月曜の朝、総務部の担当者がふと気づきます。「3か月前に退職した営業の田中さん、まだ社内のGoogle Workspaceにログインできるんじゃないか?」調べてみると案の定、アカウントは有効なまま。共有ドライブの顧客リスト、見積書のテンプレート、取引先とのメールのやり取り——すべてにアクセスできる状態でした。

これは架空の話ではありません。IPA(独立行政法人情報処理推進機構)の「情報セキュリティ10大脅威 2026」でも、「内部不正による情報漏えい」は毎年上位にランクインしています。そしてその多くは、退職者や異動者のアカウントが適切に処理されなかったことが原因です。

この記事では、SaaSが当たり前になった今、中小企業が見落としがちなアカウント管理の穴と、来週から始められる実務フローを解説します。

放置アカウントが招く3つのリスク

「退職者のアカウントを消し忘れた」。それだけのことが、企業にとって深刻な事態を招くことがあります。

機密情報の持ち出し

退職者が在職中に使っていたクラウドサービスに退職後もログインし、顧客データや営業ノウハウを持ち出すケースです。従業員80名の製造業で実際にあった事例では、退職した営業担当がCRMツールに3か月間アクセスし続け、主要取引先の連絡先と取引条件を競合他社に持ち込んでいました。発覚したのは、取引先から「御社の元社員から連絡があった」と報告を受けたときでした。

不正アクセスの踏み台

放置されたアカウントは、外部の攻撃者にとって格好の侵入口になります。誰も監視していないアカウントであればあるほど、不審なログインに気づく人がいません。JNSA(日本ネットワークセキュリティ協会)のインシデント損害額調査レポートによると、不正アクセスによる情報漏えいの平均損害額は1件あたり数千万円規模に上ります。中小企業にとっては事業継続を揺るがす金額です。

ライセンスコストの無駄

セキュリティリスクだけでなく、使われていないアカウントにライセンス費用を払い続けるのは純粋なコストの無駄です。従業員50名規模の企業で退職者10名分のMicrosoft 365ライセンス(1アカウント月額1,360円)が放置されていれば、年間で約16万円の無駄遣いになります。これは「見えないコスト」として、意識しないと延々と垂れ流されるものです。

「うちは大丈夫」が一番危ない——よくある3つの盲点

多くの企業は「退職時にパソコンを返却してもらっているから大丈夫」と考えています。しかしSaaS時代のアカウント管理は、PCの回収だけでは完結しません。

盲点1:個人端末からのアクセスが残っている

BYOD(個人端末の業務利用)を認めている企業では、退職者のスマートフォンやタブレットにアプリが残ったままになりがちです。SlackやTeamsのモバイルアプリは、一度ログインするとセッショントークンが有効な限りアクセスし続けます。総務省のテレワークセキュリティガイドラインでも、端末管理とアクセス制御の分離が推奨されています。

会社のPCを回収しただけで安心してしまうと、個人スマートフォンのSlackアプリから社内チャンネルが丸見えのまま、という状況が生まれます。

盲点2:部門ごとに契約したSaaSを情シスが把握していない

マーケティング部門がCanvaを契約し、営業部門がHubSpotを使い、開発チームがGitHubを使う——部門単位でSaaSを導入するのは今や珍しくありません。しかし、IT部門が全体像を把握していなければ、退職時に「全アカウントを停止する」こと自体が不可能です。

従業員120名・営業拠点5箇所の不動産管理会社では、社内で利用しているSaaSを棚卸ししたところ、情シスが把握していたのは全体の約6割でした。残り4割は部門が独自に契約・運用しており、退職者のアカウント停止が漏れる温床になっていました。この「シャドーIT」と呼ばれる問題は、SaaSの導入が簡単になればなるほど深刻化します。

盲点3:共有アカウントのパスワードが変更されていない

「このサービスは1アカウントをみんなで共有しています」——中小企業ではよくある光景です。問題は、メンバーが退職したときにパスワードを変更しない限り、元社員がいつでもログインできてしまうことです。SNSの公式アカウント、ECサイトの管理画面、広告運用ツールなど、共有アカウントが使われやすいサービスほどリスクが高くなります。

SaaSアカウントの棚卸しを始める4ステップ

現状を把握することが対策の第一歩です。いきなり完璧なシステムを構築しようとせず、まずは以下の手順で棚卸しを行いましょう。

ステップ1:利用中のSaaSを全社で洗い出す

各部門のリーダーに「業務で使っているWebサービスをすべてリストアップしてください」と依頼します。Googleスプレッドシートなどで共有シートを用意し、以下の項目を記入してもらいましょう。

  • サービス名と用途
  • 管理者(誰が契約し、誰がアカウントを追加できるか)
  • 利用人数とアカウントの種類(個人アカウントか共有アカウントか)
  • 二要素認証(MFA)の設定状況

ポイントは、部門リーダー自身に記入してもらうことです。IT部門が調べようとしても、部門独自に導入したサービスは検知できません。

ステップ2:各サービスの管理者を1名確定する

「誰がアカウントの追加・削除ができるのか」が曖昧なサービスは、退職対応が漏れる原因になります。サービスごとに管理者を1名決め、その人が入退社時のアカウント操作を担当するようにしましょう。

ステップ3:現在の退職者・休職者のアカウントを確認する

棚卸しと同時に、過去1年以内に退職・休職した社員のアカウントが残っていないかをチェックします。Google Workspaceであれば、管理コンソールのユーザー管理画面から最終ログイン日時を確認できます。90日以上ログインがないアカウントは、即座に停止を検討してください。

ステップ4:棚卸し結果を定期更新する仕組みを作る

一度きりの棚卸しでは、新しく導入されたSaaSがすぐに管理外になります。四半期に一度、同じシートを更新する運用ルールを決めましょう。カレンダーに「SaaS棚卸し」のリマインダーを入れておくだけで、形骸化を防げます。

退職・異動時のオフボーディングチェックリスト

棚卸しが終わったら、次は「人が動くときの手順」を標準化します。以下のチェックリストをそのまま社内運用に取り入れてみてください。

退職日当日までに完了すること

  • Google Workspace / Microsoft 365 のアカウント停止(データの引き継ぎが必要な場合は、先に共有ドライブへ移動してからアカウントを停止する)
  • Slack / Teams / Chatwork からの退出処理
  • CRM(Salesforce、HubSpotなど)のアカウント無効化
  • 共有アカウントのパスワード変更(SNS管理ツール、広告アカウント、ECサイト管理画面など)
  • VPN / リモートアクセスの無効化
  • 会社契約のSaaSアプリを個人端末から削除(BYODの場合)

退職後1週間以内に確認すること

  • 各サービスのログイン履歴を確認し、退職日以降のアクセスがないことを検証する
  • 退職者が管理者権限を持っていたサービスの権限移譲が完了しているか確認する
  • メーリングリスト・配信リストからの除外

後回しにされがちだが見落とせないもの

  • GitHub / GitLab のリポジトリアクセス権の削除
  • AWS / GCP / Azure のIAMユーザー削除
  • 外部パートナーとの共有フォルダ(Box、Dropbox)からの除外
  • 名刺管理ツール(Sansan、Eight)の退職者処理

このチェックリストは、NISC(内閣サイバーセキュリティセンター)のサイバーセキュリティ関連法令Q&Aハンドブックの考え方にも沿った内容です。自社の利用サービスに合わせてカスタマイズして使ってください。

「最小権限の原則」を日常業務に取り入れる

ここまでは退職時の対応を中心に解説しましたが、本質的な対策は「そもそも必要以上のアクセス権を与えない」ことにあります。これはセキュリティの世界で最小権限の原則(Principle of Least Privilege)と呼ばれる考え方で、ゼロトラストセキュリティの基本でもあります。

具体的には、以下のような運用を心がけてみてください。

プロジェクト単位でアクセス権を設定する。 Google Driveであれば「全社共有」ではなく、プロジェクトごとのフォルダに必要なメンバーだけを招待します。プロジェクトが終了したら、アクセス権を見直しましょう。

管理者権限を持つ人数を最小限にする。 「念のため全員に管理者権限をつけておこう」は、セキュリティ上もっとも危険な判断の一つです。サービスごとに管理者は1〜2名に絞り、それ以外のメンバーは一般ユーザー権限で運用しましょう。

二要素認証(MFA)を全サービスで有効にする。 パスワードだけの認証は、もはや十分な防御とは言えません。Google AuthenticatorやMicrosoft Authenticatorなどの認証アプリを使ったMFAを、すべての業務用SaaSで有効化してください。NIST(米国標準技術研究所)のデジタルアイデンティティガイドラインでも、MFAの導入は強く推奨されています。

まとめ——完璧よりも「まず1つ」から

「理想はわかるけど、うちにはIT専任者がいないから無理」という声をよく聞きます。たしかに、大企業のようなID管理基盤(IdP)を一気に導入するのは、予算的にも人員的にも現実的ではないかもしれません。

しかし、この記事で紹介した対策の多くは、特別なツールがなくても始められるものばかりです。スプレッドシートでSaaSの一覧を作る。退職時のチェックリストをPDFにして総務に共有する。共有アカウントのパスワードを変更する。MFAを有効にする。どれも来週の月曜日に1時間あれば着手できます。

セキュリティ対策は、完璧を目指すと何も始められません。まずは来週、「退職者のアカウントが今この瞬間、いくつ生きているか」を確認するところから始めてみてください。その1つの確認が、会社の情報資産を守る大きな一歩になります。

Webサイト全体のセキュリティ対策については、当サイトの中小企業セキュリティ対策チェックリスト50項目で包括的にまとめています。アカウント管理の見直しが終わったら、次のステップとしてぜひ確認してみてください。また、インフラ面でのセキュリティ強化をお考えの方は、Cloudflareの無料プランでできること完全ガイドも参考になります。