「退職者によるデータ持ち出しで大損害……」 退職アカウントの徹底管理マニュアル

人材の流動化が叫ばれる昨今、毎月末に退職者が発生します。また、一般的なボーナスの時期を踏まえると8月、12月、年度末の3月に退職者が集中します。今回は、退職者アカウントの管理についてのアンチパターンと解決策をお話しします。

[久松 剛，エンジニアリングマネージメント]

情シス百物語

「IT百物語蒐集家」としてITかいわいについてnoteを更新する久松氏が、情シス部長を2社で担当した経験を基に、情シスに関する由無し事を言語化します。

　年度末になり、4月の新入社員の対応が見えてくる頃合いですが、その前に年度末の退職者の対応があります。退職者のアカウントを適切に管理できないと、悪意を持った退職者に企業情報の持ち出しがされたり、利用していないSaaSの料金を支払い続けたりするといったトラブルが発生します。

　私自身、業務委託の方の契約が終了しているという共有を受けておらず、カードキーやPCが未回収だったというスリリングな状況を経験したことがあります。また、ある企業では、情シスが企業情報を持ち出してライバル企業に売り払い、億単位の損害を出したという話を聞いたこともあります。

　今回は退職者アカウントの管理についてのアンチパターンと解決策をお話しします。

退職者アカウントの“あるある”アンチパターン

　人材の流動化が叫ばれる昨今、毎月末に退職者が発生します。一般的なボーナスの時期を踏まえると8月、12月、そして年度末である3月に退職者が集中します。退職者の管理は退職が発生してからでは遅いです。雇用別に例を見ていきます。

正社員退職者

　上場準備の課程で、アカウント管理がきちんとなされているかどうかという観点でチェックが入ります。私が担当していたときは、退職日や各アカウントの削除、停止のチェックリスト、上長の確認印が必須でした。

　チェックリスト作成の際、各部署を回りながら契約しているライセンスや、利用しているSaaS、業務でログインしているWebサイトやサーバをリストアップしました。VPNの利用などがあればリストに追加します。実に面倒な作業ではありましたが、抜け漏れは格段に減りました。

業務委託入退場者

　正社員については人事と連携することで大筋の退職者を抑えられます。しかし、業務委託は企業によっては管轄が人事ではなく、各部署に委ねられているケースがあります。私も何度か遭遇したのが「いつの間にか契約を終了している」というものでした。カードキーやPCを現場担当が預かっているケースが多く事なきを得ましたが、なかなかスリリングな展開です。中には無駄にライセンス費用を払い続けていたケースもあり、改善が求められます。

　対応方法は大きく2つです。1つは人員管理に人事を挟み集中管理するパターン、もう1つは業務委託の入退場に関わるワークフローに情シスを入れるというものです。セキュリティ研修の受講が必要な管理意識の低い現場などであれば、人事が集中管理することをお勧めします。

アカウント削除にとどまらない情シスの退職者管理

　退職者管理はアカウントを停止すれば終了ではありません。過去に遭遇したり、見聞きしたりしたトラブルと対応についてお話します。

退職者のメール

　血相を変えた担当部署が「退職した○○さんのメールが見たい」と相談してくるケースはよくあります。顧客と関係者を交えずにメールして受注や発注をしているといったトラブルです。急な退職などでは、数週間〜数ヶ月後に相手側からの問い合わせによって問題が発露することもあります。過去にあったケースは、有償イベントへの参加を退職者がメールで発注しており、「当日来られませんでしたがどうされたんですか？」という連絡が請求書と共に届くというものです。

　こういった場合は、監査機能付きのIMAP対応したメールを導入しておくのが賢明です。メールの容量も限られたPOPだとエビデンスとなるメールが削除されてしまったり、PCをフォーマットした段階で取り返しがつかなくなったりするためリスクが高いです。

退職者のアカウントに紐付いたファイル

　担当者のアカウントが消えたことによってアクセスできないファイルが発生する問題です。オンプレミスで運用する場合、ローカルのファイルは必ずバックアップしていました。クラウドストレージの場合、個人フォルダにあるファイルにアクセスできなくなるケースがあります。個人のローカルPCほどの困難はありませんが、都度対応するのは大変です。

　いくつかのクラウドストレージでは、個人フォルダを丸ごと任意の人に移管できるため、積極的に上長に移管することである程度回避できます。ただし、上長が退職した場合、退職済みメンバーのフォルダを抱えた上長のフォルダを誰に移管すればよいのか、機密性の観点から問題になりやすいです。上長の退職が決まったら、情シス主導でフォルダの移管について協議することをお勧めします。

退職者のアカウントに紐付いたスクリプト

　ちょっとした学習コストで、「Google App Script」などで簡易なスクリプトをつくれるようになりました。これにより問題となるのが「退職後、アカウント停止と共に動作が止まるスクリプト」です。「Slack」への通知botやニュースの収集botなどのたまに動作するスクリプトだと、スクリプトが停止したことに誰も気づかないケースがあります。

　地味に業務にインパクトを与えるスクリプトも存在するため、退職が決まったタイミングで退職予定者を訪ねてそのようなスクリプトがないかを確認し、共有アカウントに移行させるなどのオペレーションが必要です。

残念ですが、資産管理システムは入れよう

　資産管理システムは、対象者の端末にエージェントを導入し、アプリの使用状況やファイルの利用状況、ブラウザの閲覧履歴などを管理、規制できます。対象者である従業員からすると監視されているように感じるためウケがよくありません。また、一般的にはクライアントの数だけライセンス費用が発生する一方で、売り上げや業務効率に対して目立った貢献をしないため、契約解除をした企業も多くあります。

　資産管理システムは、上場準備などの過程で導入が先に決まっている場合を除くと「性善説か性悪説か」という議論で揉める傾向にあります。個人的な見解としては、気心の知れた数名の仲間内で企業運営をしているうちは不要かも知れませんが、人数が増えるとどこかしらでトラブルが起きるため、保険の一種だと思って導入すべきと感じています。

　いくつかトラブル事例を挙げます。ある企業では、情シスの待遇が非常に悪く、1年おきに退職が発生していました。パワハラの類いもあったようで、腹に据えかねた情シス担当者が退職の際にデザインデータを持ち出し、ライバル企業に売り払い、億単位の損害を出したという話を聞いたこともあります。しかし持ち出しの決定的な証拠がなかったことと、強く出られない後ろめたさがあったようで、特に法的な対応は取らなかったそうです。

　また複数件耳にするのが退職間際のデータ持ち出しです。自社内にあるクリエイティブ素材やソースコード、設計書、マーケティング情報、売り上げ情報、顧客情報などは具体的にトラブルになった事例です。「Google Workspaces」や「Microsoft 365」であっても上位プランでないと監査機能がなく、検知はできません。過去にはデザインデータをコーポレートサイトの公開ディレクトリにアップロードし、自宅からダウンロードをしたということもありました。

　中には「自分が作ったモノだからよいだろう」と悪びれずに持ち出す事例もあります。こうした「もしも」に備えるために資産管理システムの導入は「必要悪」ではないかと考えます。特に離職率が高めの組織であれば資産管理システムは必須と言えます。

　かつての同僚を疑うという行為は悲しいことではありますが、しっかりとモニタリングすることは重要です。値が張るシステムではありますが、導入していない場合であれば導入の検討を、導入済みであればモニタリングしやすいように通知ルールの見直しをお勧めします。

著者プロフィール：久松 剛（エンジニアリングマネージメント　社長）

　エンジニアリングマネージメントの社長兼「流しのEM」。博士（政策・メディア）。慶應義塾大学で大学教員を目指した後、ワーキングプアを経て、ネットマーケティングで情シス部長を担当し上場を経験。その後レバレジーズで開発部長やレバテックの技術顧問を担当後、LIGでフィリピン・ベトナム開発拠点EMやPjM、エンジニア採用・組織改善コンサルなどを行う。

　2022年にエンジニアリングマネージメントを設立し、スタートアップやベンチャー、老舗製造業でITエンジニア採用や研修、評価給与制度作成、ブランディングといった組織改善コンサルの他、セミナーなども開催する。

Twitter : @makaibito