正直に言います。
「退職した社員のアカウント、そのまま残ってる」
これ、めちゃくちゃ多いです。
しかも厄介なのが、社長自身はほぼ気づいていないケースが多いことです。
現場で何度も見てきましたが、いざトラブルが起きてから「そんなことできたの?」と青ざめるパターン、本当に多いです。
もし、こんな状態になっていたら少し注意してください。
- 退職者のメールアドレスがそのまま使える
- Googleドライブや共有フォルダにログインできる状態
- 社内Wi-Fiのパスワードを変更していない
- クラウドツールのアカウント削除をしていない
- 「誰が何にアクセスできるか」を把握していない
- マイナンバーや請求書データが同じ場所に置かれている
これ、1つでも当てはまったら、正直ヒヤッとするレベルです。
というのも、退職者=悪意があるとは限りませんが、
「アクセスできてしまう状態」そのものがリスクだからです。
そして怖いのは、気づかないうちに情報が外に出ているケースです。
取引先のデータ、給与情報、マイナンバー…。
一度漏れたら、信用は簡単に戻りません。
この記事では「退職者のアクセス放置」という地味だけど致命的なリスクを、明日から潰せるレベルまで具体化します
なぜ「退職者アカウント放置」が一番危ないのか
外部攻撃よりも身近なリスクだから
ウイルスとかハッキングって聞くと、「うちは関係ない」と思いがちですよね。
でも実際に多いのは、こういう身内起点のトラブルです。
退職者のアカウントって、元々正規の権限を持っていたものです。
つまり、システムから見ると「普通の社員」と同じ扱いなんです。
これが何を意味するかというと、
・ログインできる
・データを見られる
・ダウンロードできる
全部普通にできてしまう、ということです。
現場では「まさか退職後に使わないだろう」で放置されがちですが、
その“まさか”が起きたとき、止める手段がありません。
本人が悪気なくても事故になる
ここ、よく誤解されます。
「元社員が悪いことをする前提で考えたくない」
その気持ちはすごく分かります。
ただ、問題はそこではありません。
例えば、こんなケースです。
・自宅PCにログイン情報が残っている
・家族が誤ってアクセスしてしまう
・退職後に別会社で同じパスワードを使い回す
これだけで、情報は簡単に外に出ます。
つまり、「悪意」ではなく「管理不足」で漏れるんです。
退職者アカウントは「性善説」で管理してはいけません
放置するとどうなるか(リアルな現場の話)
取引先からの信頼が一瞬で崩れる
一番ダメージが大きいのがこれです。
例えば、見積書や顧客リストが外に出た場合。
取引先からすると「管理が甘い会社」と判断されます。
そしてこの時点で、
・新規契約が止まる
・既存案件が見直される
という流れになります。
実際、「原因は元社員のアカウントでした」と説明しても、ほぼ通用しません。
マイナンバー漏洩は一発アウト
これはかなり重い話です。
マイナンバーって、会社が預かっているだけでも責任が発生します。
それが漏れた場合、説明責任が問われます。
しかも中小企業の場合、管理体制まで見られます。
・誰がアクセスできたのか
・なぜ削除していなかったのか
・再発防止はどうするのか
ここを説明できないと、正直かなり厳しいです。
気づかないまま漏れ続ける
これが一番怖いです。
退職者がアクセスできる状態って、ログを見ない限り気づきません。
つまり、
・知らないうちにデータを見られている
・知らないうちにダウンロードされている
こういう状態が続く可能性があります。
「気づいたときには手遅れ」が一番多いパターンです
社長がよく誤解しているポイント
「アカウント=メールだけ」だと思っている
これ、かなり多いです。
実際は、メールだけじゃありません。
・クラウドストレージ
・勤怠システム
・会計ソフト
・チャットツール
全部紐づいています。
1つ残っているだけで、そこから芋づる式にアクセスできるケースもあります。
「担当者に任せているから大丈夫」
これも危険です。
担当者が忙しいと、退職処理が後回しになります。
「後でやろう」が、そのまま忘れられます。
そして気づいたら半年放置、1年放置。
現場では普通にあります。
「パスワード変えればOK」
これも不十分です。
理由はシンプルで、
別のサービスにはそのままログインできるからです。
1つの対策だけで安心するのは、かなり危ないです。
「全部つながっている前提」で考えるのが正解です
最低限やるべき管理ルール(すぐできる)
退職当日にやることを決める
これが一番大事です。
「後でやる」はやりません。これは断言できます。
なので、退職当日に必ずやる項目を決めてください。
- メールアカウント停止
- クラウドツール削除
- 共有フォルダ権限削除
- VPN・社内ネットワーク遮断
この4つだけでも、かなりリスクは下がります。
「誰がやるか」を決める
ここも重要です。
責任が曖昧だと、確実に漏れます。
・総務がやるのか
・外部業者がやるのか
・社長が最終確認するのか
ここを明確にしてください。
チェックリスト化する
口頭指示は絶対に忘れます。
なので、紙でもいいのでチェックリストを作るのがおすすめです。
チェックを入れないと完了しない仕組みにすると、かなり事故が減ります。
安全な状態と危険な状態の違い
| 項目 | 安全な状態 | 危険な状態 |
|---|---|---|
| アカウント管理 | 退職当日に削除 | 後回し・放置 |
| アクセス権 | 最小限に制限 | 全員フルアクセス |
| 管理責任 | 担当者が明確 | 誰も把握していない |
| データ管理 | 用途ごとに分離 | 全部同じ場所 |
明日からやるべき具体アクション
まず「今の状態」を洗い出す
ここからです。
・誰のアカウントが残っているか
・どこにアクセスできるか
これを一度全部見てください。
正直、思っているより多いはずです。
退職者リストと突き合わせる
過去1年分くらいでいいので、退職者を洗い出します。
その人たちのアカウントが残っていないか確認してください。
ここで初めて「危ない状態」が見えます。
簡易ルールを作る
難しく考えなくていいです。
例えば、
- 退職当日削除
- 担当者は総務
- 社長が週1で確認
これだけでも十分です。
まずは“回る仕組み”を作ることが大事です。
完璧じゃなくていいので「止まらない運用」を作ってください
まとめ
退職者アカウントの放置って、正直かなり地味です。
でも、その地味さが一番危ないんです。
派手な攻撃じゃなく、こういう“当たり前の穴”から事故は起きます。
明日やることはシンプルです。
- アカウントの棚卸しをする
- 退職者のアクセスを確認する
- 削除ルールを決める
ここまでやれば、かなり安心できます。
「うちは大丈夫」と思った瞬間が一番危ないです。今すぐ1つだけでも確認してみてください。
