共有アカウント管理で最初に決めるべきことは、「誰が」「どのアカウントに」「いつまでアクセスできるか」を曖昧にしないことです。
中小企業や個人事業主では、代表メール、SNS、広告管理画面、会計ソフト、WordPress、クラウドストレージなどを複数人で使う場面がよくあります。そのたびにIDとパスワードをチャットやスプレッドシートで渡していると、退職者や外注先のアクセスが残ったままになりやすく、事故の原因になります。
この記事では、共有アカウント管理の基本、危ない運用、改善手順、パスワード管理ツールの使いどころを、中小企業・小規模法人・個人事業主向けに整理します。
- 共有アカウントは「全員が同じパスワードを知る」状態を減らす
- 理想は個人ごとの権限付与、難しい場合はパスワード管理ツールで共有履歴を残す
- 退職者、外注先、業務終了時の権限削除ルールを先に決める
- 多要素認証と棚卸しをセットで回す
共有アカウント管理とは
共有アカウント管理とは、複数人が使うログイン情報を、誰が使えるのか分かる形で管理することです。
対象になりやすいのは、次のようなアカウントです。
- 代表メール
- WordPress管理画面
- クラウドストレージ
- SNSアカウント
- 広告管理画面
- 会計ソフト、請求書ソフト
- ECや予約システム
本来は、共有アカウントそのものを減らして、個人ごとに権限を付与できる仕組みが理想です。ただし、小さな会社ではサービスによっては代表アカウントを共用せざるを得ないこともあります。その時に重要なのが、共有そのものより、管理の仕方です。
危ない共有方法
中小企業でよくある危ない共有方法は次の通りです。
| 共有方法 | 何が危ないか | 起きやすい問題 |
|---|---|---|
| チャットで平文送信 | 履歴に残り続ける | 退職後も見返される、転送される |
| スプレッドシート管理 | 閲覧者が増えやすい | 誰が見たか分かりにくい |
| 紙や付箋 | 紛失しやすい | 社外持ち出し、写真撮影 |
| 全サービスで同じパスワード | 漏えい時の被害が大きい | 他サービスへ連鎖ログイン |
| 退職後も変更しない | 元メンバーが知ったまま | 不正ログイン、情報持ち出し |
IPAの中小企業向け情報セキュリティ対策ガイドラインでも、パスワードの使い回し防止、多要素認証、権限管理の重要性が示されています。小さい会社ほど、担当者が少ないぶん「そのままにしやすい」ことが問題です。
中小企業で事故が起きやすい場面
共有アカウント管理の事故は、特別な攻撃がなくても起きます。よくあるのは次の場面です。
1. 外注先に一時的に渡したまま戻していない
サイト修正、広告運用、デザイン、経理補助などで外注先へログイン情報を渡したあと、業務終了後もアクセスを切っていないケースです。
2. 退職者が知っていたパスワードを変更していない
社員やアルバイト、家族スタッフが辞めた後でも、共有アカウントのパスワードが変わっていないと、意図せずアクセス可能な状態が続きます。
3. 誰が何を使えるのか把握できていない
「たぶんあの人も入れる」「昔の担当が設定した」状態になると、棚卸しも削除もできません。事故の予防ではなく、事故後の原因追跡も難しくなります。
共有アカウント管理のやり方
小さな会社で最初に整えるべき順番は、次の5ステップです。
1. 共有アカウントを一覧化する
まず、何のアカウントがあるのかを洗い出します。メール、サーバー、SNS、広告、会計、請求書、クラウド保存先、EC、予約システムなどを1つの一覧にします。
2. 利用者を決める
各アカウントごとに「今アクセスが必要な人」を明確にします。全員に見せる前提をやめて、必要な人だけに絞ります。
3. 個人権限で済むものは共有をやめる
Google、Microsoft、Meta、各種SaaSのように、個人招待と権限付与ができるサービスは、共有パスワード方式をやめた方が安全です。
4. 共有が必要なものはパスワード管理ツール経由にする
どうしても共有が必要な場合は、チャットやスプレッドシートではなく、共有履歴と権限管理ができるツール経由にします。
5. 終了時の削除ルールを決める
退職、契約終了、担当変更のたびに、誰が、いつ、何を消すかを先に決めます。ここが決まっていないと、共有アカウント管理はすぐ崩れます。
| 手順 | やること | 目的 |
|---|---|---|
| 一覧化 | アカウント名、用途、管理者を記録 | 棚卸しできる状態にする |
| 利用者整理 | 必要な人だけに絞る | 見える人数を減らす |
| 個人権限化 | 招待型サービスへ切り替える | 共有パスワードを減らす |
| 安全な共有 | 管理ツール経由に統一 | 履歴と統制を残す |
| 終了ルール | 退職、外注終了時に削除 | 不要アクセスを残さない |
パスワード管理ツールを使うべき理由
共有アカウント管理でパスワード管理ツールを使う理由は、単に保管が楽になるからではありません。
- 誰に共有したか分かりやすい
- 必要に応じて共有停止しやすい
- 使い回しを減らしやすい
- 強いパスワードを生成しやすい
- 退職や担当変更時の整理がしやすい
ツールの基本は、「知っている人を増やす」のではなく「見せる権限を管理する」方向に変えることです。詳細は、すでにある パスワード管理ツールの記事 と合わせて読むと全体像がつながります。
端末保護まで含めて考えるなら、セキュリティソフト比較 も一緒に見ておくと実務で抜け漏れが減ります。
共有アカウントを減らしやすいサービス例
実務では、「共有アカウントをなくせるサービス」と「まだ共有が残りやすいサービス」を分けて考えると進めやすいです。
| サービス例 | おすすめの管理方法 | 理由 |
|---|---|---|
| Google Workspace、Microsoft 365 | 個人ごとの招待、役割付与 | 誰が何をしたか追いやすい |
| Meta広告、Google広告 | ビジネスマネージャー経由で権限付与 | 代理店や外注先を切り離しやすい |
| WordPress | 編集者、管理者など役割で分ける | 全員に管理者を渡さずに済む |
| 古い契約サービスや一部のEC | 共有が必要なら管理ツール経由 | 個人権限が弱いことがある |
「サービスごとに共有の前提が違う」と理解しておくと、全部を同じ方法で無理に管理しようとせずに済みます。
退職者と外注先で失敗しないルール
共有アカウント管理が崩れやすいのは、入れる時より出す時です。次のルールを決めておくと事故を減らしやすくなります。
退職時のルール
- 最終出社日までにアクセス一覧を確認する
- 個人招待型の権限を停止する
- 共有アカウントのパスワードを変更する
- 多要素認証の登録端末も見直す
外注終了時のルール
- 作業完了日に共有権限を外す
- 必要ならパスワードを再発行する
- 不要な管理者権限を外す
- バックアップコードや復旧メールも確認する
特にWordPress、Googleアカウント、広告アカウント、クラウド保存先は、作業権限だけでなく復旧手段まで残っていないかを見る方が安全です。
多要素認証もセットで見直す
共有アカウント管理では、パスワードだけを変えても十分ではありません。多要素認証の登録端末や認証アプリが、退職者や外注先のスマホに残っていないかも確認が必要です。
とくに次の項目は見落としやすいです。
- SMS認証先の電話番号
- 認証アプリを入れた端末
- バックアップコードの保存先
- 復旧メールアドレス
アクセス権だけ外しても、復旧手段が残っていれば再度入り込まれる余地が残ることがあります。
最低限のチェックリスト
小さい会社でまず確認したい最低限のチェックリストは次の通りです。
- 共有アカウントの一覧がある
- 管理者が決まっている
- チャットやスプレッドシートで平文共有していない
- 退職者、終了した外注先のアクセスを外している
- 多要素認証を設定している
- 半年ごとに棚卸しする日を決めている
この6つが揃っていないなら、共有アカウント管理はまだ不十分です。いきなり完璧を目指さなくても、まずは一覧化と削除ルールだけでも先に決める価値があります。
月1回の棚卸しで見る項目
共有アカウント管理は、作って終わりではなく、定期的に見直すことで崩れにくくなります。月1回または四半期に1回でも、次を確認すると事故を減らしやすいです。
- 今月新しく渡したアカウントがあるか
- 終わった外注先や退職者の権限が残っていないか
- 管理者権限が必要以上に増えていないか
- 多要素認証の設定が外れていないか
- パスワード管理ツールの共有先が古くなっていないか
人数が少ない会社ほど、「いつかまとめてやろう」で放置されがちです。棚卸し日を先に決めてしまう方が現実的です。
まとめ
共有アカウント管理で一番危ないのは、「みんな使えているから大丈夫」と思っている状態です。実際には、誰が使えるのか分からない、退職後もアクセスが残る、パスワードを変えていない、という積み重ねが事故につながります。
中小企業や個人事業主なら、まずは共有アカウントの一覧化、個人権限化できるものの切り分け、パスワード管理ツール経由の共有、多要素認証、終了時の削除ルールの5点を整えるのが現実的です。
よくある質問
共有アカウント管理とは何ですか?
複数人が使うログイン情報を、誰がどこまで使えるか分かる形で管理することです。単なるパスワード共有ではなく、権限管理まで含みます。
中小企業でも共有アカウント管理は必要ですか?
必要です。少人数だからこそ、退職者や外注先のアクセスが残りやすく、事故が起きた時の影響も大きくなりやすいです。
スプレッドシート管理ではだめですか?
閲覧履歴や権限整理が曖昧になりやすいため、おすすめしにくいです。少なくとも平文共有は避けた方が安全です。
外注先に一時的に渡す場合はどうすればいいですか?
理想は個人招待型の権限付与です。難しい場合でも、作業完了日を決めて共有を止める前提で渡し、終了後に変更や削除を行ってください。
パスワード管理ツールだけ入れれば安心ですか?
それだけでは不十分です。多要素認証、権限整理、棚卸し、端末保護まで合わせて整える方が安全です。
コメント