第3回退職者アカウント削除漏れが引き起こす情報漏洩リスク

　民間調査会社（東京商工リサーチ）によると、2024年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は前年比8％増加の189件。調査開始以来、過去最多件数を更新。今後も増加傾向がつづく見通しです（出典）。 

‍

ランサムウェアをはじめとするサイバー攻撃が高度化し、深刻な脅威となる中で、多くの日本企業・情報システム部門が対策を講じています。にもかかわらず、なぜセキュリティインシデントは増え続けるのでしょうか。

「退職した人が引き続き、お客様の重要情報にアクセスできる状態が続いていました」

これは今回のヒヤリハットを振り返る、W社の担当者Aさん（仮名）の声です。多くの企業が「自分たちは大丈夫」と思い込んでいますが、実はどの企業にも起こりうる“身近な問題”だといえます。

‍

なぜならば、ヒヤリハットが技術面の脆弱性だけでなく、組織や個人の心情・行動に起因して発生したためです。

Aさんへのインタビューを通して、退職者アカウント削除漏れの背景・発生要因・対策を学び、自社の情報セキュリティのさらなる強化・向上に役立てていただきたいと思います。

‍

‍

M&Aがもたらした“想定外”のリスク

‍

はじめに、セキュリティインシデントの概要を紹介します。この事例はW社がM&A で事業買収したWebサービス企業X社で発生しました。

‍

【X社セキュリティインシデントの概要】
X社によるWebサービスリリースから4年後、一部退職者のアカウント削除漏れが発覚。退職後も個人情報や機密情報にアクセス可能な状態が続いていたことが分かりました。

‍

ーなぜ退職者アカウントの削除漏れが起こったのでしょうか？

‍

退職時にシステム管理者がアカウントを削除するオペレーションはあり、定期的に削除も行われていました。ただし、削除フローが曖昧で「誰かが消してくれているだろう」と思い込んでおり、責任の所在が不明確でした。そのため、何らかの事情で消し忘れたアカウントが残ってしまいました。

‍

調査の結果、退職者によるアクセスはなかったものの、重大なセキュリティインシデントになるところでした。

‍

ー事業買収したX社のサービスに関するポリシー・ルールはどのような状況だったのでしょうか？

‍

本当に灯台下暗しですが、親会社として、事業買収した自社サービスの取扱に関する規定が整備できていませんでした。問題が発覚したのは、経営統合後、管理体制の見直しを図ろうとした矢先の出来事です。

‍

【ポイント】グループ企業のセキュリティ課題

‍

親会社と子会社、M&Aによって買収した企業では、システムやオペレーションを含めて親会社と異なるケースがあります。自社のセキュリティポリシーの整備だけでなく、グループ企業の管理体制に不備はないか、定期的に見直すことが必要です。

‍

‍

属人的な運用はなぜ起きた？

‍

ー今回のインシデントをふまえて、どのような課題をお持ちですか？

‍

事業買収したX社もそうですが、スタートアップ企業では、十分なセキュリティポリシーを定める余裕がないケースが多く、サービス運用・管理体制が属人的になりがちです。

‍

サービス開発や売上の優先度が高く、経営課題として「セキュリティ対策」の優先度を上げられない構造があるためです。その結果、現場のセキュリティ意識を高められないまま、組織が大きくなっていくことが起こり得ます。

‍

ーX社における管理部門と現場のコミュニケーションはどのような状況でしたか？

‍

管理部門である情シス側は、現場のプロダクト開発部門のサービス運用の実態が分からない、プロダクト開発部門はセキュリティ意識が高めづらいため、ディスコミュニケーションが起こりやすい状況でした。

‍

今回のケースでは、プロダクト側から「この体制は危険です」と声を上げられれば良かったのですが、これまでの慣習上、そのような文化もありませんでした。

‍

ーセキュリティ対策をおこなう社員の方の意識をどう上げていくかが重要になりそうですね。

‍

システム統合よりも、意識統合のほうが難しいのです。これまで全く違う組織規模・文化でやってきたわけですから。とくにスタートアップでは、詳しい人ほど重要な情報を扱っている感覚がマヒしがちです。

‍

今回は経営統合により、問題が発覚しましたが、第三者視点のセキュリティ診断の導入や意識を高める文化の醸成はあらためて重要だと思いました。

‍

【ポイント】社員のセキュリティ意識の向上

セキュリティ性能の高いシステムやツールを導入したとしても、活用する社員のセキュリティ意識・リテラシーが低いままでは、無効化されてしまう可能性があります。企業として社員の意識をどう高めていくかを議論し、設計することが重要です。

再発防止策：システムと文化からのアプローチ

ーヒヤリハットを見つけたときに、現場メンバーは「自分の責任になるかもしれない」という気持ちから、報告しづらいケースもあるかと思います。この問題を防ぐためのアイディアをお持ちですか？

怒らないで褒める文化が重要だと考えています。自社の場合、今回の件を報告したときに社長は「正直に（話を）上げてくれてありがとう」と言ってくれました。

『北風と太陽』じゃないですけど、ただ「ミスをするな」と言っても、現場は声を上げづらくなります。大企業の現場で隠蔽が起こるのは、心理的安全性がないからではないでしょうか。

経営者の意識として、ヒヤリハットへの誠実な対応を評価するスタンスを社員に伝えられるかどうかは、セキュリティリスクの軽減に影響すると思います。

ー今回のケースについて、仕組み・システム面で防ぐためには何が必要だったとお考えですか？

退職者アカウント削除漏れのみに着目すると、シンプルにSSO（※1）にしておけば良かったと考えています。

社外システムの導入時にはSSOの有無を重視していましたが、自社サービス・社内メンバー向けのSSO開発は優先度が上がらない状況にありました。

これは経営課題としてセキュリティ対策をどうするかという話にもつながるので、改めて重要性を認識したうえで対応しました。

（※1）SSO（Single Sign-On）：複数のサービスを単一のログイン情報で利用できる仕組み

【ポイント】システムで網をかけて文化でカバーする仕組み

まず、システムの整備によりセキュリティ対策を強化する。その上で、ヒヤリハットが発生したときに現場のメンバーが心理的安全性をもって報告できる文化・組織風土をつくる。セキュリティ対策には、システムと文化の両面からのアプローチが求められます。

‍

‍

ひとつのミスが大きな損失を招く

今回のヒヤリハット事例から得られる示唆をまとめる。

まず「退職者1人のアカウント漏れ」であっても、企業にとって甚大なリスクとなり得るという点だ。もしM&Aによる経営統合が行われず、そのまま問題が見過ごされていたとしたら、どうなっていたのでしょうか。

退職者が意図的に情報を持ち出した場合や第三者にアカウントが悪用された場合、顧客情報の流出、企業の信用失墜、さらには法的責任の追及という最悪の事態につながりかねません。

幸い、W社は大きな自体には発展する前に問題点に気が付き、「太陽と北風」の寓話のように心理的安全が確保された状態で適切な対策を講じることができました。しかし、多くの企業の情報管理において、「1つのミスが大きな損失を招く」ことを適切に認識しなければなりません。リスクに気づかないまま、人的依存の運用が続いている企業も少なくないのではないでしょうか。

重要なのは、経営層と現場の意識格差をなくして、トップダウン×ボトムアップでセキュリティ対策に取り組むことです。

そのためには、リスクが発覚した際、迅速に報告・対応できる心理的安全性の醸成も重要です。セキュリティ事故の多くは、技術的な脆弱性だけでなく、組織内の「言い出しにくさ」が原因で発生・拡大するという事実に向き合わなくてはなりません。

‍

‍

まずは小さな見直し・点検から始めよう

企業のセキュリティ対策は、一度の取り組みで完結するものではないです。常に見直し、改善を続けることで、より強固な情報管理体制を構築できます。本事例を契機に、自社のセキュリティ体制を振り返る機会としていただきたいです。明日からできるアクションとして、まずは自社の退職者アカウントの管理状況の総点検し、削除フローを確認することから始めてみてはいかがでしょうか？仮に取り越し苦労に終わったとしても、その他の抜け漏れ・潜在的なリスクはないか、役職や部門の垣根を超えて相互確認することで、必ず自社のセキュリティ意識向上に寄与するはずです。

‍