社員が退職したとき、使っていたメールアドレスをどう処理するかは、情報漏洩防止と業務継続性の両面で重要な問題です。「とりあえずしばらく使えるようにしておく」という放置や、「すぐ消す」という性急な対応のどちらも問題を引き起こします。
退職者メールを放置するリスク
退職者のアカウントをそのまま残しておくと、以下のリスクがあります。
不正アクセス:退職者が自分のアカウントに引き続きアクセスできる状態になります。顧客情報・社内資料・取引先とのメールが退職後も閲覧可能な状態です。
なりすまし:退職者が会社の名前を使ってメールを送ることができます。
セキュリティインシデントの入口:退職者のパスワードが流出した場合、不正ログインの経路になります。
ライセンスコストの無駄:Google WorkspaceやMicrosoft 365はユーザー数課金です。使っていないアカウントを残すとコストが発生し続けます。
即削除してはいけないケース
一方で、退職と同時に即削除することにも問題があります。
取引先からのメールが届かなくなる:退職した担当者宛に連絡を続けている取引先・顧客が、突然エラーで返ってくることに気づかず、連絡が途絶えるケースがあります。
進行中の業務が中断する:サービス契約・発注・申請などで退職者メールアドレスが登録されていた場合、通知が届かなくなります。
法的・監査上の記録が失われる:業種によっては一定期間メールを保存する義務があります。
推奨される処理手順
退職日当日
- パスワードを変更する:退職者がアクセスできないようにします。本人へのパスワード通知はしません。
- 自動応答を設定する:「担当者は退職しました。以後のお問い合わせは〇〇(後任)までご連絡ください」という内容の自動返信を設定します。
- メールを後任または管理者に転送する:重要なメールが漏れないよう、一定期間(3〜6ヶ月程度)は後任担当者や上長に転送します。
転送期間終了後(3〜6ヶ月後)
- アカウントを停止・削除する:転送先に変更を通知し、アカウントを削除します。
- 関連サービスのアカウント変更:退職者メールで登録されていた外部サービス(クラウドツール・発注サービスなど)のアカウントを移行します。
Google Workspace での処理
管理コンソール(admin.google.com)の手順:
1. ユーザー一覧で対象ユーザーを選択
2. 「ユーザーをリセット」でパスワードを変更し、ログインをブロック
3. 「メール転送」を設定(後任のアドレスへ)
4. 「自動返信」を設定
5. 3〜6ヶ月後にユーザーを削除
また「アカウントを削除せずにライセンスをはがす」という方法もあります。Googleグループ(info@など)への転送先として残したい場合に有効です。
Microsoft 365 での処理
Microsoft 365 管理センターの手順:
1. 「ユーザー」→「アクティブなユーザー」から対象者を選択
2. サインインをブロック
3. メールエイリアスまたは共有メールボックスに変換
4. ライセンスを削除(コスト削減)
5. 3〜6ヶ月後にユーザーを削除
退職者メール以外にも見直すべきアカウント
メールだけでなく、以下も同時に整理します。
| サービス | 確認事項 |
|---|---|
| Google Analytics / GA4 | ユーザー権限から削除 |
| Google広告 | 管理者・標準ユーザーから削除 |
| Meta 広告マネージャー | ピープル設定から削除 |
| GitHub / GitLab | Organizationのメンバーから削除 |
| Slack / Teams | ワークスペースから削除 |
| クラウドストレージ | アクセス権の見直し |
退職者対応のたびにこのリストを確認するチェックシートを社内で整備しておくと、対応漏れを防げます。
定期棚卸のすすめ
退職者だけでなく、長期間ログインのないアカウントも定期的に確認することを推奨します。Google Workspaceでは管理コンソールの「レポート」から最終ログイン日時を確認できます。「90日以上ログインなし」を目安に整理するとセキュリティ上の死角を減らせます。