情シス運用

退職者IT手続き完全ガイド2026 ― 30項目チェックリスト+自動化シナリオ【情報漏えい対策の決定版】

#退職者#オフボーディング#情報漏えい対策#アカウント無効化#情シス運用#中小企業

退職者のIT手続きは、入社時よりも圧倒的に重要です。理由は単純で、退職時の漏れは情報漏えい・不正アクセス・課金漏れに直結するからです。

「退職者IDがずっと残っていた」「退職者が機密データをコピーして持ち出した」「退職時にライセンスを回収し忘れて月額課金が続いていた」 ―― 中小企業の情シスにとって、この3パターンは月1回以上のペースで報告される事故です。

本記事では退職者IT手続きの30項目チェックリストと、Power Automate / SmartHR API による自動化シナリオを実務目線でまとめます。

なぜ退職者対応が重要か

1. 情報漏えいリスク

退職者IDが生きていれば、自宅・他社からでも社内データにアクセス可能。Mr. Robot のような派手なハッキングではなく、正規IDの不正利用が漏えいの最大要因です。

2. ライセンス課金の継続

無効化していないM365 / Workspace / Slack / Adobe ライセンスは毎月課金が続きます。100名の会社で年5名退職を放置すると、月数万円〜の課金漏れに。

3. 不正アクセス・ランサムウェアの入口

退職者IDの認証情報がダークウェブに流れると、攻撃者が**初期アクセスブローカー(IAB)**から購入して攻撃に使います。

4. コンプライアンス違反

ISMS、Pマーク、SOC2、IPO準備中の企業では、退職時の認証情報失効が監査の主要論点です。漏れがあると認証取消・上場延期に直結。

30項目チェックリスト

Phase A:退職通知〜退職日当日まで

□ 1. 人事から情シスへの退職通知を確認 退職届受理日、最終出社日、退職日、退職理由(自己都合 / 会社都合)の共有。

□ 2. 退職者の業務引き継ぎ計画の確認 情シス的に最重要:「何のデータが、誰に、どう引き継がれるか」を明文化。

□ 3. 退職者所有のデータ・ファイルの棚卸し

  • 個人OneDrive / Google Drive のファイル
  • ローカルPC のドキュメント
  • 個人メールボックスの業務メール
  • 共有フォルダ・SharePoint・Drive内の専有データ

□ 4. データの引き継ぎ・退避作業 重要データを上長または後任に共有・移管。退職後にやろうとすると不可能になります。

□ 5. 退職日と認証無効化のスケジュール調整 最終出社日 = 認証無効化日が原則。退職挨拶メール送信のため数時間延長するか、事前送信させて即時無効化するか。

□ 6. 物理アイテムの返却リスト作成 PC、スマホ、ICカード、社員証、タブレット、USBメモリ、外付けHDD、文房具一式など。

Phase B:退職日(最終出社日)当日

□ 7. メールフォワード設定 退職者宛メールを上長または後任に転送(最低3か月程度)。退職者本人のメールは閉じる。

□ 8. 退職者宛の自動応答設定 「○○は退職しました。お問合せは△△まで」を設定。

□ 9. M365 / Workspace のライセンスを無効化(または剥奪) 即時剥奪が原則。**「Block sign-in」**に設定。E1 / Business Basic に降格して保管する企業もあり。

□ 10. Entra ID / Cloud Identity でアカウント無効化 SSO連携している全SaaSが連動して無効化される。

□ 11. 全パスワードのリセット(緊急的に) 退職時の悪意あるアクセス防止のため、強制ログアウト+パスワードリセットを実施。

□ 12. MFA / 認証デバイスの登録解除 Authenticatorアプリ、セキュリティキーの登録解除。

□ 13. リフレッシュトークン・セッショントークンの無効化 Entra ID では「ユーザーの承認失効」、Workspace では「Sign out user」で全セッション切断。

□ 14. PC・スマホのリモートワイプ または 物理回収 返却済みなら物理初期化、未返却ならリモートワイプ。

□ 15. VPN / ZTNA アカウントの無効化 社内ネットワークへのアクセスを閉じる。

□ 16. オフィス・データセンターの物理アクセス権剥奪 ICカード無効化、駐車場カード回収。

Phase C:退職日翌日〜1週間以内

□ 17. 個別契約SaaSのID無効化 SSO連携していないSaaSを個別に無効化:

  • Salesforce / HubSpot
  • kintone / Zoho
  • Slack / Teams(外部ゲスト)
  • Notion / Figma / Miro
  • 業務委託管理SaaS
  • 経費精算SaaS

□ 18. 共有メールボックス・配信リストからの削除 sales@、support@、info@、hr@などの共有メールボックスのメンバー一覧から削除。

□ 19. メーリングリストからの削除 全社ML、部門ML、プロジェクトMLから削除。

□ 20. SharePoint / Drive 共有フォルダの権限剥奪 退職者が個別にアクセス権を持っていたフォルダ・ファイルから権限削除。

□ 21. Teams / Slack ゲスト権限の確認 顧客とのプロジェクトTeams/Slackなどで、ゲストとして残っていないか確認。

□ 22. CRM / ERP / 業務基幹からの権限剥奪 Salesforce、SAP、勘定奉行、freee、SmartHR、Workdayなど。

□ 23. 開発環境の権限剥奪 GitHub / GitLab、AWS / Azure / GCP IAM、社内Jenkins / GitLab CI、Datadog、Sentry など。

□ 24. 携帯電話・MNP回線の解約・MNP 社用携帯のキャリア契約解約、または社内継続利用。

□ 25. クレジットカード・コーポレートカードの停止 社員カードの利用停止依頼、ICチップ無効化。

□ 26. 名刺・印刷物の処分 個人用名刺、業務用印刷物の機密情報破棄。

□ 27. 退職者の社内ポータル投稿の整理 社内Wiki、ブログ、過去議事録の投稿者表示の取り扱い(編集権限の引き継ぎ)。

□ 28. ライセンス再利用の検討 無効化したM365ライセンスは新入社員に再利用可。Slack / Salesforce 等のシート割当も再配分。

□ 29. 退職者対応プロセスの監査ログ確認 すべての無効化が完了したか、監査ログで最終確認。

□ 30. 退職者IT手続き完了報告書の作成 人事・経理・情シスの三者でクローズ。記録保管(最低3年)。

自動化シナリオの設計

中小企業でも自動化したほうがコスト・品質ともに改善します。代表的な自動化パターン:

パターン 1:SmartHR + Power Automate(中堅・大手向け)

[SmartHR] 退職日確定
   ↓ Webhook
[Power Automate]
   ↓ Entra ID Block Sign-in
   ↓ M365 ライセンス剥奪
   ↓ Teams / SharePoint 権限剥奪
   ↓ 共有メールボックス削除
   ↓ メールフォワード設定
   ↓ Slack ゲスト無効化(Slack API)
   ↓ Salesforce 無効化(Salesforce API)
   ↓ 完了通知 → Teams 情シスチャネル

パターン 2:Google Workspace + Apps Script(GWS企業向け)

[SmartHR or freee人事労務] 退職日確定
   ↓ Webhook
[Apps Script / Workspace API]
   ↓ Workspace アカウント無効化
   ↓ Drive 共有取消
   ↓ Calendar 削除
   ↓ Groups メンバー削除
   ↓ 2FA 解除
   ↓ デバイス削除
   ↓ 完了Slack通知

パターン 3:SaaS管理プラットフォーム(200名以上)

[Zluri / BetterCloud / Productiv / Microsoft Defender for Cloud Apps]
   ↓ HRシステム連携で退職検知
   ↓ 連携全SaaSへ一斉無効化API送信
   ↓ ライセンス再割当の自動化
   ↓ 監査ログ自動生成

退職時のセキュリティ対策

1. 不審な大量ダウンロード検知

退職前1〜2週間の DLP(Data Loss Prevention)アラートを強化。Microsoft Purview / Google DLP / Netskope 等で「大量メール送信」「大量ファイルダウンロード」「個人クラウドへのアップロード」を検知。

2. デバイスの返却検証

返却PCを初期化前にフォレンジック確認するケースもあり(特に幹部・機密データ取扱者)。USBメモリ接続履歴、印刷履歴、外部送信履歴を確認。

3. NDAの再確認

退職時に秘密保持義務の再確認書類にサイン。法的に有効な範囲を再合意。

4. 競業避止義務の取扱い

役職者・営業役員などには競業避止義務の再確認。

よくある失敗パターン

1. 「退職日 = 認証無効化日」になっていない

退職挨拶送信のため数日延長 → その間に自宅から大量データ持ち出し、というパターン。事前送信させて即時無効化が安全。

2. SSO非連携SaaSの個別失効漏れ

SSO化していない個別契約SaaSは、手動で1つずつ無効化が必要。台帳化+自動化が必須。

3. 共有メールボックス・配信リストの残留

「営業部メーリングリストに退職者がまだいた」が頻発。退職時にチェックする標準項目として組み込みます。

4. ローカルファイルの未バックアップ

退職者ローカルPCに重要ファイルが残ったまま初期化、はよくある失敗。事前のクラウドへの移管を制度化。

5. ライセンスの再利用ができていない

退職時にライセンスをそのまま削除してしまい、新入社員に新規発番、というケース。M365ならライセンス再割当で再利用可能。

6. パスワードリセットを実施していない

「Block sign-inしたから大丈夫」ではなく、パスワードも変更する。誤解凍時の保険として。

7. 業務委託・派遣の終了対応忘れ

正社員の退職対応はできていても、業務委託契約終了派遣スタッフ契約終了の対応が抜けがち。同じチェックリストで運用。

まとめ

退職者対応は「仕組み化+自動化+定期監査」の3点セットで漏れをなくすのが正解です。手動運用は必ず漏れます。半年に一度は全アクティブユーザーの棚卸しを実施し、退職者IDがゼロであることを確認してください。

情シス365のSupport365では、退職者対応プロセスの設計・Power Automate / Apps Script による自動化基盤構築・退職時セキュリティ監査・SaaS管理プラットフォーム導入までワンストップで対応しています。

関連記事:

👉 情シス365 サービス詳細・お問い合わせ

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談