共有パスワードを付箋・Excelで管理する小規模事業者様へ|安全な見直し手順
「業務サービスのパスワードを付箋に書いている」
「Excelへ一覧化したが、全員がすべてのパスワードを見られる」
「担当者様しかログイン方法を知らず、休むと業務が止まる」
小規模事業者様では、少人数だからこそ一つのアカウントを複数人で使い、付箋、通常の表計算ファイル、メール、チャットなどでパスワードを受け渡してしまうことがあります。しかし、共有先が増えるほど、誰が利用できるのか、担当変更後に残っていないか、漏えい時に何を変えるべきかを追いにくくなります。
安全な見直しは、いきなりすべてのパスワードを変更することではありません。利用中サービスを棚卸しし、共有IDを減らし、保管方法と復旧手順を一組で決めることから始めます。
付箋・Excel・チャット共有で困りやすいこと
方法ごとの問題を整理すると、優先して直す場所が見えます。
| 現在の方法 | 困りやすいこと | 最初の見直し |
|---|---|---|
| 付箋やノート | 紛失、盗み見、古い情報の残存に気づきにくい | 保管場所と閲覧者を限定する |
| 通常のExcel・共有表 | ファイルを開ける人が全情報を見られ、コピー後の回収が難しい | パスワード本文と管理台帳を分ける |
| メール・チャット | 履歴、通知、転送先へ認証情報が残る | パスワードをメッセージで再送しない |
| ブラウザへの個人保存 | 端末や個人アカウントに管理が寄り、引き継ぎにくい | 事業用と個人用を分ける |
| 共有IDを全員で利用 | 操作した人を特定しにくく、退職時に全員分の変更が必要になる | 利用者別IDを発行できるか確認する |
表計算ソフトを管理台帳として使うこと自体が直ちに問題なのではありません。台帳には、サービス名、用途、契約者、管理者、利用者、認証方法、見直し日などを記録し、パスワードそのものは書かない運用にすると、棚卸しへ活用できます。
IPAのガイドラインから確認できる基本
IPAが2026年3月に公開した中小企業の情報セキュリティ対策ガイドライン 第4.0版では、共有IDはなるべく使わず、やむを得ず使う場合は利用者を特定できる仕組みを整えること、パスワードの使い回しを防ぐルールを定めることが示されています。また、紙、ファイル、パスワード管理アプリなど、保管方法の違いを理解して自社の管理ルールを決めるよう案内しています。
IPAの不正ログインに関する注意喚起では、パスワードを長く、複雑にし、使い回さないことに加え、多要素認証の設定が推奨されています。多要素認証とは、パスワードに加えて、認証アプリやセキュリティキーなど別の要素も使って本人確認する方法です。
つまり、対策は「複雑なパスワードを作る」だけでは足りません。
- 利用者ごとのIDを使う
- サービスごとに異なるパスワードを使う
- 保管できる人を必要最小限にする
- 重要なサービスでは多要素認証を有効にする
- 担当変更や紛失時の復旧方法を決める
この5点を運用として続けられる形にします。
共有パスワードを見直す7つの手順
1. 利用中サービスを棚卸しする
まず、業務で利用しているサービスを一覧にします。
- 業務メール、クラウドストレージ
- 会計、請求、予約、顧客管理
- ホームページ、ドメイン、サーバー
- SNS、LINE公式アカウント、広告管理
- Wi-Fi、複合機、NAS、監視カメラ
- パソコンやスマートフォンの管理アカウント
この段階ではパスワードを集めません。サービス名、用途、契約者、管理者、利用者、支払い、認証コードの受取先だけを確認します。
2. 重要度と停止時の影響を分ける
すべてを同時に直すと、ログインできなくなったときの影響が大きくなります。次の順に優先度を付けます。
- メール、ドメイン、クラウドなど、他サービスの復旧にも使うもの
- 会計、顧客情報、決済など重要情報を扱うもの
- ホームページやSNSなど外部公開に関わるもの
- 一時停止しても代替手段があるもの
最初は重要度の高い一つか二つを対象にし、変更前の復旧方法を確認してから進めます。
3. 利用者別IDへ切り替える
サービスが複数ユーザーに対応しているなら、共有IDを使い続けず、担当者様ごとのIDを発行します。閲覧、編集、請求、管理者などの権限を分け、日常利用者へ管理者権限を付けすぎないようにします。
サービスの契約上、共有IDしか使えない場合は、利用できる担当者様を限定し、利用日時と作業内容を記録します。共有を増やす前に、プランや利用規約で複数人利用が認められているかも確認してください。
4. 保管方法を選ぶ
事業向けのパスワード管理ツールを検討するときは、製品名だけで決めず、次の機能と運用を確認します。機能の有無はサービスや契約プランによって異なります。
- 利用者ごとに保管庫や閲覧権限を分けられるか
- 管理者が利用者を追加・停止できるか
- 管理者アカウントへ多要素認証を設定できるか
- 操作履歴や変更履歴を確認できるか
- 緊急時の復旧方法が明記されているか
- 解約や乗り換え時に必要な情報を出力できるか
- 日本語の案内や問い合わせ窓口が必要か
一方、導入しただけで安全になるわけではありません。管理ツール自体のログイン情報と復旧手段は、特に慎重に管理します。
5. 多要素認証と復旧手段をセットで設定する
メール、クラウド、会計、ドメインなど重要なサービスでは、提供されている多要素認証を有効にします。同時に次を確認します。
- 認証アプリを入れる事業用端末
- バックアップコードの保管責任者
- 復旧用メールアドレスと電話番号
- 端末を紛失したときの連絡手順
- 責任者様が不在でも復旧できる方法
認証コードを全員が見られるチャットへ貼る運用は避けます。担当者様個人の端末だけへ依存せず、事業として引き継げる方法を決めます。
6. 古い共有情報を整理する
新しい管理方法へ移した後は、メール、チャット、共有フォルダ、机の付箋などに古いパスワードが残っていないか確認します。削除できない履歴がある場合は、対象パスワードを変更し、古い情報ではログインできない状態にします。
変更は一度に行わず、サービスごとに次を記録します。
- 変更日
- 管理者
- 利用確認をした担当者様
- 多要素認証の設定状況
- 復旧手順の確認結果
7. 担当変更と定期点検のルールを作る
担当者様の退職や異動が決まってから探し始めるのではなく、管理台帳を定期的に確認します。少なくとも、担当変更、端末紛失、不審なログイン通知、外部委託の終了があったときは、権限と認証方法を見直します。
担当変更時の確認項目は、退職・担当変更時のアカウント整理チェックリストでも詳しく解説しています。
不審なログインや漏えいが疑われるとき
不審な通知が届いた場合は、メール本文のリンクからログインせず、普段使っている公式サイトやアプリを直接開いて確認します。詐欺メールの見分け方は、社長・取引先を装う振込依頼メールの確認手順も参考にしてください。
事実確認ができたら、サービス提供元の案内に従い、影響するアカウントのパスワード変更、セッションの終了、利用端末と転送設定の確認を行います。同じパスワードを他サービスでも使っていた場合は、影響範囲を洗い出して個別のパスワードへ変更します。
※不正アクセスや情報漏えいが発生した可能性がある場合は、証拠となる通知やログを慌てて消さず、サービス提供元や専門窓口へ相談してください。
よくある質問
Excelで管理してはいけませんか?
Excelをサービス台帳として使い、契約者、管理者、利用者、認証方法、見直し日を管理する方法はあります。ただし、パスワードそのものを通常の共有ファイルへ並べると、閲覧範囲と複製後の管理が難しくなります。台帳とパスワードの保管先を分けてください。
パスワードは定期的に変更すれば安全ですか?
定期変更だけでは、使い回し、共有範囲、管理者権限、多要素認証、復旧手段の問題は解決しません。漏えいが疑われるときや担当変更時は速やかに変更し、平常時はサービスごとに異なる推測されにくいパスワードと適切な保管を維持することが重要です。
少人数でも事業向けの管理が必要ですか?
人数より、扱う情報と停止時の影響で判断します。メール、会計、顧客情報、ドメインなどを使う場合は、少人数でも管理者、利用者、認証、復旧の役割を決めておくと、担当者様の不在時にも対応しやすくなります。
まとめ
共有パスワードの見直しは、ツール選びから始めるのではなく、利用中サービスと管理者の棚卸しから始めます。
- 利用中サービスと認証方法を一覧にする
- 共有IDを減らし、利用者別IDと権限へ分ける
- パスワード本文と管理台帳を分ける
- 重要なサービスで多要素認証と復旧方法を設定する
- 担当変更や不審な通知があったときの手順を残す
MAO工房では、パスワードそのものをお預かりせず、現在の管理方法、利用中サービス、担当者様の役割を確認しながら、安全に移行する順番を整理します。PC業務コンサルティング、PC全般サポート、料金の考え方をご確認のうえ、困っている範囲が曖昧な場合もまずは無料相談からお問い合わせください。
MAO工房に相談できます
業務アカウントの保管・共有・引き継ぎを整理しませんか?
MAO工房では、利用中サービスの棚卸し、管理者と利用者の分離、多要素認証、担当変更時の手順まで、小規模事業者様の環境に合わせて整理します。
- ✓ 利用中アカウントを棚卸し
- ✓ 保管方法と権限を見直し
- ✓ 引き継ぎ手順を明文化