入社・退社時の情報アクセス管理——見落とされがちなセキュリティの穴

こんにちは、apro-incの業務改善・DXコンサルタント、AYAKAです。今回は入退社時の情報アクセス管理について、具体的な対応策をお伝えします。
新しい社員が入るたびに誰かが手動でアカウントを設定し、退職するたびに「あのツールのアカウント、ちゃんと消えてるかな?」と不安になる——そんな経験をしている企業は少なくありません。社員の入退社は必ず発生するイベントですが、情報アクセス管理がルール化されていないと、そのたびに対応がバラバラになり、セキュリティリスクも生じます。
入社時のアクセス管理を標準化する
入社時に行うべき情報アクセス設定をチェックリスト化しておくことが、最初のステップです。使用するツール・システムの一覧、それぞれのアカウント作成手順、付与するべき権限レベル——これらをあらかじめ整理しておくことで、担当者が変わっても同じ対応が取れるようになります。
重要なのは、権限を「必要最小限の原則」で設定することです。入社直後の社員に全情報へのアクセス権を与えるのではなく、業務に必要な範囲に限定することで、情報漏洩のリスクを下げられます。試用期間が終わったら改めて権限を見直す、という運用もひとつの方法です。
退社時のアクセス管理は「速やかに・漏れなく」が鉄則
退社時の対応で最も重要なのは、スピードと網羅性です。退職した社員のアカウントが残ったままでは、不正アクセスのリスクが生まれます。「退職日の当日か翌日までに全アカウントを無効化する」というルールと、チェックリストを用意しておくことが必要です。
また、共有アカウント(チームで使うパスワード共有ツールや会社のSNSアカウントなど)のパスワードを退職後に変更することも忘れてはいけません。個人のメールアドレスでログインしているサービスの確認も、一覧を作っておくことで対応漏れを防げます。
「ツールと権限の一覧」を常に最新に保つ
入退社対応をスムーズにするための最も重要な基盤は、「どのツールに誰がどんな権限でアクセスしているか」の一覧表を常に最新の状態に保つことです。この一覧があると、入社対応・退社対応の両方がチェックリストとして機能し、担当者が変わっても同じ質の対応ができます。NotionやGoogleスプレッドシートで管理し、月次で棚卸しする運用がお勧めです。
AYAKAからひとこと
情報アクセス管理は「何か問題が起きてから整える」では遅すぎます。退職者のアカウントが放置されていたことによる情報漏洩は、実際に多くの企業で起きているインシデントです。今すぐ全ツールのアカウント一覧を作ってみるところから始めてみてください。