従業員が退職する際の社内情報の保護

会社で正式なオフボーディング（退職）プロセスは導入されていますか？

人事部門は、当然のことながらオンボーディング（入社）プロセスに多くの時間を費やしています。多くの場合、新入社員を温かく迎え入れ、必要な情報を提供して、新入社員ができるだけ早く業務を開始できるようにするための計画を立てます。では、オフボーディング（退職）はどうでしょうか。従業員が退職するときの計画はどうなっていますか？

従業員が退職する際の社内情報の適切な引き継ぎは、人事部だけでなく、チーム全体にとって重要な課題です。考えてみてください。もし、退職する従業員が、自分のメールアドレスで作成したアカウントを持っていたらどうでしょう？もし、その社員が機密データにアクセスしていたとしたらどうなるでしょうか？

OneLogin が２０１９年に行った調査によると、元従業員の５０％がまだ会社のデータベースにアクセスできる状態であることがわかりました。また、調査対象者のうち、２０％の企業が元従業員によるデータ侵害を経験しています。

これを読んで心配になってる方、ご安心ください。適切な計画と組織化によって、チームは遅れをとることなく、迅速かつ効果的な移行ができます。本記事では、オフボーディングをできるだけ安全かつ簡単に行うために、チームが取るべきおすすめのステップをいくつかご紹介します。

データ保護方針の策定

社内データの保護は、従業員の辞表提出後にするものではありません。データ保護の最初のステップとして、その方針を作成しましょう。そしてデータ保護方針は、新入社員および既存の従業員の在職期間を通じて実施されるべきです。

会社のデータを扱う従業員に対する具体的な方針と手順を定め、それを守らない従業員に対する罰則を明確にしましょう。法務部門がある場合は、そこがその方針の内容を指導するはずです。もしそうでない場合は、インターネット上で見つかる例を使うといいですが、その際は必ずそれに目を通し、その例が確実にビジネスに合っているようにしましょう。方針をきちんと定めることでより透明性が高まり、従業員が異動する際のデータ盗難や紛失のリスクから組織を守ることになるのです。

従業員にセキュリティポリシーに署名させ、常に情報を提供する

方針を定めたら、全従業員がその方針を知り、さらに重要なことは、それを遵守することです。これを実現するには、会社は全従業員を対象とした「データセキュリティ」のトレーニングプログラムの作成をした方がいいかもしれません。プログラム作成の時間やリソースがない場合は、請け負ってくれる会社がきっとあるはずです。

セキュリティポリシーは、単に掲示板に載せるだけでなく、読まれて署名されるべきです。署名をすることで、その方針の重要性が増し、従業員がより詳しく目を通すようになるのです。

従業員の会社データへのアクセスを制限する

従業員が業務を遂行するには、データやログインが必要ですが、アクセスのしすぎはデータセキュリティ上のリスクが生じます。全従業員が事業や顧客のどんな情報にも無制限にアクセスできる必要はないですよね。自分の業務に必要な情報だけにしかアクセスできないようにすべきです。組織のデータの確実な保護には、合理的なコントロールの導入が不可欠なのです。

そして、アクセスレベル導入の一般的な方法は、パスワードマネージャーの使用です。パスワードマネージャーを使えば、［マーケティング］、［会計］、［営業］などのグループを作ることができ、必要に応じてアクセスの共有や取消が簡単にできます。

パスワードマネージャーを使って、アクティビティの追跡や、ログインの変更を行う

退職者が出た場合、ダウンロード数の大幅な増加や不可解なアクセス要求、異常なファイル転送の負荷に注意することがとても重要です。それで損害が生じるのはよくあることであり、それを追跡していないと、知らないうちに損害が発生している可能性があります。

では、誰も退職後のログイン使用や、おかしな量やタイミングでのデータ使用が起こっていないことを確認するにはどうすればよいのでしょうか。それはズバリ『追跡』であり、それにはパスワードマネージャーの使用が１番簡単な方法の一つに挙げられます。パスワードマネージャーでパスワードが全て保存されれば、従業員はパスワードマネージャー経由のログインが必要があり、ログインしたら、それがアクティビティログに表示されることになります。

それに加えて、退職者が出たらパスワードを変更するのがベストプラクティスになりますが、パスワードマネージャーを使えば、彼らがアクセスしていたアカウントごとに、パスワードを強固でユニークな新パスワードに簡単に更新することができます。

シングルサインオン認証システムでユーザーアクセスを制御する

メジャーなものだけでなく、ありとあらゆるものから退職者を確実に外すのが非常に重要です。SNS のアカウントや、Photoshop のような他のサービス、Intercom のようなカスタマーサービスアカウントを使っても、被害は起こり得ます。すでに退職した社員が作ったアカウントを再び管理するのは大変ですし、最悪の場合、従業員が会社のアカウントを持っていることで自分に有利に物事を進めてくる場合もあります。また、会社の SNS にアクセスできる社員が、会社の評判を落とすためにそのアカウントを使ったという極端なケースもあります。

SSO（シングルサインオン）システムは、アクセスを制御の最も簡単な方法の１つです。Google Workplace のようなアカウント１つでログインを管理すれば、ボタンを数回クリックするだけで、アクセスの付与や取消がずっと楽になります。従業員がアクセスできるログインを逐一考える必要はなく、SSO システムを使って、従業員をすべてのアカウントから一度に外すことができます。

Google SSO や Active Directory などにアカウントを設定し、クラウドアプリケーションがすべて確実に SAML 認証されているようにしましょう。それによって、従業員アカウントの管理およびデプロビジョニングがしやすくなります。

オフボーディングチェックリストの作成と活用

退職者が出るたびにあたふたするのは避けたいものです。そこで、基盤を押さえておくには標準化されたリストが最もシンプルな方法であり、そのリストには、当たり前のことでもついギリギリまで先送りにしてしまうような簡単な事柄が含まれています。それには以下のようなものがありますが、これだけとは限りません。

• 必要な書類の用意
• 退職面談の実施
• ネットワークアクセスの無効化
• 会社のクレジットカード、セキュリティバッジ、鍵など、会社の資産の回収

セキュリティ侵害の可能性があるものはすべてこのリストに載せて、可能な限りの未解決事項を処理するようにしましょう。もっとアイデアが必要な場合は、ネットに事例がたくさんありますので、ぜひご覧ください。

アクセスをすべて無効にする

アクセスを無効にして、入り口をふさぎましょう。Beyond Identity 社 が２０２１年に行った調査によると、元従業員の８３％が前職のアカウントへの継続的なアクセスを維持していることを認めており、さらに恐ろしいことに、そのような従業員の５６％が、元雇用主に危害を加えるという具体的な意図を持ってそうしていたのです。

そこで、アクセスポイントを全部確実に削除するための手順を以下にいくつかご紹介します。

• Google SSO やアクティブディレクトリのような集中管理された場所にログインが保存されている場合は、すぐにアクセスを無効にし、３０日後には完全に削除する。
• 特に共有アカウントのパスワードを変更し、覚えているパスワードや書き留めたパスワードでアクセスできないようにする。
• その元従業員からの連絡を、適切な人物に回す。
• 社内ネットワークへのアクセスをすべて無効にする。

会社の資産を回収して消去する

その従業員が使っていた会社の携帯電話やノートパソコンは返却され、従業員情報は消去されるべきです。個人所有のデバイスで作業することが許可されている場合は、データ復旧における方針の確立を検討しましょう。遠隔操作での消去が不可能な場合は、「退職者はクリーニングのために個人所有のデバイスの提供が必要である」という方針を設定すべきです。

また、機器と一緒に、鍵、IDバッジ、セキュリティカードの返却も必要であり、その従業員名義の会社のクレジットカードや経費口座の解約および、手数料や払い戻しの処理も必要です。

退職面談の実施

従業員が退職を選択した理由を把握するのは、彼らが退職する際にできる最も重要なことの１つです。退職面談は、組織について理解を深めるための貴重なツールとなり、このような会話をすることで、退職者は正直な感想を述べやすくなります。フィードバックで、スタッフの定着率や職場環境の改善の参考になる部分を特定でき、マネジメントとして改善すべき点が浮き彫りになりますし、従業員が自ら退職を選ぶにせよ、会社から手放されるにせよ、最後の会話によって後腐れなく去ることができます。

退職者に会社の方針を伝える

またこの機会に、セキュリティの観点から何が起こっているのかを確認するのもいいでしょう。データセキュリティに関する会社の方針を従業員と確認し、持ち出しが禁止されているデータの種類を再確認しましょう。また、従業員が作業していた全ファイルやプロジェクトのリストを作成し、その資料が返却されたことを確認しましょう。そして従業員のデバイスを回収し、会社のデータを消去しましょう。

社員には、退職して新しい仕事に移る権利があります。時には業務に対して適任者じゃない事もあるかもしれません。どのような理由で去るにしても、従業員の出入りがあるのが現実です。ただ残念ながら、去っていく社員は、知らず知らずのうちに、あるいは悪意を持って、企業の機密情報を持ち去ってしまうことがあるのです。

ビジネスによっては、データ保護のために実施すべき具体的な対策があるかもしれませんが、この標準的なベストプラクティスに従うのは、素晴らしい出発点となります。従業員の退職に伴って、会社のデータ保護に必要な対策を講じないと、深刻な結果を招くことになりかねません。