退職者がクラウドアカウントにログインできたままだった…責任はどこに？

「先月退職した元社員が、まだ自宅からクラウドの管理画面に入れていたことが分かりました。」

「幸い不正利用はなさそうですが、これって会社として何か責任を問われますか？」

クラウド法務・情報セキュリティの相談で、本当によく出てくるテーマです。

オンプレ時代よりも、

• 社外のどこからでもアクセスできる

• スマホ・自宅PCからもログインできる

• しかもクラウド上にメール・ファイル・顧客情報が全部ある

という状態なので、

に近い状況になってしまいます。

この記事では、

1. このケースで問題になる「責任」とは何か

2. どこまで会社・経営陣・担当者の責任が問われ得るのか

3. 具体的にどんなルール・運用・契約で備えるべきか

を、クラウド法務・情報セキュリティの視点から整理します。

※実際の法的評価は、個別の事案・契約内容・就業規則等によって変わります。　ここでは「考え方の整理」を目的としています。

1. 何が起きていると「アウト」に近づくのか？

退職者アカウントが残っていたとしても、すぐに刑事責任・巨額賠償…という話には普通はなりません。

ただし、次のような要素が揃ってくると、会社側の管理責任が厳しく見られやすくなります。

① 退職者が「入れる」だけでなく、「業務上知り得た情報」にも触れる状態だった

クラウド上にあったのが、

• 顧客名簿

• 見積・契約情報

• 社内の人事情報

• 機密性の高い技術情報

などだった場合、

と見られてしまいます。

情報管理体制の評価や、万一漏えいが起きた場合の賠償額に影響し得るポイントです。

② 退職・異動時のアカウント削除フローが“形だけ”だった

例えば、

• チェックリストには「アカウント削除」と書いてあるのに、実際には誰も責任を持って確認していない

• 誰がどのクラウドを使っているか、そもそも一覧がない

• 現場任せで、退職者のSaaSアカウントが大量に放置されている

といった状態だと、

と判断されるリスクが高くなります。

③ 外部との契約や社内規程で「ちゃんとやる」と約束しているのに…

最近の情報セキュリティ規程や顧客との契約では、よくこんな文言が出てきます。

• 「退職者等については速やかにアクセス権限を削除する」

• 「業務終了後は、当該従業員が顧客情報にアクセスできない状態とする」

• 「ID・パスワードは利用者ごとに払い出し、退職・異動時に削除する」

こういった約束があるのに、実際には退職者がログインできる状態が続いていると、

と評価されやすくなります。

2. 責任が問われ得る“3つのレイヤー”

では、具体的にどこに責任が向かうのか。ざっくり3つのレイヤーに分けて考えます。

レイヤー1：会社としての責任（安全管理措置・契約上の責任）

まず一番大きいのは、会社としての責任です。

• 個人情報保護法上の「安全管理措置義務」

• 顧客との秘密保持契約・業務委託契約

• 社内規程（情報セキュリティ規程など）

の観点から、

と評価されると、会社として

• 行政上の指導・報告要求・公表

• 顧客への謝罪・損害賠償

• レピュテーション低下

といった影響を受ける可能性があります。

特に、「退職者が実際に顧客データを持ち出した」「顧客に被害が出た」ような場合は、管理不備として厳しく見られるリスクが高いです。

レイヤー2：経営陣・管理職の責任（体制構築・監督の観点）

次に、経営陣・管理職の責任です。

• 情報セキュリティ体制を作る

• 必要な人員・予算・権限を与える

• 退職・異動フローの整備を指示する

といったレベルを怠っていれば、

と評価されることがあります。

もちろん、すぐに個人として損害賠償…という話には通常なりませんが、

• 監査・株主・親会社からの評価

• 再発防止策としての体制変更・役割変更

などの面で、責任を問われることはあり得ます。

レイヤー3：実務担当者（情シス・総務・現場）の責任

最後に、現場の担当者レベルです。

• 明確なルールがあったのに、そのとおりにアカウント削除をしていなかった

• 退職の連絡を受けていたのに数ヶ月放置していた

• 共用アカウントを流用しているなど、そもそもルール違反の運用を続けていた

といった場合には、会社から「職務上の義務違反」として注意・指導を受けることはあり得ます。

ただしここは、

といった事情もセットで見られるべき部分です。

3. どこまでやっておけば「責任を果たした」と言いやすいか

逆に言うと、

と言える状態を作っておくことで、万一トラブルが起きた場合でも、責任の重さや評価は変わってきます。

ポイントを4つに絞ります。

① 退職・異動フローに「クラウドアカウント停止」を正式に組み込む

• 退職チェックリストや人事システムのフローに「クラウドアカウント停止」を明記しておく

• 「誰が／いつまでに／何を止めるか」を決める

  • 例：人事→情シスへの通知期限

  • メール・M365／Google Workspace・主要SaaSのアカウント一覧

書面やシステム上にフローがあるだけでも、

と言いやすくなります。

② クラウドアカウントの“棚卸し”と紐づけをしておく

そもそも、

• 誰が

• どのクラウドサービスの

• どんな権限を持っているか

を把握していないと、退職時にアカウントを止めようがありません。

最低限、

• 社員ごとのアカウント一覧（重要なクラウドだけでも）

• 退職者リストとの突合処理（定期的な棚卸し）

を回しておくと、

③ 退職者のアクセスログを“ある程度”追える状態にしておく

完全に止め切れないことを前提に、

• 重要クラウドサービスのアクセスログ・操作ログ

• 管理者ログインの記録

を一定期間残しておき、

• 退職後に不審ログインがなかったか

• 不審な操作（データ大量ダウンロードなど）がなかったか

をチェックできる状態にしておくことが大切です。

「アカウントを完全に止められなかった」こと自体より、「何が起きていたか後から追えない」状態のほうが、法務的にははるかに問題が大きいことが多いです。

④ 契約・規程と実態が“極端にズレていない”ようにしておく

• 規程では「退職日までに即時削除」と書いてある

• 現実は「月末にまとめて削除」で、最大1ヶ月強ログイン可能

このように、約束と実態が極端にズレていると、責任追及の際に不利になりがちです。

いっそ現実に合わせて、

• 「原則退職日中に停止、やむを得ない場合でも◯営業日以内」

といった表現にしておき、その範囲内で確実にやるほうが、実務上も法務上もスッキリします。

4. 「退職者がログインできた」ことが発覚したとき、まず何をするか

実際に、

と分かったとき、最低限やっておきたいのは次の4点です。

1. 即時停止・パスワードリセット・MFA無効化

   • 当該アカウントの停止

   • 共有アカウント等に紐づいていた場合は、その見直し

2. ログ確認と影響範囲の把握

   • 退職後のログイン有無

   • ログインがあった場合、どのデータにアクセスしたか

   • 大量ダウンロード等の有無

3. 社内向けの事実整理メモを残す

   • 発覚日時

   • 原因（フローのミス・連絡漏れ・棚卸し未実施など）

   • 取った対応（停止・ログ確認・再発防止策）

4. 必要に応じて、顧客・関係先への説明準備

   • 影響が限定的であれば、社内対応のみで足りる場合もありますが、場合によっては顧客への説明・報告が必要になることもあります。

このとき、「責任がどこにあるか」を追及し合うよりも、

• まずリスクを止める

• 事実を整理する

• フローや契約を再点検する

という建設的な方向に話を持っていけるかどうかが、その後の社内外の信頼にも影響してきます。

5. まとめ：責任の話は「誰を責めるか」ではなく「どこまで備えるか」

退職者アカウントが生きていたケースでは、

• 会社としての管理責任

• 体制を作る側（経営・管理職）の責任

• 実務を回す側（情シス・総務・現場）の責任

が、いろいろな角度から論じられます。

ただ、現実には

という状況の中で、「一人情シス」が頑張っている会社がほとんどだと思います。

だからこそ、

• 退職・異動フローにクラウドを正式に組み込む

• アカウント棚卸しを“できる範囲で”定期的に回す

• ログと契約・規程をある程度揃えておく

といった現実的な一歩を積み重ねておくことが、「責任を果たしていた」と言える状態につながります。

山崎行政書士事務所がお手伝いできること

山崎行政書士事務所では、クラウド法務・情報セキュリティを専門として、

• 退職・異動時のクラウドアカウント停止フローの設計

• M365 / Azure など主要クラウドのアカウント棚卸しルールづくり

• 情報セキュリティ規程・クラウド利用規程への「退職者アカウント管理」の書き込み・見直し

• 顧客との契約書・セキュリティ合意書におけるアカウント管理・アクセス権限に関する条項の検討

といったご相談に対応しています。

もし、

というお悩みがあれば、自社のクラウド利用状況や人員体制を踏まえた**“現実的なライン”**を一緒に決めていきましょう。