退職者のアカウント管理ができないとリスク?管理の課題と対策を解説
退職済み従業員のSaaSアカウントが残っていると、機密情報の漏洩など様々なリスクがあります。
この記事では、リスクの内容と対策について紹介します。
目次
退職者のアカウント管理の現状
情報システム担当者に社内のアカウント管理の現状を聞いてみました。
Q.退職者のアカウント管理はされているか?
| 十分にしている | 3名(30%) |
| 少し懸念がある | 4名(40%) |
| 全くされていない | 4名(40%) |
十分にされていると回答された方は全体の30%しかおらず、残りは何かしら課題を抱えている状態です。
次に、実際にどんな対策をとっているのか、どんな課題があるのか具体例を見ていきましょう。
退職者のアカウント管理が「十分されている」と回答した方のアカウント管理方法
- 退職時に即時アカウントを削除している。データについても本人と守秘義務を締結しており、持ち出しについても教育されている。(教育業 教務部)
- 退職の段階で勤怠管理、有給確認、源泉徴収票の発行、必要書類の整理などをすべてSaasを用いて管理している。(IT業 営業)
退職者のアカウント管理に「少し懸念がある・全くされていない」と回答した方の課題
- 毎月のように退職者は発生するが、日付はバラバラで月二回位のアカウント削除しか対応できていないのが現実。(SE 情報システム部)
- 仮に問い合わせのスパンを60日とした場合、退職日から期限までの間はアカウントが有効となり、そこにセキュリティ的な穴がある。(IT業 エンジニア)
- タイムリーに削除できない事があるとそのアカウントが残ってなりすましとしてずっと使い続けられてしまうという課題がある。(卸売り業 システム運用)
回答で特に多かった課題は「タイムリーにアカウントを削除できないこと」でした。人数が多くなればなるほど、退職者アカウント削除を即時で行うことが難しくなるようです。
調査年月:2022/1/23~2/5
調査対象:10人
退職者のSaaSアカウントが残っていると情報漏洩のリスクあり
退職者のアカウントをそのまま残してしまうと、情報漏洩のリスクが高まります。機密情報を外部に漏らされたり、物品子乳を不正に行われたりするとトラブルにつながります。
「企業における営業秘密管理に関する実態調査2020」によると、営業秘密の漏洩ルートで一番多いものに「中途退職者(役員・正規社員)による漏洩」があります。
加えて、2016年の同項目と比べて、割合も増えています。
もちろん、退職者による情報漏洩全てがID管理の不足によるものではありませんが、アカウントを削除し忘れてしまうことは、情報漏洩の大きなリスクにつながることは間違いありません。
退職者のアカウント削除漏れを防ぐためにできること
退職者のアカウントを削除できていないことのリスクについて説明してきました。そうしたトラブルを避けるためには以下2つの対策が必要です。
- 利用システム/SaaSの洗い出し
- 退職者アカウントの対応ルール・フローを作る
まず、だれがどのシステムを利用しているのかをしっかり把握することが重要です。 どれだけルールを徹底しても、把握しきれていないサービスがあると、アカウントが残ってしまいます。
次に、退職者が出た際の、アカウント無効化・削除のルールやフローを整えます。
ルールの中には定期的なアカウントの棚卸などを入れておくのも有効です。
SaaSの一括管理ならSAASCOREがおすすめ
「アカウント対策はわかったけど、だれがどのSaaSを使っているのか把握できない…」
そんな方におすすめなのが「SAASCORE」。
SAASCOREはSaaSアカウントを一元管理し、誰がどのSaaSを利用しているのか一目でわかるようになります。
さらに利用していないSaaSを検知して教えてくれるため、無駄なコストも削減できます。