アクセス権を放置するリスク（物理的返却と権限の乖離）

• デバイスに依存しないアクセス権の残存： 業務用PC返却後も、私物スマホ、自宅PCのブラウザ、個人所有のPWM等に保存された情報による継続的なアクセス。をされるおそれがある
• 正規アクセスとしての情報窃取： 有効な認証情報（ID/PW）を用いた侵入は、セキュリティシステムで不正として検知されにくいため。
• 退職者個人を起点とする脆弱性： 退職者が善性の人物だとしても個人アカウントやデバイスがハックされた際、組織の共有パスワードが第三者の手に渡るリスク。
• 管理義務違反の露呈： 漏洩発生時、権限消去の不備は組織としての安全管理措置の欠如とみなされるリスクを避けるため。

アクセス解除の実行タイミングと手順

• 解除のトリガー： 退職日当日、または最終業務終了直後に即時実行するのが基本。
• 事前準備（棚卸し）： 離脱1週間前までに、当該メンバーが個人で保有・生成したパスワードの共有設定を確認しておくと安心。
• 一時離脱への対応：休職や長期不在時も、原則として「権限の停止（サスペンド）」を適用する。

– パスワードマネージャー（PWM）を用いた遮断プロセス

• 管理者パネルによるユーザー削除： 共有保管庫（Vault）へのアクセス権を一括かつ瞬時に剥奪する。
• アカウント自体の無効化： 組織が提供したPWMアカウントを凍結し、データへの一切の接触を断つ。
• マスターパスワード・Secret Keyの回収： 必要に応じて管理者による初期化と再設定を実行する。

– 遮断後の二次対策（パスワードの変更・更新）

• 重要アカウントの文字列変更： PWMの権限を切っても、物理的に記憶されているリスクがあるため、重要なアカウント情報に限っては（サーバー、基幹システム等）の即時変更をしたほうがよい。 それもPWMで共有するので組織内の残留スタッフに負担はない
• 共有TOTPの再発行： QRコード（シークレット）がスマホ写真や認証アプリなどで共有されていた場合、認証設定をリセットし、現役メンバーのみに再配布する必要がある。 QRからコードから秘密鍵を割り出すことが可能なため
• 接続元制限の再確認： 固定IP制限やVPN環境の認証情報など、ネットワークレイヤーで社外からアクセスできなくなっているか確認しておくとより安心。