B-09:パスワードが多すぎて管理できない —会社でやるべき正しい管理法と記録すべきIDの一覧
氾濫するパスワードの正しい管理方法とは?
会社で記録すべきID・パスワードの全リスト/やってはいけない管理の3つのNG/ExcelかアプリかITリテラシー別の判断基準/作ったあとの「保管・共有・更新」ルール
「パスワードを忘れてしまって、ログインできなくなった」「担当者が辞めたら、あのシステムに誰も入れなくなった」。こういった話は、中小企業の現場でしょっちゅう聞きます。
パスワードの管理は、地味なテーマです。でも、いざ問題が起きると業務が止まり、最悪の場合は情報漏洩につながる。経営者として、最低限の仕組みだけは整えておきたい部分です。
この記事では、「今日からすぐ動ける」を優先して書きました。難しいシステムを入れる話ではありません。まず何を記録すべきか、どこに保管すべきか、それだけ整理していただければ十分です。
うちの会社のパスワード、全部でいくつある?まず棚卸しから始める
突然ですが、質問です。今、御社で使っているパスワードの数を、すぐに答えられますか?
多くの会社では、これがすぐに出てきません。パスワードというのは、気がつかないうちに増えていくものです。たとえば、こんなものがあります。
- Windowsのログインパスワード
- メールアカウント(複数あることも)
- 会計ソフト・給与ソフト
- インターネットバンキング
- 取引先のWebサイト発注システム
- 役所・行政の電子申請システム
- ルーター・Wi-Fiのアクセスポイント
- NASやサーバーの管理画面
- Adobe、Microsoft 365などのサブスクリプション
- モノタロウなど、よく使うECサイト
数えてみると、20〜40個になる会社はざらです。大事なのは「全部で何個あるか」ではなく、「会社として管理すべきものが、どこに何個あるか」を把握しているかどうかです。まずはこの棚卸しを、この記事を読みながらやってみてください。
絶対にやめてほしいパスワード管理の3つのNG
棚卸しを始める前に、現場でよく見かける「やってはいけない管理方法」を確認しておきます。
① 使い回し(1個バレたら全部アウト)
「覚えきれないから、全部同じパスワードにしている」。正直に話してくださる経営者の方が、意外と多いです。気持ちはよくわかります。でもこれは非常に危険です。1つのサービスからパスワードが流出した瞬間に、同じパスワードを使っているすべてのサービスに不正アクセスされるリスクがあります。
どこかから流出したID・パスワードの組み合わせを、別のサービスに片っ端から試していく攻撃手法です。パスワードを使い回していると、この攻撃がそのまま刺さります。
少なくとも、インターネットバンキング・メール・業務システムの3つは、それぞれ別のパスワードを設定することを最低ラインとして守ってください。
② 付箋・メモ帳・Excelの野良ファイル
モニターの横に付箋でパスワードを貼っている。訪問先でよく見かける光景です。来客があれば誰でも見えます。清掃業者さんにも見えます。
メモ帳やExcelファイルも、「デスクトップに保存」「ファイル名がpassword.xlsx」では意味がありません。パソコンが盗まれたとき、あるいはウイルスに感染したときに、真っ先に抜き取られます。記録する場所を決めることは必要です。ただし、「誰でもすぐ見られる場所」に置かないこと。後述する保管方法を参考にしてください。
③ 「担当者の頭の中」だけにある状態
これが一番、経営上のリスクになります。「あのシステムのパスワードはAさんしか知らない」。Aさんが急に退職した、入院した、そうなった瞬間に会社が困ります。
私が支援している会社でも、担当者の退職後に会計ソフトへのログインができなくなり、決算作業が一時ストップしたというケースがありました。パスワードの再設定手続きに数日かかり、その間は税理士さんとのやり取りも止まってしまいました。
📌 ポイント
パスワードは「会社の資産」です。特定の個人の頭の中だけに置いておくことは、経営リスクになります。
今日から使える。会社で記録すべきID・パスワード全リスト
では、具体的に何を記録すればいいのか。カテゴリ別にまとめます。これをそのままExcelやメモに転記して、「うちで使っているもの」にチェックを入れながら埋めていくと、棚卸し表が完成します。
業務システム・クラウドサービス系
| 種別 | 記録すべき情報 |
|---|---|
| Windowsログイン | ユーザー名・パスワード(社員ごと) |
| Microsoft 365 / Google Workspace | 管理者アカウントのID・パスワード |
| 会計ソフト(弥生・freeeなど) | ログインID・パスワード・ライセンスキー |
| 給与ソフト | ログインID・パスワード・ライセンスキー |
| 販売管理・在庫管理システム | ログインID・パスワード・サポート連絡先 |
| 取引先の受発注Webシステム | 取引先名・URL・ID・パスワード |
| メールアカウント | メールアドレス・パスワード・サーバー設定情報 |
| ビジネスチャット(ChatworkなどSaaS) | 管理者ID・パスワード |
ネットワーク・機器系
| 種別 | 記録すべき情報 |
|---|---|
| インターネット回線(プロバイダ) | 契約ID・パスワード・サポート電話番号 |
| ルーター管理画面 | IPアドレス・管理者ID・パスワード |
| Wi-Fiアクセスポイント | SSID・パスワード(社員用・来客用) |
| NAS・ファイルサーバー | 管理者ID・パスワード・IPアドレス |
| 複合機・プリンター管理画面 | IPアドレス・管理者ID・パスワード |
金融・行政・契約系
| 種別 | 記録すべき情報 |
|---|---|
| インターネットバンキング | 契約ID・ログインパスワード・確認用パスワード・ワンタイムパスワードの設定方法 |
| 法人クレジットカード(Web明細) | ログインID・パスワード |
| e-Tax・eLTAX | 利用者識別番号・暗証番号 |
| 社会保険・算定基礎届などのWebシステム | ID・パスワード |
| ドメイン管理会社 | ログインID・パスワード・更新期限 |
| サーバー・ホスティング会社 | ログインID・パスワード・契約者名義 |
| Adobe・Microsoft等サブスク | 登録メールアドレス・パスワード・支払いカード情報 |
全部埋める必要はありません。「うちに関係するもの」だけ拾ってください。それでも、書き出してみると「こんなに使っていたのか」と気づくことがあります。
管理ツールはExcelか専用アプリか?社員数・ITリテラシー別の判断基準
記録する内容が決まったら、次は「どこに保管するか」です。大きく分けると、Excelなどのファイルで管理するか、パスワード管理専用のアプリを使うかの2択になります。
手軽に始められるのが最大のメリット。特別なツールを覚える必要がなく、社員全員がすぐに使えます。①必ずファイルにパスワードをかける ②ファイル名に「パスワード」と入れない ③クラウドストレージに保存してアクセス権を管理者に限定する。この3点だけ守れば十分機能します。
「1Password」「Bitwarden」などのツールは、パスワードを暗号化して安全に保管し、複数人での共有も管理しやすくなります。ただし、ツール自体の習得コストがかかります。社員のITリテラシーがある程度高く、クラウド共有に慣れている会社向けです。
📌 現場からの判断基準
社員10名以下・ITに不慣れな会社はExcel管理から始め、慣れてきたら専用ツールへ移行するのが現実的です。いきなり専用ツールを導入して、誰も使わなくなるケースを何度も見てきました。
記録したら終わりではない。保管・共有・更新のルールを決める
パスワードリストを作っただけで満足してしまう会社が多いのですが、「作る」と「運用する」は別の話です。
紙に印刷して金庫に入れる場合は、最新版を維持する仕組みが必要です。デジタルで管理する場合は、アクセスできる人を「管理者+代替担当者の2名」に絞り、社員全員が見られる共有フォルダには置かないようにしてください。
「誰がどのパスワードを知っているか」を経営者が把握しておきましょう。担当者が変わるときは、引き継ぎの中にパスワード情報の確認を必ず入れてください。特に注意が必要なのが「社長しか知らない情報」の扱いです。以前、訪問先の会社でパスワード一覧を見せていただいたとき、インターネットバンキングだけが空欄になっていました。「社長しか知らないので聞いていません」とのこと。社長が急に入院されたとき、誰も銀行振り込みができない状態は経営リスクです。信頼できる1名に共有するか、封書に書いて金庫に保管するか、緊急時の備えだけはしておいてください。
社員が退職したら、その社員が知っていたパスワードはすべて変更します。年1回、棚卸し表を見直す機会を設けると、使っていないサービスの解約にもつながります。パスワードを変更したら、必ずリストを更新することを徹底してください。
この3つのルールをあらかじめ決めておくだけで、管理の質が大きく変わります。「誰が、どこに、どうやって記録するか」を決める、それだけです。
お客様から新PCの設置を依頼されたとき、私は必ずその場でメモを取ります。具体的には次のものです。
- コンピューター名
- Windowsのユーザー名とパスワード
- メールアドレスとメールパスワード
- Microsoft Officeのアカウント(ID・パスワード)
- Gmailアカウント(Chromeに保存されたパスワードを含む)
- 社内無線LANのパスワード
- そのほかインストールされているソフトのパスワード
「設置のついでにメモするだけ」と思われるかもしれませんが、これが後々とても役に立ちます。PCが壊れたとき、担当者が変わったとき、このメモが会社を助けます。新しいPCを買ったとき、設定が終わったその日に記録しておく。それだけで、将来のトラブルがかなり防げます。
この記事のまとめ
- 会社のパスワードは気づかないうちに増える。まず棚卸しから始める
- 使い回し・付箋管理・担当者の頭の中だけ、の3つは今すぐやめる
- 記録すべきIDは「業務システム」「ネットワーク・機器」「金融・行政・契約」の3カテゴリで整理する
- 管理ツールはExcelで十分。暗号化・アクセス制限・ファイル名の工夫だけは必ず行う
- 作ったら終わりではなく、「保管・共有・更新」のルールをセットで決める
