結論から書く。退職者のSaaSアカウントを「あとで消す」と放置している会社は、年間で数十万円のライセンス課金と情報漏洩リスクを同時に抱えている。株式会社アクトの調査(2025年)によると、37.3%の企業が退職者IDの放置をセキュリティリスクとして認識しながら、49.8%が「手動管理の工数」を理由に対処できていない。
筆者は前職のIT推進部で800名分のZoom・Slack・Microsoft 365のライセンスを管理していた。年度末の組織改編でZoomライセンスを縮小した際、退職者アカウントに紐づくクラウド録画の移行確認を見落とした。30日後、クライアント向けプレゼンの録画データが完全に消えた。あの失敗以降、筆者のオフボーディング手順では「クラウドデータのバックアップ」が最優先項目になっている。
放置アカウントのツケはライセンス課金だけでは済まない
退職した人のアカウントなんて放っておいても実害はない。そう考える管理者は少なくないが、実害は3方向から来る。
ライセンス課金の垂れ流し
SaaSはユーザー単位の月額課金が主流だ。削除漏れが10アカウントあった場合、2026年6月時点の主要SaaSで以下のコストが積み上がる。
| SaaS | プラン | 月額/人(税抜) | 10件×12ヶ月 |
|---|---|---|---|
| Slack | Pro | 1,050円 | 126,000円 |
| Zoom | Workplace Pro(年払い) | 1,999円 | 239,880円 |
| Microsoft 365 | Business Basic | 899円 | 107,880円 |
| Notion | Plus | 1,650円 | 198,000円 |
4サービスだけで年間67万円超になる。50名規模で年間離職率10%なら年5名が退職する計算だ。全SaaSの削除が3ヶ月遅れるだけで数万円が確定で消える。金額そのものより「気づかないまま毎月引き落とされ続ける」構造が厄介だ。
元社員による不正アクセス
カスペルスキーのレポートは、退職者アカウントの放置が原因で元社員が業務データにアクセスし続けたケースを複数報告している。Google WorkspaceやMicrosoft 365のアカウントが生きている限り、メール・ドライブ・チャット履歴すべてが閲覧可能な状態だ。
見落としがちなのがOAuth連携だ。パスワードをリセットしても、OAuth認証済みのサードパーティSaaSはアクセストークンを保持し続ける。明示的に取り消さなければ、元社員が連携先SaaSからデータを抜ける状態は変わらない。
クラウドデータの不可逆な消失
放置の逆もまた問題になる。退職者アカウントを安易に削除すると、紐づくクラウドデータが消える。Zoomのクラウド録画、Googleドライブのファイル、OneDriveのドキュメント。移行を済ませないままアカウントを消せば復旧は不可能だ。
筆者が前職で食らったのがまさにこのパターンだった。ライセンスコスト削減を急いだ結果、退職者アカウントの録画データが30日の猶予期間を過ぎて自動削除された。800名規模の組織でも起きる。50名規模で「誰かが確認しただろう」は通用しない。
退職日当日にIT担当が止めるべきこと
退職日の当日、以下を完了させる。順序が重要だ。データ保全が先、アクセス遮断がその後。逆にすると消えるデータが出る。
① クラウドデータのバックアップと移行
Googleドライブのオーナー権限を後任に移管する。Zoomクラウド録画は退職前にダウンロードするか別アカウントへ転送。Microsoft 365のOneDriveは管理センターから別ユーザーにアクセス権を付与し、必要ファイルをコピーする。ここを省略すると筆者と同じ轍を踏む。
② 全SaaSのセッション強制終了とパスワードリセット
Google Workspaceなら管理コンソール > ユーザー > セキュリティ > 「ログイン用Cookieをリセット」。Microsoft 365ならEntra ID > ユーザー > 「セッションの取り消し」。全端末から即座にログアウトされる。
③ OAuth連携の明示的な取り消し
パスワードリセットだけではOAuth連携は切れない。Google Workspaceの管理コンソールで「セキュリティ > APIの制御 > サードパーティアプリのアクセス管理」を開く。Entra IDなら「ユーザー > アプリケーションの同意」から取り消す。筆者がコンサル先の50名規模の会社でOAuth連携を棚卸ししたとき、IT部門が把握していないSaaSが40本以上見つかった。想定の倍はあると見た方がいい。
④ 共有アカウントとグループ権限の剥奪
メーリングリスト、Slackチャンネル、Notionの共有ワークスペース、共有カレンダー。個人アカウントを消してもグループ側の権限は残る。Slackのゲストアカウントや、Notionの外部共有リンクは見落とされやすい。
⑤ 端末のリモートワイプまたは回収
会社支給PCはMDM経由でリモートワイプ。BYOD(私物端末)はGoogle WorkspaceまたはMicrosoft 365の管理コンソールからデバイス登録を解除し、業務データのみ消去する。
Google WorkspaceとMicrosoft 365で見落としやすい盲点
「アカウントを消せば完了」ではない。管理コンソール上の盲点を押さえておく。
Google Workspace
- データ移行ツール: 管理コンソール > アカウント > データの移行で、退職者のメール・カレンダー・ドライブを別ユーザーに一括移行できる。手動コピーは不要だ
- Vaultの保持ルール: Google Vaultを導入済みなら、リティゲーションホールド対象のデータはアカウント削除後も保持される。Vault未導入の場合は削除=完全消失。この差は大きい
- 削除後の復元猶予: アカウント削除後20日以内であれば管理コンソールからユーザーを復元しデータを救出できる。21日目以降は不可能だ
Microsoft 365
- 削除済みユーザーの猶予期間: ユーザー削除後30日間は「ごみ箱」に残り復元可能だ。30日を過ぎるとOneDriveデータも完全に消失する
- 共有メールボックスへの変換: 退職者のメールを残す必要がある場合、削除前に共有メールボックスに変換すればライセンスを解放しつつメールを保持できる。追加費用はゼロだ
- OAuthトークンの残存: Entra ID > ユーザー > アプリケーション > 同意の取り消し。パスワードリセットではOAuthトークンは失効しない。ここを知らない管理者は多い
スプレッドシート1枚で回すオフボーディング運用
50名規模の会社に専用のID管理ツール(Okta、ジョーシス等)は必要か。ROIで見ると、月額数万円のID管理SaaSは年間離職者10名を超えるあたりから損益分岐に乗る。年5名程度ならGoogleスプレッドシート1枚とカレンダーリマインダーで十分だ。
スプレッドシートの列設計はこうなる。
| 列 | 記入内容 |
|---|---|
| 退職者名・退職日 | 人事から連絡を受けた時点で記入 |
| Google Workspace | データ移行 / セッション切断 / OAuth取消 / アカウント削除 |
| Microsoft 365 | OneDrive移行 / セッション取消 / 共有メールボックス変換 / ライセンス解除 |
| Slack | アカウント無効化(削除ではなく無効化を推奨) |
| Zoom | クラウド録画バックアップ / ライセンス解除 |
| その他SaaS | Notion・Figma・GitHub等の個別ステータス |
| 端末 | PC回収 / BYODデバイス登録解除 |
| 完了日 | 全項目にチェックが入った日付 |
運用で外せないポイントは2つだ。
ひとつは、人事が退職連絡を受けた時点でスプレッドシートに1行追加し、IT担当にSlackで通知するフローを固定すること。退職日当日に初めて知るようではデータ移行の時間が取れない。
もうひとつは、退職日の翌営業日にGoogleカレンダーのリマインダーを入れること。「全列にチェックが入っているか」を確認するだけのタスクだが、このリマインダーがなければ確実に漏れる。筆者のコンサル先(50名規模)ではこのスプレッドシート運用で、1退職者あたりの処理時間を約30分に抑えている。年5名なら年間2.5時間の作業量だ。ID管理ツールの年間コスト(50名規模で60万〜180万円が相場)と比較すれば、この規模では手動の方が合理的だと判断できる。
FAQ
退職者のGoogleドライブは、アカウント削除後でも復元できる?
Google Vaultを導入済みなら保持ルールの期間内に復元可能だ。未導入の場合、削除から20日以内であれば管理コンソールからユーザーごと復元してデータを救出できる。20日を過ぎると完全に消失する。
Slackの退職者アカウントは「無効化」と「削除」のどちらが正解?
無効化を推奨する。無効化ならライセンス課金は止まるが過去の投稿やDM履歴はワークスペースに残る。削除するとそのユーザーの投稿が「退会済みメンバー」表示に変わり、やりとりの文脈が追えなくなる。
OAuthトークンの取り消しを忘れるとどうなる?
退職者がGoogleアカウントでOAuth認証していたサードパーティSaaS(Notion、Figma、Canva等)に、パスワード変更後もアクセスできる状態が続く。リフレッシュトークンで自動更新されるサービスが多く、明示的に取り消さない限り有効期限は切れないと考えるべきだ。
50名以下の会社でもOktaやジョーシスは必要?
年間離職者が10名未満かつ利用SaaSが20本以下なら、スプレッドシート運用の方がコスト効率は高い。ID管理ツールは50名規模で月額5万〜15万円、年間60万〜180万円が相場だ。手動運用のコストがこれを上回る規模で初めて検討に値する。
参考文献
- SaaS激増で"退職者のID放置"が37.3%。情シスの半数が嘆く「手動管理の限界」と不正ログインの影【企業セキュリティ国勢調査2025 Vol.3】 — 株式会社アクト, 2025年
- 急増する退職者による情報漏えい リスクと対策について — カスペルスキー公式ブログ
- 組織からユーザーを削除する — Google Workspace 管理者ヘルプ
- 元従業員を削除する — Microsoft Learn
- メンバーのアカウントを無効にする — Slack ヘルプセンター
