出すところから始めれば大きな負担にはならない。以下のような取り組みは、専任のIT担当者がいなくても着手できるものが多い。

- アカウント台帳を作る: どのサービスに・誰が・どのIDでアクセスできるかを一覧化する
- 共有IDを廃止する: 複数人で同じIDを使い回している場合は、個人単位のアカウントに切り替える
- 退職チェックリストにIT項目を追加する: 総務・人事の退職手続きフローに「アカウント停止」を明記する
- 多要素認証を有効にする: パスワードだけに頼らない認証を主要サービスで設定する
- 定期棚卸しを行う: 半年〜1年に一度、有効なアカウント一覧と在籍者リストを突き合わせる

見落とされやすい対象にも注意する

アカウント管理というとメールや共有ドライブが真っ先に思い浮かぶが、実際にはそれ以外にも見落とされやすい対象が多い。会社のSNSアカウントの運用担当ID、広告管理画面のログイン、ドメインやDNSの管理画面、外部の制作会社・開発会社に一時的に渡した管理者IDなどは、日常的に意識される機会が少なく、退職や契約終了のタイミングでチェックリストから漏れがちである。棚卸しの際は、メール・チャット・ストレージといった日常業務系だけでなく、こうした「普段は触らないが権限は強い」システムも対象に含めておくと安心である。

退職前チェックリストの作り方

効果的なのは、退職が決まった時点で使う「退職時ITチェックリスト」を用意しておくことである。対象サービス(メール、チャット、クラウドストレージ、会計・販売管理システムなど)を一覧化し、退職日当日または直後にアカウントを停止する担当者と期限を明記しておけば、総務・人事とIT担当の間で認識のずれが起きにくくなる。発注や契約の見直しを合わせて検討する場合は、発注前チェックリストも参考になる。

管理を外部に任せるという選択肢

IT専任の担当者を置く余裕がない企業では、アカウント管理そのものを外部に委託する選択肢もある。情シス代行サービスの相場を確認し、日常的な運用の一部として棚卸しや退職時の停止作業を任せることも検討に値する。専任の担当者がいない状態でシステムを増やしていくこと自体のリスクについては、IT担当がいない会社のシステム導入ガイドにも整理されている。

対策にかかる費用感

アカウント管理の仕組みを整備する費用は、既に利用しているサービスの数や、外部委託を組み合わせるかどうかで幅が大きく、一律の金額を示すことは難しい。多要素認証の導入自体は無料〜低コストで行えるサービスが多い一方、台帳整備や外部への運用委託を含める場合は月額でのランニングコストが発生する。実際の費用は複数社から見積もりを取り比較することが望ましく、保守運用全体の考え方は保守完全ガイドも参考になる。

クラウド利用全体の見直しとあわせて

アカウント管理は、クラウドサービスの契約・運用ルール全体を見直すタイミングで合わせて整理すると効率がよい。特にクラウド移行や新しいサービス導入を検討している場合は、クラウド移行の進め方を確認しながら、契約時点からアカウント管理のルールを組み込んでおくと、後から棚卸しに追われることを防ぎやすい。

よくある質問

退職者のアカウントは退職日に必ず止めるべきですか?

業務の引き継ぎ状況によっては数日の猶予が必要な場合もあるが、原則として退職日、遅くとも数日以内には停止することが望ましい。停止予定日をあらかじめ決めておくことが重要である。

個人契約のクラウドサービスが多く、全体を把握できていません。何から始めればよいですか?

まずは主要な部署・担当者にヒアリングを行い、業務で使っているサービスとアカウントを洗い出すところから始めるとよい。台帳化するだけでも、退職時の対応漏れは大きく減らせる。

多要素認証を導入すると業務が煩雑になりませんか?

最初は多少の手間が増えるが、スマートフォンアプリなどを使えば数秒の操作で済むことが多い。不正アクセスによる被害の大きさと比べると、導入の負担は小さいと考えられている。

まとめ

退職者のアカウントが残り続ける問題は、多くの中小企業にとって「気づいていないだけ」のリスクである。アカウント台帳の整備、共有IDの廃止、退職チェックリストへのIT項目追加、多要素認証といった対策は、いずれも大掛かりなシステム投資を必要とせず、今日から着手できる。まずは自社にどんなサービスとアカウントが存在するかを洗い出すことから始めたい。

お気軽にご相談ください

お問い合わせ