広島市立小学校の職員として採用された男(28)が、前職時代に付与されたクラウドサービスのログインID・パスワードを退職後も使用し、不正アクセス禁止法違反容疑で逮捕された。報道によれば、在職時代に所属していた会社の業務用クラウドに 67回、関連会社のクラウドに 11回 アクセスした疑いがある。
本人は「不正アクセスに該当するとは思わなかった」と供述しているというが、問題の本質はそこにはない。この事案で最も深刻なのは、退職後も社員アカウントが生きたまま放置されていた組織側の運用不備である。
■ なぜ退職者アカウントが「半年間」生きていたのか
今回の容疑期間は 2024年11月〜2025年4月。
退職に伴うアカウント無効化が適切に行われていれば、そもそもアクセスは成立しなかった。
一般的に、クラウドサービスを利用した業務運用では以下が最低限の管理項目となる。
-
退職時の即時アカウント停止
-
パスワードリセットおよび端末紐づけ解除
-
MFA(多要素認証)の強制
-
アクセスログの定期監査と異常行動検知
これらは“高度なセキュリティ対策”ではなく、基礎的なID管理プロセスである。
それが機能していなかったことが明らかになった。
■ 組織ガバナンスの欠如が生み出す典型的なリスク
退職者アカウントを放置すると以下のリスクが避けられない。
-
内部不正の温床(恨み・興味本位・データ持ち出し)
-
委託先・関連会社への連鎖的な被害
-
外部からの攻撃に“踏み台”として悪用される可能性
-
監査・法令遵守の観点で説明不能
特に今回、関連会社へのアクセスまで発生している点から、権限範囲の管理(RBAC)も曖昧だった可能性がある。
内部統制としては看過できないレベルの欠陥だ。
■ 広島市側の採用・確認プロセスにも疑問が残る
逮捕された男性は 2025年5月から広島市立小学校で勤務していたという。
広島市教育委員会は報道にコメントしているが、市としての公式リリースは確認できない。
採用時に前職の問題行動が明らかになることは通常ないものの、公的機関として市民の信頼を維持するためには、採用後に判明した場合の情報開示プロセスを整備しておく必要がある。
■ 再発防止策:退職者管理は「人事×情報システム」の共同責任
今回の事案は「元職員の犯罪」という表面的な話では終わらない。
根本原因は明らかに組織側の管理プロセスにある。
再発防止には以下の仕組みが必須だ。
● 退職日と同時にアカウントを強制停止
人事とシステム部門の連携が分断されている組織ほど漏れが起きる。
● パスワード・トークン・端末の完全無効化
クラウド利用時代は「パスワードを知ってるだけで入れる」構造が危険。
● MFAの強制・ログ監査の自動化
すべてのアクセスは“証跡”として残る仕組みが必要。
● 委託先・関連会社の権限も含めた棚卸
権限範囲が複雑なほどリスクは高まる。
■ まとめ:技術的な問題ではなく“運用の問題”
今回の逮捕事案は、退職者アカウントを放置するという初歩的な運用ミスが引き起こした典型例だ。
クラウド活用が拡大する時代において、ID管理は最重要インフラの一部であり、適切な運用ができなければ、犯罪・情報漏えい・行政不信といった副作用を招く。
「退職後でもログインできてしまった」という一点だけで、組織としてのセキュリティレベルが測られてしまう──
今回の事案は、その厳しい現実を改めて示している。
参考:退職後も会社のクラウドサービスに70回以上不正アクセスか 小学校職員の男(28)を逮捕 「不正アクセスに該当するとは思いませんでした」広島(アーカイブ)