お問い合わせ
SECURITY NOTE — 204

業務委託者のGoogle Workspaceアカウント設計

PUBLISHED2026.06.28
READ10 分
CATEGORYSECURITY

Google Workspace を導入している企業が業務委託者やフリーランサーにアカウントを付与する場合、フルライセンス・Cloud Identity Free(クラウドアイデンティティ フリー)・ゲスト招待という3つの選択肢があります。それぞれで利用できる機能範囲とコスト負担が大きく異なるため、契約形態や業務要件に合わせた判断が必要です。

この記事を読んだほうが良い人

  • Google Workspace を管理する情シス・コーポレートIT担当者で、業務委託者・フリーランサーのアカウント設計に迷っている方
  • フルライセンスを渡すのはコスト的に過剰だが、ゲスト招待では機能が足りないという境界線を整理したい方
  • 契約終了時のアクセス剥奪(オフボーディング)の設計を検討している方
  • 非管理デバイスから接続する外部メンバーへのアクセス制御を強化したい方

業務委託者は「内部でも外部でもない」グレーゾーン

正社員であれば全員にフルライセンスを付与し、退職時にアカウントを削除すれば済みます。完全な外部ユーザー(取引先担当者など)であれば、ファイルを個別共有するだけで十分なことが多い。

問題は業務委託者やフリーランサーの存在です。

  • 週3〜5日常駐し、社内の Slack・Google Drive・Calendar をフル活用する役割
  • 週1〜2日のみ関与し、特定プロジェクトのフォルダと社外ツールだけ使う役割
  • プロジェクト単位のスポット参加で、成果物ファイルのやり取りだけが必要な役割

この3つは外見上「業務委託者」でも、必要なアクセス範囲が全く異なります。一律にフルライセンスを付与するとコストが膨らみ、一律ゲスト招待では機能制限で業務が滞ります。その中間点をどう設計するかが、この記事の主題です。

フルライセンス・CI Free・ゲスト招待の違いとは

フルGWSライセンス

Google Workspace の有料ライセンス(Business Starter以上)を付与する方法です。Gmail・Calendar・Meet・Drive・Docs といった Workspace の全機能を正社員と同等に利用できます。管理コンソールでの管理も正社員と同じ操作体系で行えます。

コストは最もかかりますが、正社員と同じ環境で動いてほしい常駐型の業務委託者には最もシンプルな選択です。エディション選定では、メールの保存・法的ホールドが必要かどうかがポイントになります。業務委託者の会話ログを社内で保全したい場合は Google Vault が含まれるエディション(Business Standard 以上)が必要で、成果物の引き渡しだけが目的なら Business Starter でも十分です。法務・コンプライアンス要件と照らして確認します。

Cloud Identity Free

Cloud Identity Free(CI Free)は、Google が提供する ID 管理サービスの無料版です。公式情報によると、デフォルトで50ライセンスまで無償で利用でき、追加ライセンスは Google へ申請することで無償拡張が可能です。

CI Free では Gmail・Calendar などの Workspace 生産性アプリは含まれませんが、以下が利用できます。

  • 組織ディレクトリへの登録(管理コンソールでのユーザー管理)
  • SAML/OIDC を使った SSO(Slack・Salesforce・Notion など社外 SaaS へのシングルサインオン)
  • 2段階認証(2FA)の組織ポリシー適用
  • 共有ドライブ・共有ファイルへの組織ドメインアカウントとしての参加

Gmail は不要だが Slack への SSO を組織管理したい、共有ドライブにメンバーとして追加してファイル協業したいという業務委託者に適します。個人ドライブストレージ(マイドライブ)は含まれませんが、共有ドライブ(Shared Drive)への参加は組織アカウントとして行えます。

将来的に非管理デバイスからのアクセス制御が必要になった場合は、Cloud Identity Premium への移行が選択肢になります。Premium は有料ですが、Workspace Enterprise エディションを持たない企業でも Context-Aware Access を利用できるため、「正社員は Workspace Standard、業務委託者のうち機密プロジェクト関与者のみ CI Premium」というハイブリッド構成も取れます。

ゲスト招待(Workspace Guests・ビジター共有)

Google Workspace には2種類のゲスト参加方法があります。

Workspace Guests: 内部ユーザーが Chat や暗号化メール経由で招待する形式です。公式情報によると、有料ライセンス1件につき5ゲストアカウントが無料で使えます。Chat への参加・Meet への参加・暗号化メールの閲覧が可能ですが、Gmail・Calendar・Gemini は利用できません。ゲストは「Workspace Guests」という専用 OU(組織部門)に自動配置され、管理コンソールから管理できます。

ビジター共有: Google アカウントを持たない相手にも PIN 認証で一時的なファイルアクセスを付与できる方法です。公式情報によるとアクセス有効期間は7日間(再認証で延長可)で、利用できるのは Google Drive・Docs・Sheets・Slides・Sites のみです。なお Sites については閲覧(公開ビュー)のみで、編集権限は付与されません。共有ドライブへのメンバー追加はできないため、共有ドライブを主軸に置く協業には向きません。

外部コラボレーターのライセンス選択:機能・コスト・ガバナンス比較

以下の表で3択の違いを整理します。

項目 フルGWSライセンス Cloud Identity Free ゲスト招待
Gmail / Calendar × ×
Meet への参加 △(Google アカウントとして参加可。Workspace 機能としての Meet は非対象) Workspace Guests は ○
Chat × Workspace Guests は ○
共有ドライブへのメンバー追加 × (ビジター共有は不可)
社外 SaaS への SSO 管理 ×
管理コンソールでの一元管理 ○(Guests OU)
コスト 有料(エディション次第) 無料(50ライセンスまで) 有料1件につき5ゲスト無料
CAA(Context-Aware Access)適用 エディションによる × ×
オフボーディングの確実性

契約形態別の判断フロー

常駐型(週3日以上・業務の主体的な担い手)

Gmail・Calendar・Meet を正社員と同じように使い、共有ドライブも主体的に管理する役割であれば、フルGWSライセンスが現実的な選択です。機能を絞ると業務効率が落ちるだけでなく、IT部門への問い合わせ対応が増えることも多い。コストがかかっても「制限なしで動いてもらう」ほうがトータルの負担が少ないケースです。

具体的には、システム開発の業務委託エンジニアがプロジェクトのスクラム運営に参加し、社内の Google Calendar でスプリント予定を管理するようなケースがこれに当たります。この役割にビジター共有やゲスト招待を使うと、Calendar 共有ができないために非効率が生まれます。

準常駐型(週1〜2回・特定プロジェクト参加)

Gmail・Calendar は不要だが、共有ドライブへの参加・社外 SaaS への SSO 管理が必要なケースは Cloud Identity Free が適します。SaaS ツールへの SSO を組織の管理コンソールで一元管理できるため、アカウントの棚卸しが容易です。

典型例は「Notion と Slack だけ使うマーケティング業務委託者」です。CI Free アカウントで両サービスへの SAML SSO を設定しておけば、契約終了時にアカウントを1件削除するだけで両サービスのアクセスが同時に遮断されます。個別サービスのアカウントを個別に削除しなくて済む点が、ガバナンス上の大きな利点です。

スポット型(単発・数回限り)

成果物ファイルのやり取りだけであればビジター共有で十分です。Google アカウントを持たない相手にも対応でき、ライセンス管理も発生しません。ただし共有ドライブを使ったコラボレーションが必要であれば、スポット型であっても CI Free アカウントを一時付与するほうがスムーズです。プロジェクト終了後にアカウントを削除すれば、ライセンスは即座に解放できます。

OU設計:最初から外部メンバー用OUを切っておく

業務委託者アカウントを正社員と同じ OU(組織部門)に混在させると、後からポリシーを切り替えることが難しくなります。導入当初から「外部メンバー」専用の OU を設けておくことを推奨します。

OU 構造の例を示すと、次のようなイメージです。

  • 組織ルート
  • 正社員 OU(Workspace フルポリシー)
  • 外部メンバー OU
    • 業務委託_フルライセンス(常駐型)
    • 業務委託_CIFree(準常駐型・SSO管理目的)
  • ゲスト(Workspace Guests OU は管理コンソールが自動配置)

外部メンバー OU にはアクセスできるサービスを絞った OU ポリシーを設定することで、過剰アクセスを防げます。たとえば YouTube アクセスの無効化、個人 Google アカウントへのデータ転送制限などが典型的な設定です。OU 単位でポリシーが管理されるため、業務委託者が増えても追加の設定変更は最小限で済みます。

オフボーディング設計:契約終了時のアクセス剥奪

業務委託者のオフボーディングが漏れると、退職した正社員より深刻な問題になるケースがあります。契約上の関係が終了しているにもかかわらずアクセス権が残存すれば、情報漏洩リスクと法的リスクの両方を生みます。

フルGWSライセンス / Cloud Identity Free の場合: 管理コンソールからアカウントを停止(サスペンド)または削除します。停止するとすべてのサービスへのアクセスが即時遮断されます。データの引き継ぎが必要な場合は、アカウント停止後に移行を済ませてから削除する順序を守ります。

Workspace Guests の場合: 管理コンソールの Guests OU からゲストアカウントを削除します。招待されていた Chat スペースへのアクセスも同時に失われます。

ビジター共有の場合: 共有ファイル・フォルダのアクセス権を個別に取り消します。7日間の有効期限があるため放置しても自動期限切れになりますが、即時停止が必要な場合は共有設定から手動で削除します。

HR連携を自動化する

アカウントが残存するパターンの多くは、契約更新・終了の情報が IT 部門に届いていないことが原因です。実務上の推奨フローは次の3ステップです。

  1. 契約部門(総務・HR)が業務委託契約の開始・終了日を管理台帳(Google スプレッドシートで十分)に記録する
  2. 終了日の1週間前に IT 部門へアラートを送る(当日対応では引き継ぎや確認が間に合わないケースが多いため。Google Apps Script でスプレッドシートのトリガーから Gmail 送信するだけで実現できる)
  3. 終了当日にアカウント停止 → 1週間後にデータ移行の完了確認 → アカウント削除

GAS によるアラート自動化は数行程度のコードで実装でき、追加のツール購入も不要です。管理台帳と IT アクションを連動させる仕組みが、オフボーディングの抜け漏れを構造的に防ぎます。

非管理デバイスとCAAの連携ポイント

業務委託者が使うデバイスは、多くの場合「非管理デバイス」、つまり組織の MDM(モバイルデバイス管理)に登録されていない個人・クライアント所有の端末です。こうした非管理デバイスからのアクセスを制御するには、CAA(Context-Aware Access / コンテキスト アウェア アクセス)が有効です。

CAA はアクセスレベルを定義し、IP アドレス・デバイス状態・OS バージョン等の条件を満たさないデバイスからのアクセスをブロックまたは制限できます。ただし、業務委託者アカウントに CAA を適用するには以下の条件があります。

  • フルGWSライセンス: CAA を利用できるのは Enterprise Standard・Enterprise Plus 等の代表的な上位エディションのみ(公式ヘルプより)。Business Starter・Standard・Plus は対象外
  • Cloud Identity Free: CAA の適用には Cloud Identity Premium への移行が必要。Free Edition では利用できない
  • ゲスト招待: CAA ポリシーの直接適用は対象外

100名規模の企業で全員に Enterprise Standard を適用するのはコスト的に重い選択です。CAA が難しい環境での現実的な対策として、次の組み合わせが有効です。

  1. 業務委託者アカウントを専用の OU に配置し、アクセスできるサービスを管理コンソールから絞り込む
  2. 機密情報を格納する共有ドライブの外部共有設定で、アクセスできる範囲を「組織内ユーザーのみ」に制限する
  3. 特定の機密プロジェクトに関与する業務委託者のみ Cloud Identity Premium に移行し、当該グループに CAA ポリシーを適用する

CAA は「全員に一律適用する」よりも、取り扱う情報の機密度に応じて Premium 移行の範囲を絞ることで費用対効果を高められます。

まとめ:判断の3軸と、見落としやすい管理台帳

業務委託者へのアクセス設計は、次の3軸で整理できます。

① 業務頻度・関与深度: 常駐型はフルライセンス、準常駐型はCI Free、スポット型はビジター共有が基本線です。

② 必要なアプリ・サービス: Gmail・Calendar が必要ならフルライセンス確定。社外 SaaS への SSO 管理が必要なら CI Free。ファイル閲覧・コメントのみならゲスト招待で足ります。

③ オフボーディングの確実性: アカウント単位で管理できる CI Free・フルライセンスのほうが、ゲスト招待より確実にアクセスを剥奪できます。

ただし、どの選択肢を選んでも「誰が今どのアクセス権を持っているか」を契約台帳と連動して追跡できていないと、オフボーディングは機能しません。アカウントの種類を最適化するのと同時に、業務委託者台帳(契約期間・担当アカウント・OU 配置・利用サービス)を整備することが、GWS 権限設計の第一歩です。

OU 設計だけ先行して台帳がないと、半年後に「このアカウントは誰のものか」が分からなくなります。設計フェーズと台帳整備は必ずセットで進めます。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。