ITに詳しい従業員が急に退職した際に、会社が確認すべき問題、最初に行う対応、避けるべき対応をまとめた図解
IT担当者の急な退職時は、IT環境の確認、貸与機器の回収、アクセス停止、管理者パスワードの変更を順番に行い、業務停止や情報漏えいを防ぐことが重要です。

社内のパソコン、ネットワーク、メール、業務システムなどを、特定の従業員に任せている中小企業は少なくありません。

普段はそれで問題なく業務が回っていても、その従業員が急に退職することになると、会社は一気に困った状況に置かれます。

  • 管理者パスワードが分からない
  • どのサービスを契約しているのか分からない
  • 退職後も会社のデータにアクセスできる状態かもしれない
  • バックアップが本当に動いているのか分からない

このような状態は、単なる引き継ぎ不足ではなく、会社の業務継続と情報セキュリティに関わる重要な問題です。

この記事では、ITに詳しい従業員や社内のIT担当者が急に退職した場合に、中小企業がまず確認すべきこと、やってはいけないこと、再発防止のために整備すべきことを解説します。

IT担当者の退職で特に困りやすい中小企業の特徴

IT担当者の退職による影響は、会社の規模やIT環境によって異なります。

特に注意が必要なのは、次のような会社です。

  • IT管理を一人の従業員に任せている
  • 管理者権限や管理者パスワードを会社として把握していない
  • パソコン、サーバー、NAS、ルーターなどの一覧がない
  • Microsoft 365Google Workspaceの管理者が誰か分からない
  • ドメイン、サーバー、Webサイトの契約情報が整理されていない
  • バックアップの復元方法を確認したことがない
  • 退職者の個人メールアドレスやスマートフォンを業務の多要素認証に使っている
  • IT業者との契約内容や連絡先を退職者しか知らない

このような状態では、退職者本人に悪意がなかったとしても、会社側が必要なシステムを管理できなくなる可能性があります。

また、トラブルが起きたときに、どこを確認すればよいのか分からず、復旧までに時間がかかることもあります。

IT担当者が退職するタイミングでは、単に後任者へ業務を引き継ぐだけでなく、会社としてIT環境を把握し直すことが重要です。

ITに詳しい従業員の退職は「引き継ぎ」だけの問題ではない

IT担当者が退職すると聞くと、まず「次は誰に業務を引き継いでもらうか」を考える会社が多いのではないでしょうか。

もちろん引き継ぎも大切ですが、実際には次の二つを同時に進める必要があります。

  1. 会社の業務を止めないための対応
  2. 退職後の不正アクセスや情報漏えいを防ぐための対応

たとえば、退職者が会社のメールやクラウドサービス、サーバー、ルーターなどの管理者権限を持っていた場合、その権限を退職後も残しておくわけにはいきません。

ただし、慌てて退職者のアカウントを削除すると、必要なメールやファイルまで一緒に失ってしまうことがあります。

つまり、「アカウントを削除する」「パスワードを変える」だけでは不十分です。会社のIT環境全体を確認しながら、順番に対応していく必要があります。

まず24時間以内に対応すること

退職が決まってから退職当日までに、優先して確認しておきたいことがあります。

1.退職者が管理していたIT環境を確認する

最初に確認したいのは、その従業員が何を管理していたのかです。

主な確認対象は次のとおりです。

  • Microsoft 365やGoogle Workspace
  • 社内メール
  • パソコンの管理者アカウント
  • サーバーやNAS
  • 社内共有フォルダ
  • ルーターやWi-Fi
  • VPNやリモート接続
  • ファイアウォールやUTM
  • 業務システム
  • 会計、販売管理、勤怠、請求システム
  • クラウドストレージ
  • セキュリティソフト
  • バックアップサービス
  • ドメインやDNS
  • レンタルサーバー
  • WebサイトやWordPress
  • ソフトウェアライセンス
  • 電子証明書
  • パスワード管理サービス
  • 保守業者やシステム会社との契約

正式な管理台帳がない場合は、本人への聞き取りだけに頼らず、会社の請求書や法人カードの明細、メール、契約書なども確認しましょう。

毎月支払いが発生しているサービスを追っていくと、会社が把握していなかった契約が見つかることもあります。

2.会社から貸与している機器を回収する

会社から貸与していた機器は、漏れがないように回収します。

  • パソコン
  • スマートフォン
  • タブレット
  • USBメモリ
  • 外付けハードディスク
  • モバイルルーター
  • 入館カード
  • 物理鍵
  • 認証用のセキュリティキー

私物のスマートフォンを多要素認証に使っていた場合は、端末を返してもらうことはできないため、認証情報を会社管理の端末へ変更する必要があります。

機器を回収しただけで安心してはいけません。クラウドサービスやVPNなど、別の端末からアクセスできる経路が残っていないかも確認しましょう。

3.退職者のアクセスを停止する

退職時刻に合わせて、退職者のアカウントを無効にします。

主な対応は次のとおりです。

  • Microsoft 365やGoogle Workspaceのサインイン停止
  • メールアカウントの利用停止
  • VPNやリモート接続の停止
  • 業務システムのアカウント停止
  • サーバーやNASのアカウント停止
  • 管理者権限の削除
  • クラウドストレージのアクセス停止
  • 多要素認証端末の登録解除
  • ログイン中のセッションの強制終了
  • APIキーやアプリパスワードの失効

ここで大切なのは、退職者のアカウントをいきなり削除しないことです。

まずはログインだけを停止し、メールやファイルなど、業務に必要な情報を残します。

そのうえで、必要なデータを別の担当者へ移したり、メールを共有メールボックスへ切り替えたりします。

4.重要な管理者パスワードを変更する

退職者が知っている可能性のある管理者パスワードは、できるだけ早く変更しましょう。

特に優先して変更したいのは、次のアカウントです。

  1. Microsoft 365やGoogle Workspaceの全体管理者
  2. ドメインやDNSの管理アカウント
  3. サーバーやNASの管理者
  4. ルーター、VPN、ファイアウォールの管理者
  5. バックアップサービス
  6. 業務システム
  7. WebサイトやWordPress
  8. パスワード管理サービス

ただし、パスワードを変更しただけで対応が終わるとは限りません。

次の設定もあわせて確認してください。

  • 回復用メールアドレス
  • 回復用電話番号
  • 多要素認証に登録されている端末
  • 自動転送設定
  • メールの委任設定
  • 外部アプリとの連携
  • 管理者として登録されている個人アカウント
  • ログイン中の端末やセッション

パスワードを変更しても、退職者個人のメールアドレスや電話番号が回復先に残っていれば、再びアクセスされる可能性があります。

退職者のパソコンはすぐに初期化しない

退職者が使っていたパソコンは、すぐに初期化しない方が安全です。

パソコンの中には、引き継ぎに必要な次のような情報が残っていることがあります。

  • 保守業者とのメール
  • ネットワーク構成図
  • システム設定資料
  • パソコンやサーバーの設定情報
  • ソフトウェアのインストーラー
  • ライセンス情報
  • 業務用のスクリプトやプログラム
  • 障害対応の記録
  • ローカルにしか保存されていないファイル
  • ブラウザに保存されている管理画面の情報

ただし、そのパソコンを別の従業員が引き継ぎ、退職者のアカウントをそのまま使い続ける方法はおすすめできません。

必要な情報を確認したうえで、会社が管理するアカウントや共有フォルダへ移しておきましょう。

情報の持ち出しや不正な操作が疑われる場合は、むやみにパソコンを触らず、端末やログを保全したうえで専門家に相談してください。

3日以内にバックアップの状況を確認する

IT担当者が退職したときは、バックアップが本当に動いているかどうかも確認しておきましょう。

「自動でバックアップしていると聞いている」だけでは、確認したことにはなりません。

次の項目を一つずつ確認します。

  • 何をバックアップしているか
  • どこに保存しているか
  • どのくらいの頻度で実行しているか
  • 最後に正常終了したのはいつか
  • 何世代分保存しているか
  • バックアップデータが暗号化されているか
  • 復元に必要なパスワードが分かるか
  • 誰が管理画面にログインできるか
  • 実際にデータを復元できるか

バックアップは、データが保存されているだけでは十分ではありません。

必要なときにきちんと復元できて、初めてバックアップとして役に立ちます。

可能であれば、テスト用のファイルを一つ復元し、問題なく開けるところまで確認してください。

契約している業者やサービスを洗い出す

退職者が外部のIT会社や保守業者との窓口になっていた場合、会社側では契約内容を詳しく把握していないことがあります。

次の情報を整理しておきましょう。

  • 契約している会社名
  • 担当者名
  • 連絡先
  • 契約内容
  • 月額料金
  • 保守の対象範囲
  • 契約更新日
  • 解約条件
  • 障害発生時の連絡先
  • 顧客番号や契約番号

「何かあれば、いつもの業者に連絡していた」という状態だと、退職後はその連絡先すら分からなくなることがあります。

また、似たようなサービスを重複して契約していたり、すでに使っていないサービスの料金を払い続けていたりする場合もあります。

退職をきっかけに契約内容を整理すれば、不要なIT費用を見直せるかもしれません。

個人名義のアカウントや契約がないか確認する

中小企業では、業務で使っているサービスが、担当者個人のアカウントで契約されていることが珍しくありません。

たとえば、次のようなケースです。

  • ドメインを従業員個人の名義で契約している
  • レンタルサーバーの登録先が個人のGmailになっている
  • 多要素認証に個人のスマートフォンを使用している
  • ソフトウェアを個人のMicrosoftアカウントで購入している
  • クラウドサービスを個人のクレジットカードで支払っている
  • WebサイトやSNSを個人アカウントで管理している
  • プログラムやデータが個人のクラウドストレージに保存されている

この状態を放置すると、退職後に会社側でサービスを管理できなくなる可能性があります。

会社で利用するサービスは、原則として会社が管理するメールアドレス、電話番号、支払方法へ変更しておきましょう。

退職後に確認するべきログと設定

アカウントを停止した後は、退職前後に不審な操作や設定変更がなかったかも確認します。

確認できる場合は、次の内容を調べてください。

  • 通常とは異なる場所や端末からのログイン
  • 大量のファイルダウンロード
  • 外部ストレージへのデータ移動
  • メールの大量転送
  • 自動転送設定の追加
  • 新しい管理者アカウントの作成
  • 共有設定の変更
  • データの削除
  • APIキーやアクセスキーの発行
  • バックアップ設定の変更

これは、最初から退職者を疑うために行うものではありません。

退職時は、悪意がなくても操作ミスや設定漏れが起きやすいものです。会社の情報を守るための確認作業として行いましょう。

急な退職でやってはいけないこと

ITに詳しい従業員が急に退職すると、焦るあまり、かえって状況を悪くする対応をしてしまうことがあります。

アカウントをすぐ削除する

必要なメールやファイルまで消えてしまう可能性があります。

まずはログインを停止し、必要なデータを残してから削除を検討しましょう。

パソコンをすぐ初期化する

設定資料や契約情報など、引き継ぎに必要な情報まで消えてしまうことがあります。

初期化するのは、必要な調査とデータの移管がすべて終わってからです。

退職者のアカウントを別の従業員がそのまま使う

誰がどの操作をしたのか分からなくなり、後から問題が起きたときに確認できなくなります。

業務を引き継ぐ従業員には、新しいアカウントを発行しましょう。

パスワードだけを変更して安心する

回復用メールアドレス、多要素認証、ログイン中のセッション、自動転送設定などが残っている場合があります。

パスワードだけでなく、その周辺の設定まで確認することが大切です。

バックアップがあると聞いただけで安心する

実際にはバックアップが失敗していたり、復元方法が分からなかったりすることがあります。

本当に復元できるかどうかまで確認しておきましょう。

退職後に行うべき再発防止策

緊急対応が落ち着いたら、同じ問題を繰り返さないための仕組みを整えます。

最低限、次の情報は会社として管理しておきたいところです。

  • IT機器の一覧
  • アカウントの一覧
  • 契約中のサービス一覧
  • ソフトウェアライセンス一覧
  • ネットワーク構成図
  • バックアップの内容と復元手順
  • システム会社や保守業者の連絡先
  • 入社時と退職時のアカウント管理手順
  • トラブル発生時の連絡先
  • 管理者権限の付与ルール

大切なサービスの管理者権限を、一人だけに集中させないことも重要です。

会社として管理する管理者アカウントを用意し、万が一のときには別の責任者もアクセスできる状態にしておきましょう。

ただし、複数人で同じ管理者IDとパスワードを使い回す方法はおすすめできません。

利用者ごとにアカウントを分け、必要な人にだけ管理者権限を付ける方が安全です。

後任のIT担当者をすぐに採用すれば解決するとは限らない

ITに詳しい従業員が退職すると、すぐに新しいIT担当者を採用しようと考える会社もあります。

しかし、幅広いIT業務に対応できる人材を、中小企業が短期間で採用するのは簡単ではありません。

一口にIT担当者といっても、求められる知識はかなり幅広くなります。

  • パソコンの設定
  • ネットワーク管理
  • サーバーやNAS
  • 情報セキュリティ
  • クラウドサービス
  • メール管理
  • Webサイト
  • 業務システム
  • バックアップ
  • IT機器やサービスの契約管理

新しく採用した人が、前任者と同じ範囲をすべて管理できるとは限りません。

また、今のIT環境が整理されていなければ、後任者を採用しても、まずは現状調査から始めることになります。

そこで、先に外部のIT事業者へ現状調査を依頼し、会社のIT環境を整理してから、社内で対応する範囲と外部へ任せる範囲を決める方法も現実的です。

IT担当者が退職しても業務が止まらない会社にする

ITに詳しい従業員がいることは、会社にとって大きな強みです。

一方で、その人しか設定や契約内容を知らない状態は、大きな経営リスクになります。

大切なのは、担当者が辞めないことだけを前提にするのではなく、誰かが抜けても困らない状態を作っておくことです。

急な休職や退職があっても、会社として必要な情報を把握し、業務を続けられる体制を整えておきましょう。

特に中小企業では、専任のIT担当者を置くのが難しく、パソコンに詳しい従業員が本来の仕事と兼任しているケースが多くあります。

そのような場合は、社内の担当者だけに任せきりにせず、外部の専門家が定期的に状況を確認する仕組みを作ることで、IT業務の属人化を減らせます。

まとめ

ITに詳しい従業員が急に退職したときは、次の順番で対応しましょう。

  1. 退職者が管理していたIT環境を把握する
  2. 貸与機器を回収する
  3. アカウントと外部アクセスを停止する
  4. 管理者パスワードと認証設定を変更する
  5. メールやファイルを削除せずに保全する
  6. 退職者のパソコンを初期化せずに確認する
  7. バックアップが正常に復元できるか確認する
  8. 契約や保守業者を整理する
  9. 個人名義の契約を会社管理へ変更する
  10. IT環境の台帳や手順書を整備する

緊急時に最も危険なのは、「何が分からないのかさえ分からない」状態です。

パソコンに詳しい人へ一時的に任せるだけでは、管理者権限や契約、バックアップ、セキュリティなどの重要な問題を見落とすおそれがあります。

よくある質問

Q1.IT担当者が退職するとき、最初に何をすればよいですか?

まずは、退職者が管理していたアカウント、機器、契約、パスワード、バックアップ、保守業者を一覧化します。

特に優先すべきなのは、Microsoft 365やGoogle Workspace、サーバー、NAS、ルーター、VPN、業務システム、ドメイン、Webサイトなどの管理者権限です。

そのうえで、退職時刻に合わせて退職者のログインを停止し、管理者パスワードや多要素認証の登録先を変更します。

Q2.退職者のメールアカウントはすぐ削除してもよいですか?

すぐに削除するのはおすすめできません。

退職者のメールには、取引先とのやり取り、契約情報、障害対応の履歴、システム会社との連絡内容など、引き継ぎに必要な情報が残っている可能性があります。

まずはログインを停止し、必要なメールやデータを保全します。その後、共有メールボックス化、転送設定、別担当者への引き継ぎなどを行ったうえで、削除するかどうかを判断します。

Q3.退職者のパソコンは初期化してもよいですか?

引き継ぎが完了するまでは、すぐに初期化しない方が安全です。

退職者のパソコンには、ネットワーク設定、保守業者とのメール、ライセンス情報、インストーラー、管理画面の情報、トラブル対応記録などが残っている場合があります。

ただし、別の従業員が退職者のアカウントをそのまま使い続けることは避けるべきです。必要な情報を確認し、会社管理の共有フォルダや正式なアカウントへ移管します。

Q4.管理者パスワードが分からない場合はどうすればよいですか?

まず、社内に残っている資料、メール、契約書、請求書、パスワード管理ツール、ブラウザ保存情報などを確認します。

それでも分からない場合は、各サービスの管理会社や保守業者へ連絡し、会社として正当な管理者であることを証明したうえで復旧手続きを行います。

ドメイン、サーバー、クラウドサービス、業務システムなどは、復旧に時間がかかる場合があります。業務への影響が大きいものから優先して対応することが重要です。

Q5.退職者の個人スマートフォンが多要素認証に使われていた場合はどうすればよいですか?

会社管理のスマートフォン、代表メールアドレス、または複数の管理者で運用できる認証方法へ変更します。

退職者個人のスマートフォンや個人メールアドレスが認証先として残っていると、パスワードを変更してもアカウント復旧や再ログインができてしまう可能性があります。

パスワード変更だけでなく、多要素認証、回復用メールアドレス、回復用電話番号、ログイン中の端末、外部アプリ連携まで確認する必要があります。

Q6.退職者に悪意がなければ、アカウント停止は急がなくてもよいですか?

退職者本人を疑うかどうかに関係なく、退職時にはアカウント停止を行うべきです。

これは退職者を信用していないという意味ではなく、会社の情報管理として必要な対応です。

アカウントが残っていると、本人以外がそのアカウントを利用する、端末の紛失により第三者がアクセスする、外部サービス連携が残る、といったリスクがあります。

Q7.IT担当者の退職後、外部のIT業者に依頼する場合は何を頼めばよいですか?

最初に依頼すべきなのは、会社のIT環境の現状調査です。

具体的には、パソコン、サーバー、NAS、ネットワーク機器、クラウドサービス、メール、Webサイト、ドメイン、バックアップ、セキュリティソフト、契約中のITサービスなどを確認します。

そのうえで、緊急対応が必要なもの、後から整理すればよいもの、今後の管理体制として整備すべきものを分けて対応します。

IT担当者の急な退職でお困りの中小企業様へ

社内のITに詳しい従業員が急に退職すると、会社は短期間で多くの確認を行う必要があります。

特に、管理者パスワード、メール、クラウドサービス、サーバー、NAS、ネットワーク機器、バックアップ、業務システム、ドメイン、Webサイトなどは、対応が遅れると業務に支障が出る可能性があります。

株式会社ITAでは、八王子市および周辺地域の中小企業を対象に、IT担当者の退職時に必要な確認作業や、社内IT環境の整理を支援しています。

次のようなお悩みがある場合は、お早めにご相談ください。

  • 退職者しか知らない管理者パスワードがある
  • どのITサービスを契約しているのか分からない
  • 会社のメールやクラウドの管理者が誰か分からない
  • 退職者の個人アカウントで管理しているサービスがある
  • バックアップが正常に動いているか不安
  • パソコンやネットワークの管理を今後どうすればよいか分からない
  • 社内にIT担当者を置けないため、外部に継続的に相談したい

IT担当者の退職は、会社のIT環境を見直す重要なタイミングでもあります。

問題が起きてから対応するのではなく、早い段階で現状を整理し、会社として管理できる状態を作っておくことが大切です。

八王子市周辺で、社内IT管理やIT担当者の退職対応に不安がある中小企業様は、株式会社ITAまでお気軽にご相談ください。

管理者パスワード、クラウドサービス、社内ネットワーク、バックアップなど、どこから確認すればよいか分からない場合でもご相談ください。現在の状況を確認し、優先順位を整理したうえで対応します。

中小企業向けのIT用語辞典を紹介するバナー。