「退職した元社員のメールアドレスが、半年経ってもそのまま残っていた」「退職者が持ち出したUSBメモリから、取引先情報が流出したかもしれない」。こうした相談は、従業員10~100名規模の中小企業で決して珍しくありません。総務と情シス担当が兼任、もしくは社長自らがIT運用を見ている体制では、退職時のアカウント棚卸しが後回しになりがちです。
この記事では、中小企業の退職者セキュリティ対策について、アカウント削除の漏れを防ぐ具体的な手順と、毎月の棚卸し運用までを経営者向けに解説します。費用をかけずに今日から始められる方法を中心に、ツール導入が必要なケースも費用の目安とともに紹介します。
退職者セキュリティ対策とは?なぜ中小企業ほど危ない
退職者セキュリティ対策とは、社員が退職・異動する際に、その人が使っていたアカウント・データ・端末・物理的な鍵の返却や削除を、漏れなく実施するための運用のことです。英語では「オフボーディング(Offboarding)」と呼ばれ、入社時の「オンボーディング」と対をなす重要な業務です。
大企業と異なり、中小企業では次のような事情から、退職者対応が特に脆弱になりがちです。
・使っているクラウドサービスの種類が多い: Google Workspace、Microsoft 365、会計ソフト、CRM、チャットツール…と10種類以上のサービスを使っている会社が大半です
・アカウント一覧を誰も管理していない: 担当者の記憶頼みで、退職時に1つ2つ消し忘れる
・共有アカウントの使い回し: 「info@」や「sales@」のパスワードを複数人で共有していて、退職時にパスワード変更を忘れる
・SaaSの管理画面を把握していない: 誰がどのサービスの管理者権限を持っているかあいまい
情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2025」でも、内部不正による情報漏えいは組織部門で3位にランクインしており、その多くが退職予定者・退職直後の元社員によるものです。
対策を怠ると何が起きるか(実際のリスク)
退職者対応を怠った場合、次のような具体的な被害が発生します。
| リスク | 具体例 | 想定される損害 |
|---|---|---|
| 顧客情報の持ち出し | 退職前にCRMから顧客リストをダウンロード | 損害賠償・信用失墜で数百万~数千万円 |
| 元社員による不正アクセス | 退職後もメールやクラウドに入れる状態 | 情報漏えい・データ削除・業務妨害 |
| ライセンス費用の垂れ流し | Microsoft 365の退職者ライセンスを削除し忘れ | 1人あたり月1,500円×使われていない人数分 |
| 共有パスワード経由の侵入 | 退職者が知っている共有IDで不正ログイン | ランサムウェア感染・全社停止 |
| 個人情報保護法違反 | 退職者を含む漏えい事案で監督官庁へ報告 | 改善命令・最大1億円の罰金 |
特に2022年の個人情報保護法改正により、情報漏えい時の報告義務と本人通知義務が強化されています。退職者経由の漏えいであっても、会社の管理責任は免れません。
退職時に削除・回収すべきものの全リスト
まず「何を削除・回収する必要があるか」を網羅的に把握することが出発点です。以下は中小企業で必ず確認すべき項目です。
1. アカウント系(最優先)
・メールアカウント: Google Workspace、Microsoft 365のユーザーアカウント
・SSO(シングルサインオン)経由のサービス: Google/Microsoftアカウントで連携している全SaaS
・個別アカウントのサービス: 会計ソフト、勤怠管理、CRM、SFA、チャットツール
・VPN・リモートアクセス: 在宅勤務用VPNアカウント
・サーバー・NASのログインID: 社内ファイルサーバー、業務システム
・共有アカウントのパスワード: info@、sales@など部署メール、管理者共有ID
2. データ系
・個人PCのデータ引き継ぎ: 業務ファイルをクラウドへバックアップ
・メールボックスのアーカイブ: 引き継ぎ担当者に転送設定
・個人用クラウドストレージ: Google Drive・OneDriveの個人フォルダ
3. 端末・物理系
・社給ノートPC: ハードディスクの初期化または廃棄
・スマートフォン: 業務用携帯・iPad等
・USBメモリ・外付けHDD: 全数回収
・入館証・鍵: オフィスの物理キー、金庫、車の鍵
・名刺の残り: 個人情報保護の観点から回収
退職者対応の実践手順(5ステップ)
現場で確実に回せる運用手順を、時系列で整理します。
1. 退職届受理日:チェックリストの起票
退職の申出を受けた時点で、総務または情シス担当が「退職者チェックリスト」を作成します。テンプレート化したExcel、Googleスプレッドシート、もしくはNotionの退職者用テンプレートを使うと、毎回ゼロから作らずに済みます。この段階で最終出社日・有給消化期間・引き継ぎ担当者を確定させます。
2. 最終出社日の1週間前:アクセス権の棚卸し
退職者が現在アクセスできるサービスを洗い出します。管理者権限がある場合は、後任者への権限委譲を優先します。部長・管理職の退職では、決裁権限や承認ワークフローの差し替えが必要です。引き継ぎが完了する前にアカウントを無効化すると業務が止まるため、順序が重要です。
3. 最終出社日当日:メールの転送設定と端末回収
最終出社日の退勤時刻に合わせて、次の作業を同日中に完了させます。
・メールの自動転送を引き継ぎ担当者へ設定(Google Workspaceなら「メール委任」機能)
・個人PCの業務データをファイルサーバー/クラウドへ移管
・社給端末の回収(PC・スマホ・USB・入館証)
・業務用スマホのリモートワイプ(初期化)実行
4. 退職日の翌営業日:アカウントの停止
退職日を過ぎたら、即座に全アカウントを停止(サスペンド)します。削除ではなく停止にする理由は、後日メールの検索・復元依頼が来た際に対応できるようにするためです。Google WorkspaceもMicrosoft 365も「停止」状態でもデータは保持されますが、ログインはできなくなります。
5. 退職30日後:完全削除と棚卸し報告
退職から30日が経過し、引き継ぎに問題がないことが確認できたら、アカウントを完全削除します。同時に、削除記録を経営者または情シス責任者へ書面で報告します。この棚卸し記録は、個人情報保護法への対応や、ISMS認証・Pマーク取得時の監査証跡として役立ちます。
かかるコストと使える補助金
退職者対応のコストは、運用ベースで始めるならほぼゼロ、ツール導入で効率化する場合でも月額数万円に収まります。執筆時点(2026年4月)の目安は次の通りです。
| 対応方法 | 月額コスト(税込目安) | 従業員30名の年間費用 |
|---|---|---|
| Excelチェックリスト運用(手動) | ¥0 | ¥0(人件費のみ) |
| Google Workspace管理コンソール標準機能 | 既存ライセンス内 | 追加費用なし |
| SaaS管理ツール(ジョーシス等) | ¥300~¥500/ユーザー | ¥108,000~¥180,000 |
| IDaaS(OneLogin、HENNGE One等) | ¥400~¥1,000/ユーザー | ¥144,000~¥360,000 |
使っているSaaSが5~6個以下であれば、Excel+Google Workspaceの標準機能だけで十分対応できます。10個を超えてきたら、SaaS管理ツール(ジョーシス、マネーフォワード Admina等)の導入を検討するタイミングです。
IT導入補助金2026(通常枠)では、SaaS管理ツール・IDaaSも対象ソフトウェアに含まれる場合があります。年度・公募回によって対象範囲が変わるため、申請前にIT導入補助金の公式サイトで対象ツールの登録状況を確認してください。
よくある失敗と回避策
退職者対応で中小企業が踏みがちな落とし穴と、その回避策を整理します。
| よくある失敗 | 回避策 |
|---|---|
| 退職日後もメールが残ったまま | 退職日翌営業日にアカウント停止を徹底、30日後に完全削除 |
| 共有アカウントのパスワードを変え忘れる | 退職者が知っていたIDを一覧化し、全て変更 |
| 個人PCから業務データを消し忘れる | 最終出社日にクラウドへ移管→PCを初期化 |
| SaaSの管理者権限を放置 | 「誰が管理者か」の一覧を年1回棚卸し |
| 退職者からの駆け込みアクセス | 退職申出後は機密データへのアクセス履歴を監視 |
| 引き継ぎメールが届かない | アカウント停止ではなく自動転送に一時切替え |
特に共有アカウントの問題は見落とされがちです。「sales@」や「info@」のパスワードを退職者も知っていた場合、退職後も外部からログインできてしまいます。従業員10名規模でも、共有IDの棚卸しだけは毎月実施することを推奨します。
毎月の棚卸しで属人化を防ぐ
退職者対応は、一度チェックリスト化しただけでは形骸化します。月次の棚卸し運用に組み込むことで、漏れを未然に防げます。
・月初に前月退職者リストを確認: 人事情報から退職者を抽出
・アカウント削除状況を照合: Google Workspace、Microsoft 365の管理コンソールで確認
・SaaS別の棚卸し: 会計・勤怠・CRMなど主要ツールの利用者一覧を取得
・棚卸し結果を経営者へ報告: 「全件削除済み」または「未削除◯件」を書面で
この運用を6か月続けると、退職時の対応漏れはほぼゼロになります。さらに、使っていない有料ライセンスが見つかることも多く、年間数十万円のコスト削減につながるケースも珍しくありません。
DX推進時のセキュリティ全般については、姉妹サイトセキュリティマスターズ.TOKYOでも詳しく解説しています。特に内部不正対策とログ監視の話題は、退職者対応と合わせて検討するとより効果的です。
本記事のまとめ
中小企業の退職者セキュリティ対策は、ツール導入よりも「誰が・いつ・何を確認するか」の運用ルールづくりが最重要です。Excelのチェックリストと月次棚卸しだけで、8割のリスクは防げます。使っているSaaSが10個を超えてきたら、SaaS管理ツール(月額300円/ユーザー程度)の導入を検討しましょう。
大切なのは、一人の担当者の記憶に頼らず、仕組みとして回すことです。最初の1人目の退職対応で確立したフローを、全退職者へ横展開してください。月次棚卸しを3か月続けるだけで、漏れの発見率は劇的に上がります。
退職者対応のチェックリストが欲しい方へ
本記事で紹介したチェックリストのテンプレート(Excel/Googleスプレッドシート版)を、メルマガ登録者限定で無料配布しています。
中小企業のDXを身近な業務改善から始めたい方へ、メルマガで実践的なDX推進ノウハウをお届けしています。
コメント