情報漏洩の原因にもなりかねない「パスワードの使い回し」。頭ではリスクを理解していても、増え続けるログイン情報の整理に追いつかないビジネスパーソンも多いのではないでしょうか。
今回のビジネスパーソン300人アンケート調査では、パスワード使い回し率は52.3%。これを職位別に分解すると、管理職は72.1%、非管理職は43.1%と、29.0ポイントもの開きが現れました。
組織のセキュリティ方針を主導する立場である管理職ほど、"使い回し"が常態化している──その逆説的な実態と解決の糸口を探ります。
【調査概要】
- 調査対象:マイナビニュース会員のビジネスパーソン 300人(うちIT関連技術職149人)
- 調査期間:2026年5月27日~6月22日
- 調査方法:インターネットアンケート
- 属性分布:管理職層 86人(課長クラス、部長クラス、経営者・役員)、非管理職層 197人(一般社員、係長・主任クラス)、その他 17人
管理職の72.1%がパスワードを使い回し - 非管理職層の43.1%と大きな開き
まず提示したいのが、本調査で最もインパクトの大きかった数字です。「業務で使うパスワードを2つ以上のシステムで使い回しているか」を尋ねたところ、全体の52.3%が「使い回している」と回答しました。半数を超える回答者が、複数システムで同じパスワード(あるいは類似のパスワード)を運用しているのが実態です。
さらに、この数字を職位別に分解すると明確な偏りが現れます。
| 職位別のパスワード使い回し率 | |
|---|---|
| 管理職層 | 72.1% |
| 全体 | 52.3% |
| 非管理職層 | 43.1% |
管理職層は72.1%が使い回しを認めており、非管理職層の43.1%を29.0ポイント上回りました。組織のセキュリティポリシーを定め、現場に運用を求める立場の層ほど、自らパスワードを使い回している。そんな構図がデータから確認できます。
なぜ、ここまでの差が生まれるのでしょうか。手がかりは、次に紹介する「ついやってしまうこと」の回答分布に潜んでいます。
「末尾だけ変える」「付箋を貼る」 - 管理職が「ついやってしまう」行動
「業務用パスワードの管理でついやってしまうこと」を複数回答で尋ねた結果を職位別にまとめたのが下記のグラフ・表です。
| パスワード管理で「ついやってしまうこと」(複数回答、職位別) | ||
|---|---|---|
| 項目 | 管理職層 | 非管理職層 |
| 末尾の数字や 記号だけを変える |
39.5% | 28.9% |
| チーム内で 共通パスワードを使い回す |
25.6% | 12.2% |
| 私物のスマホ等に メモを保存する |
23.3% | 18.3% |
| 紙の付箋を PCやデスク等に貼る |
20.9% | 11.7% |
| 推測されやすい 単語や生年月日を設定する |
16.3% | 8.6% |
| あてはまるものはない | 22.1% | 39.6% |
「ついやってしまう」5つの項目すべてで、管理職層の選択率が非管理職層を上回りました。とりわけ差が大きかったのは、チーム内で共通パスワードを使い回す(13.4pt差)、末尾だけを変える(10.6pt差)、紙の付箋を貼る(9.2pt差)といった行動です。
逆に「あてはまるものはない」は非管理職層が39.6%で、管理職層の22.1%を17.5ポイント上回っています。管理職層のほうがNG行動を直せずにいると読める分布です。
象徴的だったのは、自由回答欄に記された50代部長の日常感情でした。
「社給PCのパスワードを3回間違えると、PCがロックされ使えなくなるので、毎回ドキドキします」(54歳・IT関連技術職・部長クラス)
セキュリティを指示する側であるはずの管理職もまた、ロックアウトに怯えながらキーボードに指を置いているのです。
似たようなコメントは若手IT職からも届いています。
「少しずつパスワードを変えていたらどれがどれかわからなくなった」(27歳・IT関連技術職・一般社員)
末尾を少しずつ変えていった結果、自分でも区別がつかなくなる──「完全な使い回し」と「都度変更」の中間で起きる、もう一つのあるあるです。
「紙の付箋をPCやデスク等に貼る」については、IT系の管理職からヒヤリとするインシデント談が寄せられました。
「付箋に書いたパスワードを他人に見られてしまった」(57歳・IT関連技術職・課長クラス)
付箋を貼るという手軽なソリューションを選んだ代償が、他人の目というかたちで現実のリスクとして顕在化する。情報漏洩の入り口は、必ずしも高度なサイバー攻撃の側にあるとは限らないのです。
では、こうした「ついやってしまう」行動を、組織としてどう食い止めればよいのでしょうか。実は、パスワード管理ツールやアプリを採用している企業では、使い回し率が30.3%まで下がると読み取れるデータが浮かび上がりました。今回のアンケート調査で尋ねた「管理方法」に解決のヒントが隠れていそうです。
業務用パスワードの管理方法 - ブラウザ保存/ファイル/記憶/紙が拮抗
「管理方法」のヒントを探る前提として、まずアンケートの回答者300人がどの管理方法を主に使っているのか、その分布から見ていきましょう。
| 業務で使用するパスワードの主な管理方法 | |
|---|---|
| Webブラウザの保存機能 | 22.3% |
| PCファイル(テキスト、Excelなど) | 23.7% |
| 自分の記憶のみ | 22.3% |
| 紙(ノート、手帳、付箋など) | 20.7% |
| 会社指定の管理ツール・アプリ | 11.0% |
Webブラウザの保存機能、PCファイル、自分の記憶のみ、紙──これら4つの管理方法は20%台で並んでおり、いわば「個人まかせ」となっている様子が伺えます。一方、会社指定の管理ツール・アプリは11.0%にとどまり、5択のなかで最も少数派でした。
使い回し率を30.3%まで抑える管理ツール - Webブラウザ保存に比べ36.9pt有効
ところが、この少数派こそが他を引き離して、最も低い「使い回し率」を示します。管理方法ごとに使い回し率をクロス集計した結果が以下のグラフ・表です。
| 管理方法別のパスワード使い回し率 | |
|---|---|
| 管理方法 | 使い回し率 |
| Webブラウザの保存機能 | 67.2% |
| PCファイル(テキスト、Excelなど) | 59.2% |
| 自分の記憶のみ | 50.7% |
| 紙(ノート、手帳、付箋など) | 41.9% |
| 会社指定の管理ツール・アプリ | 30.3% |
パスワードの「使い回し率」が最も高かったのは、Webブラウザの保存機能を主に使う層の67.2%。続いてPCファイルが59.2%、自分の記憶が50.7%、紙が41.9%。そして最も低く抑えられたのが、会社指定の管理ツール・アプリを使う層の30.3%でした。ブラウザ保存と会社指定ツールを比較すると、36.9ポイントもの差があります。
パスワードの自動生成や自動入力の機能は、Webブラウザの保存機能にも、専用の管理ツールにも備わっています。しかし、パスワード管理ツール・アプリを正式に採用している企業であれば、ツール導入と同時に運用ルールの整備や周知徹底にもリソースを割いている――そんな背景が、36.9ポイントもの開きを生んでいると考えられそうです。
ツールを導入するだけでは片手落ち - パスワード流用の実態コメント
とはいえ、ツールの導入と運用ルールの整備をセットにしても、現場の使い回しを完全に防げるわけではない──そんな現実も、自由回答からは見えてきます。会社指定ツール利用者でルールも研修も整った環境にいる人物から、こんな自虐コメントが寄せられました。
「気がつけば同じパスワードを使い回してしまっている」(44歳・非IT関連職・課長クラス)
ルールが整備されても、現場の習慣が即座に切り替わるわけではない。組織変革のリアルが凝縮された証言もありました。
「パスワードを使い回してはいけない規定が出来た時、しばらく使い回している状態で過ごしていた」(36歳・IT関連技術職・一般社員)
パスワード管理ツールの導入は、使い回し率を引き下げる方向に作用していると数字上は読み取れます。その一方で、ツールを入れただけで安心するのは早計です。現場の声は、運用設計までセットで考えることの重要性を静かに突きつけています。
現場で起きているインシデント - 組織に求められる本質的な対策
パスワード管理の甘さは、時として組織に致命的なダメージを与えます。本調査で組織課題が最も深く描かれていたのは、次の長文証言でした。
「使いまわしの共通パスワードがある日、変更されていて、それぞれのシステムを開けなくなったことはあります。業者に依頼して何とか解除はできた。誰かが意図的に変更したのか、外部からの改ざんなのか今でも原因不明ではある。その後外部のアドバイザーからの監督を受けてパスワード管理のやり方が不十分と指摘を受けて、管理ルールをよく作る事になりました。今でも適当な管理になっている部分は残っている」(38歳・IT関連技術職・部長クラス)
共通パスワードの運用 → 不可解な変更事故 → 業者対応 → 外部指摘 → ルール整備──インシデント対応の連鎖が凝縮されています。末尾の一文からは、ルールを作っただけでは現場の運用が完全には変わらない、というシビアな現実も垣間見えます。
もっとストレートな経験談も寄せられました。
「パスワードを全部一緒にしていてパスワードが漏洩したので慌てて全部変更した」(43歳・IT関連技術職・課長クラス)
ルールや研修がある環境下でも漏洩は起きます。事後の全変更は技術的には可能でも、運用としては相当な負荷を伴う作業になるでしょう。
そして、紙管理ならではの"うっかり事例"も報告されています。
「パスワードを書いてあった紙を誤ってシュレッダーにかけてしまったことがある」(55歳・非IT関連職・係長・主任クラス)
たった一回の不注意によりすべてが失われる──。物理管理の限界が映し出されています。
300人の声を通読して浮かび上がるのは、「ルールを作る」「研修を行う」「ツールを導入する」などの個別施策が、それぞれ単独では決定打になりにくいという現実です。会社指定ツール利用者の使い回し率30.3%は、たしかに他の管理方法を大きく下回っています。しかし、ツールを導入した瞬間に使い回しが消えるわけでもなければ、研修を実施したからといって、全員の運用実態が即座に切り替わるわけでもありません。
セキュリティ部門にとって本当に難しいのは、おそらく「使い回しを禁止すること」そのものではありません。「使い回しが起きにくい運用環境」を現場の業務フローと整合させながら設計し続けること──300人の告白は、そのような課題を投げかけているのです。
住友化学が実践する工場のサイバーレジリエンス強化 - 「侵害前提」で鍛える現場対応力
