「先月退職した社員のアカウント、本当にすべて削除できていますか？」

この問いに自信を持って「はい」と答えられる情シス担当者は、それほど多くないはずです。メールアカウントは止めた、社内システムも無効化した——しかしSlackは？Notionは？SalesforceやBoxは？SaaSが数十種類に上る現代の企業環境では、退職者アカウントの完全な無効化は、手動では構造的に対処しきれない作業になっています。

IPA（独立行政法人情報処理推進機構）が発表した「情報セキュリティ10大脅威2025（組織編）」では、「内部不正による情報漏えい等の被害」が3位にランクインし、10年連続でランキング入りを続けています。IPAの実態調査によれば、調査対象1,179社のうち36.4%がサイバーインシデントや個人情報漏洩の被害を経験しており、その原因の相当数が内部関係者によるものです。

本記事では、退職者・在職者による内部不正の実態と発生構造を整理したうえで、情シス2〜3名体制でも実践できるアクセス権限管理・ログ監査・SaaS一元管理の具体的手順を解説します。IPA「組織における内部不正防止ガイドライン（第5版）」の33項目チェックシートをベースに、優先度別の行動計画まで提示します。

内部不正とは何か｜企業が直面するリスクの実態

内部不正への対策を検討する前に、まず「何が内部不正にあたるのか」を正確に押さえておく必要があります。定義が曖昧なまま施策を進めると、守るべきリスクを見落とす恐れがあります。

内部不正の定義と3つの種類

内部不正とは、企業・組織の内部情報にアクセスできる立場にある者が、その権限や信頼関係を悪用して行う不正行為全般を指します。対象となる人物は現役の従業員に限らず、退職者・業務委託先のスタッフ・派遣社員なども含まれます。

実態として、内部不正は次の3種類に大別されます。

• 情報の不正持ち出し: 顧客リスト・技術資料・営業秘密などを社外へ流出させる行為で、退職時に転職先へ持ち込むケースが典型的です。
• 不正アクセス: 業務上の必要性がないシステムや、権限範囲外のデータへアクセスする行為です。退職後もアカウントが生存している場合、元従業員による侵入にも発展します。
• 業務妨害・不正操作: データの改ざん・削除・システム障害の意図的な引き起こしなど、業務に損害を与える行為です。処遇不満を持つ社員や解雇通知を受けた社員によるケースが多く確認されています。

日本企業の被害実態データ

被害の深刻さは、最新の統計データからも明らかです。IPAが2026年1月に発表した「情報セキュリティ10大脅威2026」でも内部不正は引き続き上位にランクされており、継続的な脅威として位置付けられています。

IPA「組織における内部不正防止ガイドライン」の実態調査では、被害を経験した企業のうち情報システム管理者による不正が職務別で最多を占めています。管理者は広範なアクセス権限を持つため、一度不正が発生した場合の被害規模が突出して大きくなります。

デジタルデータソリューション株式会社が220社を対象に行った2024年度調査では、企業の社内不正被害の約46%が「情報持ち出し」によるものと判明しました。さらに、4月から6月の人材流動期に被害が集中するパターンが過去3年間の調査で一貫して確認されており、退職シーズン前後のIT管理強化が特に重要な時期といえます。

参考: 2024年度社内不正被害に関する実態調査（デジタルデータソリューション株式会社）

参考: 情報セキュリティ 10大脅威 2025（IPA）

内部不正が起きる構造｜不正のトライアングルで理解する

内部不正は特定の「悪意ある社員」だけが起こすものではなく、環境と心理の組み合わせで普通の従業員にも発生しうるリスクです。対策を効果的に設計するためには、「不正が起きるメカニズム」を構造的に理解しておくことが前提となります。

不正のトライアングル（動機・機会・正当化）

不正行動の分析に広く用いられるのが、米国の犯罪学者ドナルド・クレッシーが提唱した「不正のトライアングル」という理論です。動機・機会・正当化の3要素がすべて揃ったときに不正行為が発生するとされています。

動機とは、不正を犯す心理的な引き金です。処遇への不満・解雇通知・給与水準への不満・同僚との人間関係の悪化などが典型的な動機となります。リモートワークの普及で組織への帰属意識が薄れたことも、近年の動機形成に影響を与えています。

機会とは、不正を実行できる環境の存在です。アクセス権限が過剰に付与されている・監視体制が整っていない・退職後もシステムアカウントが生存しているといった状況が機会を生み出す要因です。IT管理で直接対処できるのは、主にこの「機会を作らない」という側面です。

正当化とは、「これくらいは許されるはずだ」という自己弁護の心理です。「会社に貢献した分を持ち出す権利がある」「顧客との関係は自分が築いたものだ」という論理で、不正を道徳的に許容しようとします。

IT管理の観点では、動機の解消は人事・労務部門の領域です。一方で機会を徹底的に排除することと、監視体制によって「見られている」という抑止意識を醸成することは、情シス部門が主導できる直接的な対策となります。

システム管理者の内部不正が特に危険な理由

IPA実態調査によれば、内部不正の加害者として最も多い職種は情報システム管理者です。管理者は業務上、広範なアクセス権限を付与されており、その操作内容は通常の管理業務と不正行為の境界線が外部からは判別しにくい状況にあります。

さらに深刻なのが「管理者の操作を誰が監査するのか」という問題です。一般社員のアクセスログは管理者がチェックできますが、管理者自身の操作ログをレビューする仕組みがない組織は少なくありません。この状態が続くと、不正の発覚が長期にわたって遅延するリスクが高まります。

参考: なぜ内部不正は起こる？原因と事例（サイバーセキュリティ情報局）

特に危険なタイミングと被害事例（2024〜2025年）

内部不正のリスクは常に存在しますが、特定のタイミングに集中して発生する傾向があります。実際の被害事例を通じて、リスクが高まる局面を把握しておきましょう。

退職直前・退職後の不正アクセス事例

2024年から2025年にかけて、退職者による情報漏洩事案が相次いで表面化しています。代表的な事例として2件を取り上げます。

• リクルートの事案（2024年）: 2024年3月末に退職した元従業員が在職中に旅行事業に関連する顧客および従業員の個人情報を社外へ持ち出していたことが判明しました。持ち出された資料には、宿泊施設255施設の担当者481名分の氏名・連絡先・役職情報が含まれており、社外で実際に活用されていたことも確認されています。
• 豊通マシナリーの事案（2025年）: 2025年3月に退職した元社員が退職当日にファイルサーバーのデータを印刷して持ち出し、4月以降も複数回にわたり社内ファイルサーバーへ不正アクセスを続け、取引先担当者約1,300名分の個人情報をダウンロードしていたことが発覚しました。

2つの事案に共通するのは、退職時のアカウント管理の不備です。最終出社日に全システムのアクセス権が即時に無効化されていれば、少なくとも退職後の不正アクセスは防げていたはずです。

参考: 退職者による情報漏えいについて徹底解説（インテリジェント ウェイブ）

在職中の情報持ち出しパターン

退職者による不正と並んで深刻なのが、在職中に行われる情報持ち出しです。手口は年々多様化しており、主に以下のパターンが確認されています。

• メール転送: 個人メールアドレスへ業務資料を転送する、もっとも古典的な手口です。
• クラウドストレージへのアップロード: Google DriveやDropboxなど個人アカウントへのファイル保存で、ネットワーク監視がなければ気づきにくい手口です。
• 印刷・USB持ち出し: 紙やUSBメモリによる物理的な持ち出しで、デジタル監視をすり抜けます。
• スクリーンショット: 画面を個人のスマートフォンで撮影する方法で、ログに残りにくいという特性があります。
• 転職活動中の顧客情報収集: 転職先への手土産として顧客リストや商談情報を収集する行為で、退職の数ヶ月前から始まることが多いです。

転職活動が活発化する1〜3月や、ボーナス支給後の6〜7月・12月前後は、在職中の持ち出しリスクも特に高まります。

参考: 【2025年版】内部不正事例から学ぶ！情報漏えい防止のポイントと効果的対策（情シスレスキュー隊）

IT管理で実装すべき内部不正対策の全体像

内部不正対策は、一つのツールや単発の施策で完結するものではありません。IPA「組織における内部不正防止ガイドライン（第5版）」が示す10の観点・33項目を参考に、防止・抑止・検知・対応という4フェーズで体系的に設計することが、持続可能な対策の基本形となります。

• 防止フェーズでは「不正ができない環境」を作ることが目標です。アクセス権限の最小化・退職時の即時アカウント無効化・外部ストレージへのアップロード制限などがここに該当します。
• 抑止フェーズでは、「自分の行動は記録されている」という認識を従業員に持たせることで、不正へのハードルを上げます。操作ログの収集・監視ツールの導入・就業規則への明記が有効です。
• 検知フェーズでは、防止・抑止をすり抜けた不正行為を早期に発見する仕組みを整えます。ログの定期監査・異常検知ルールの設定・UEBA（ユーザー行動分析）ツールの活用が主な手段となります。
• 対応フェーズでは、不正が発覚した際に迅速かつ適切に動ける体制を準備します。インシデント対応手順書の整備・法的証拠として使えるログの保全・システム遮断の権限と手順の明確化が必要です。

参考: 組織における内部不正防止ガイドライン（IPA）

【対策1】アクセス権限管理の実践手順

内部不正対策の土台となるのが、アクセス権限の適切な管理です。「誰が・何に・どこまでアクセスできるか」を正確に把握・制御することなしに、他の対策は成立しません。

最小権限の原則の実装

最小権限の原則（Principle of Least Privilege）とは、各ユーザーに対して業務上必要な最小限のアクセス権限のみを付与するという考え方です。過剰な権限が不正の機会を生み出す構造を、設計段階から断ち切ることが目的です。

実装にあたっては、まず情報資産を機密レベルで分類することから始めます。一般的な分類は以下の4段階です。

1. 一般情報: 社内全員がアクセス可能な業務資料・社内報など
2. 社外秘: 特定部門・プロジェクトメンバーのみアクセス可能な業務情報
3. 部外秘: 限定された役職・担当者のみが閲覧できる経営・人事情報
4. 極秘: 経営幹部・特定の責任者のみが扱える最高機密情報

この分類に基づいて各ユーザーのアクセス権を設計し、業務上の必要性がなくなった時点で速やかに権限を縮小・剥奪します。また、アクセス権限の棚卸しを最低年1回実施し、異動・役職変更・業務内容の変化に追従して権限を更新する運用を確立することが重要です。

退職者アカウントの即時無効化フロー

退職者によるアクセスを防ぐためには、最終出社日の業務終了直後に全システムのアカウントを同時に無効化することが理想です。ただし、この「同時に・漏れなく」という要件が手動管理では非常に困難をともないます。

企業が平均で利用するSaaSは数十〜100種類超に上るとされています。それぞれを個別に操作してアカウントを無効化していくと、対応工数が膨大になるだけでなく、担当者の見落としが必ず発生します。

退職時に最低限確認すべきIT対応の7項目を以下に示します。

1. メールアカウントの無効化（メール転送設定の確認も含む）
2. ファイルサーバー・共有ドライブへのアクセス権削除
3. 業務系SaaSのアカウント停止（CRM・MA・プロジェクト管理等）
4. コミュニケーションツールの無効化（Slack・Teams等）
5. VPN・リモートアクセス認証情報の無効化
6. クラウドストレージのアクセス権削除（Box・Dropbox・Google Drive等）
7. 特権IDや管理者権限の剥奪

これらの対応を確実に行うためには、HR情報との連携による自動化が現実的な解決策となります。人事システムに退職情報が登録されると同時に、連携する全SaaSのアカウントが自動的に無効化される仕組みを構築することで、属人的なオペレーションと抜け漏れのリスクを同時に解消できます。

特権IDの第三者管理

システム管理者権限（特権ID）は、通常のユーザーアカウントとは別枠で厳格に管理する必要があります。特権IDが悪用された場合、通常の不正とは比較にならない規模の被害が生じるためです。

特権ID管理の実践的なポイントを整理します。

• 職務分掌の徹底: システムの設定変更とデータアクセスの権限を一人の管理者に集中させず、役割を分割して相互チェックが機能する体制を構築します。
• 2人承認制（Dual Control）の導入: 重要な操作は必ず2名以上の承認を必要とするフローを設けます。
• 特権ID操作ログの第三者レビュー: 管理者自身が自分の操作ログをレビューする状態を避け、別の責任者または外部の目によるレビュー体制を整えます。
• PAMツールの活用: 特権ID管理ツール（Privileged Access Management）を導入し、特権IDの使用を記録・制御・監査することで不正操作の早期検知を可能にします。

参考: 内部不正対策に、アクセス管理体制の導入のポイント（クラウドナビ）

【対策2】操作ログの収集・監査体制の構築

アクセス権限の管理と並んで重要なのが、操作ログの収集と監査体制の整備です。ログは「後から証拠として使う」ためだけでなく、「不正行為を早期に検知する」ための能動的な手段として位置付けることが大切です。

収集すべきログの種類と保存ルール

情シス部門が内部不正対策として優先的に収集・管理すべきログは次のとおりです。それぞれ収集目的と想定される不正の検知パターンが異なります。

• ファイルサーバーアクセスログ: ファイルの閲覧・コピー・削除・印刷の操作記録
• メール送受信ログ: 外部宛送信・添付ファイルの種類・転送操作の記録
• SaaSログイン記録: 各SaaSへの認証履歴・アクセス時刻・IPアドレス
• 外部送信ログ: クラウドストレージへのアップロード・USB接続・Webブラウザ経由の外部転送
• 特権ID操作ログ: 管理者権限による設定変更・データアクセスの詳細記録

保存期間は、法的証拠として活用できる形を担保するため、最低6ヶ月〜1年を目安に設定することを推奨します。また、ログは収集した機器の本体内に保存するのではなく、別系統のログ管理システムに保管することが必須です。加害者がシステム管理者の場合、自分に不都合なログを削除・改ざんする可能性があるためです。

ログ監査の運用方法

ログを収集するだけでは不十分で、「誰が・いつ・何をチェックするか」というレビュー体制を明確に定義することが不可欠です。少人数の情シス体制であっても運用できる現実的な枠組みを設計しましょう。

平時にすべてのログをリアルタイムで目視確認することは現実的ではありません。そこで有効なのが、アラート条件の設定によって注意すべき操作を自動的に検知する仕組みです。以下のようなパターンにアラートを設定することで、異常を見逃さない体制を作れます。

• 深夜・休日の業務時間外アクセス
• 大量ファイルの一括ダウンロードやコピー
• 通常と異なるIPアドレスからのログイン
• 退職手続き中・有休消化中の社員による操作
• 長期間アクセスのなかったシステムへの突然のログイン

アラートによる自動検知に加え、月次または四半期ごとの定期レビューをルール化することも重要です。SIEM（Security Information and Event Management）やUEBA（User and Entity Behavior Analytics）を活用することで、大量のログを効率的に分析し、異常なふるまいを自動検知できるようになります。

証拠として有効なログ取得のポイント

内部不正が発覚した際、損害賠償請求や刑事告訴を進めるためには、収集したログが法的証拠として有効な形式で保全されていることが必要です。

具体的には、操作の実行前後の状態を記録できていること、ログデータ自体の改ざんが防止されていること、タイムスタンプの信頼性が担保されていることなどが求められます。弁護士や専門機関との連携を見越して、ログの取得形式・保管方法・アクセス制御を事前に設計しておくことが望ましい対応です。

参考: 操作ログを分析し、内部不正を防止する方法（インテリジェント ウェイブ）

【対策3】SaaS環境特有のリスクと一元管理

クラウド・SaaSの普及は企業の業務効率化に大きく貢献した一方で、内部不正対策の観点では新たな複雑さをもたらしています。SaaS環境特有のリスクを正確に把握し、一元管理体制を構築することが求められます。

SaaS増加がもたらす内部不正リスクの拡大

オンプレミス中心の環境では、情報資産は社内サーバーに集約されており、アクセス管理もファイアウォールやActive Directoryなど限られたポイントで管理できました。現代の企業では、営業・マーケティング・人事・財務・開発など、各部門がそれぞれのSaaSを個別に導入・管理している状況が一般的です。

この分散したSaaS環境では、以下の問題が内部不正リスクを拡大させます。

• アカウントの把握困難: IT部門が知らないシャドーITも含めると、実際の利用SaaS数は把握している数を大きく上回ることがあります。
• 退職時の削除漏れ: SaaSごとに個別対応が必要なため、退職手続き中に無効化し忘れるシステムが発生しやすくなります。
• 権限の肥大化: 長期在職者が異動・昇格を繰り返すうちに、不要なアクセス権が積み重なって権限が過剰になる「権限の肥大化」が起きます。
• 監査困難: 各SaaSのアクセスログが分散しており、一元的な監査ができません。

SaaS利用状況の可視化と棚卸し

守れない資産は把握できていない資産です。内部不正対策の第一歩として、「自社で何のSaaSが使われているか、誰がどんな権限でアクセスしているか」を把握することから始めましょう。

SaaS棚卸しの基本的な手順は3ステップです。

1. Step 1 利用SaaSの全量把握: IT部門が管理しているSaaSに加え、各部門が独自に契約しているSaaS、社員が個人で利用しているシャドーITをすべてリストアップします。
2. Step 2 アカウントと権限の棚卸し: 各SaaSについて、誰がどのロールでアクセスしているかを確認します。退職者のアカウントが残っていないか、業務上不要な権限が付与されていないかをチェックします。
3. Step 3 定期的な棚卸しの仕組み化: 異動や新SaaS導入で状況は常に変化します。四半期に一度の定期棚卸しを標準運用として組み込みましょう。

ジョーシスのプラットフォームによる内部不正対策

手動でのSaaS棚卸しは、SaaS数が多い企業ほど維持管理の工数が継続的に発生します。この課題を根本的に解決するのが、SaaS管理プラットフォームの活用です。

ジョーシスのプラットフォームは、次の機能によって内部不正対策を支援します。

• 全SaaSのアクセス権の一元可視化: 誰がどのSaaSにどんな権限でアクセスしているかをリアルタイムで把握でき、権限の肥大化や退職者アカウントの存在を即座に検出できます。
• 退職時の全SaaS権限の自動一括剥奪: 人事システムと連携することで、退職情報が登録されると同時に連携するすべてのSaaSのアカウントが自動的に無効化されます。
• シャドーITの検出と排除: ブラウザ拡張機能などを活用して、社員が業務で使用している未承認SaaSを検出します。

参考: SaaS利用時のセキュリティリスクと対策（日立ソリューションズ）

情シス2〜3名体制が今すぐ着手すべき優先対策リスト

少人数体制の情シスには負荷が大きすぎないよう、実施コストと効果の観点から優先順位を整理した行動計画を提示します。

コストゼロで今週中に着手できる対策

• 退職者アカウントの現状確認: 過去1〜2年の退職者リストを人事部門から入手し、主要なシステムでアカウントが残存していないかを確認します。
• アクセス権限一覧の台帳作成: 現在どの従業員がどのシステムにどんな権限でアクセスできるかを一覧化（スプレッドシート等）し、可視化します。
• IPAガイドライン33項目チェックシートによる自己評価: 公式サイトから無償でダウンロードできるチェックシートを使い、自組織の現状ギャップを把握します。

3ヶ月で実装すべき中期対策

• 退職手続きフローへのIT対応チェックリストの組み込み: 標準フローの中にIT対応項目（システム一覧、担当者、期限）を明記し、人事部門と連携した報告体制を作ります。
• ログ収集ルールとポリシーの策定: 収集するログの種類・保存期間・保管場所・監査頻度を定めたポリシー文書を作成し、制度的に担保します。
• 最小権限見直しの定期サイクル設定: 4月・10月など人事異動サイクルに合わせて、アクセス権限の定期棚卸しを年次業務として組み込みます。

SaaS管理ツール導入による抜本的解決

従業員500名以上・SaaS50種類超の規模になると、手動管理の工数は限界に達します。ツール選定の際に確認すべき機能要件を以下に整理します。

• HR連携: 人事システムと連携し、入退社情報を自動的に反映できるか
• 自動デプロビジョニング: SaaSアカウントの削除を自動化できるか
• ログの一元管理: 各SaaSのアクセスログを一元的に収集・参照できるか
• シャドーIT検出: 未承認SaaSの利用を検出できるか

参考: 組織における内部不正防止ガイドラインから学ぶ実践的ポイント（BlackBoxSuite）

まとめ｜内部不正対策はIT管理の仕組み化から始まる

• 内部不正のリスク: IPA調査対象企業の36%超が被害を経験しており、特に退職シーズンの4〜6月はリスクが高まります。
• IT管理の役割: 不正のトライアングルのうち「機会の排除」と「抑止意識の向上」を主導します。
• 二本の柱: アクセス権限の最小化・即時剥奪と、ログ監査の仕組み化が基本です。
• 自動化の推進: SaaSが多い環境では、プラットフォームを活用した自動オフボーディングが少人数情シスにとって現実的な解決策となります。

今日から着手できることとして、IPAのチェックシートによる自己評価と退職者アカウントの棚卸しを先行させましょう。

ジョーシスで内部不正対策を効率化する

ジョーシスのプラットフォームは、全SaaSのアクセス権を一画面で可視化し、退職者アカウントの自動削除・操作ログの一元管理まで対応しています。情シス2〜3名体制でも、SaaS数十種類の内部不正対策を効率的に運用できる環境を構築できます。

自社のSaaS利用状況とアカウント管理の現状を、まず無料デモで確認してみてください。

→ Josys 無料デモを申し込む

参考資料一覧

• 情報セキュリティ10大脅威 2025（IPA）
• プレス発表「情報セキュリティ10大脅威 2026」（IPA）
• 組織における内部不正防止ガイドライン（IPA）
• なぜ内部不正は起こる？原因と事例（サイバーセキュリティ情報局）
• 【2025年版】内部不正事例から学ぶ！（情シスレスキュー隊）
• 操作ログを分析し、内部不正を防止する方法（インテリジェント ウェイブ）
• 内部不正対策に、アクセス管理体制の導入のポイント（クラウドナビ）
• 組織における内部不正防止ガイドラインから学ぶ実践的ポイント（BlackBoxSuite）
• SaaS利用時のセキュリティリスクと対策（日立ソリューションズ）