日本人の7割がパスワードを使い回している——“少数の使い回し”でも会社の情報漏えいにつながる理由

2025年の調査によると、日本の消費者の71%が何らかの形でパスワードを再利用しており、世界平均の68%を上回っているそうです。

「パスワードの使い回しは危ない」と聞くと、すべてのサービスで同じパスワードを使っている状態を思い浮かべるかもしれません。でも実際には、もっと身近な形の使い回しが多いようです。

今回の調査では、日本では「すべての個人アカウントで同じパスワードを使っている」人は13%でした。一方で、少数のパスワードを複数のサービスで使い回している人が58%を占め、世界平均の51%より高くなっていました。

つまり、多くの人は「全部同じではないから大丈夫」と思いながら、実際にはいくつかのパスワードを使いまわす危ない運用をしている可能性があります。一見すると安全そうに感じるかもしれませんが、セキュリティの観点では、これも十分に危険です。

そしてこの問題は、個人の話だけで終わりません。社員の日常的なパスワードの習慣が、会社のメール、クラウドサービス、業務アカウントのリスクにつながることがあります。

この記事では、なぜパスワードの使い回しが会社の情報漏えいにつながるのか、経営者向けにできるだけ分かりやすく整理します。

危ないのは「全部同じパスワード」だけではない

パスワードの使い回しというと、ありがちなのがこんな状態です。

• ネット通販はこのパスワード

• SNSはこのパスワード

• 仕事用アカウントは少しだけ変えた似たパスワード

• 他のサービスでも同じパターンを流用

本人としては「全部同じではない」「少し変えている」と思っていても、攻撃者から見ると試しやすい状態です。

もし1つのサービスから認証情報が漏れた場合、攻撃者はその情報を使って、他のサービスでもログインを試します。これがいわゆるリスト型攻撃です。

また、完全に同じでなくても、

• 語尾だけ変える

• 数字だけ変える

• 記号を1つ足す

といった似たパターンは推測されやすくなります。

つまり、「全部同じではないから安全」とは言えません。

少数の使い回しでも、1か所の漏えいが別のサービスに広がることがあります。

個人の習慣が、なぜ会社のリスクになるのか

ここで大事なのは、今回の調査対象が消費者だという点です。

ただし、会社で働く人も、日常では一人の消費者です。

そのため、個人向けサービスでのパスワード運用の癖が、そのまま仕事のアカウント運用にも持ち込まれていることは珍しくありません。

私用サービスと仕事用で似たパスワードを使ってしまう

たとえば、私用のSNSやネット通販、動画サービスなどで使っているパスワードと、会社のメールやクラウドサービスで使うパスワードが似ているケースです。

本人は分けているつもりでも、

• 共通の単語を使う

• 同じルールで作っている

• 末尾だけ変えている

となると、1か所の漏えいが会社アカウントへの不正ログインにつながる可能性があります。

同じメールアドレスを複数のサービスで使っている

メールアドレスは多くのサービスでIDとして使われます。

個人用メールアドレスでも会社用メールアドレスでも、複数サービスで共通利用していると、攻撃者にとって試しやすい状態になります。

1つのサービスで流出したID・パスワードの組み合わせを、別のサービスでも試される。

これは特別なケースではありません。

メールやクラウドに入られると影響が大きい

会社のメールやクラウドサービスに不正ログインされると、影響は一気に広がります。

• 社内外のメール内容を見られる

• 添付ファイルを持ち出される

• クラウド上の共有資料にアクセスされる

• 取引先になりすましてメールを送られる

• さらに別のサービスのパスワードリセットに使われる

つまり、入口は小さくても、被害は会社全体に広がりやすいのです。

情報漏えいというと、大がかりなサイバー攻撃を想像しがちです。

しかし実際には、身近な認証運用の甘さが入口になることも少なくありません。

特に注意したいのは「IT担当者がいない会社」

パスワードの使い回しが会社リスクになりやすいのは、特に次のような会社です。

• IT担当者がいない

• アカウント管理が各自任せになっている

• 多要素認証の設定がばらばら

• 社用と私用のルールが曖昧

• 退職者や異動者のアカウント整理が後回しになっている

こうした会社では、「危ない習慣」が放置されやすくなります。

しかも、経営者から見ると、普段は問題が見えません。

トラブルが起きて初めて、「そんな使い方だったのか」と気づくこともあります。

だからこそ、社員個人の注意だけに頼るのではなく、会社として最低限のルールと仕組みを持つことが大切です。

経営者がまず見直したい3つのこと

すべてを一度に整えるのは大変です。

まずは、次の3つから見直すだけでもかなり違います。

1. 会社アカウントは“使い回される前提”で考える

「使い回し禁止」と言うだけでは、実際の運用は変わりにくいものです。

大事なのは、使い回しが起こりうる前提で考えることです。

たとえば、

• 重要なアカウントを洗い出す

• 管理者アカウントを分ける

• 共通アカウントの使用を減らす

といった基本整理から始めるだけでも、リスクは下げられます。

2. 多要素認証を標準にする

パスワードだけに頼るのは、どうしても限界があります。

そこで重要なのが、多要素認証です。

仮にパスワードが漏れても、それだけではログインできなくなるため、防御力は大きく変わります。

特に、

• メール

• クラウドストレージ

• 顧客管理

• 会計

• SNS運用アカウント

などは優先して設定したいところです。

3. アカウント管理を個人任せにしない

誰がどのサービスを使っているのか、どこまで会社が把握しているでしょうか。

• どのアカウントがあるか分からない

• 設定状況を把握していない

• 退職後の整理が曖昧

この状態だと、問題が起きてもすぐに対応できません。

まずは、

• 使っている主要サービスの棚卸し

• アカウント一覧の整理

• 管理権限の確認

から始めるのがおすすめです。

Z世代の傾向も、他人事ではない

今回の調査では、日本のZ世代では31%が「すべての個人アカウントで同じパスワードを使っている」と回答しており、世界平均の17%を大きく上回っていました。

若い世代はデジタルに強い、というイメージを持たれがちです。

でも実際には、利便性を重視した結果として、危ない運用が起きていることもあります。

会社としては、「若いから大丈夫」「普段スマホを使いこなしているから安心」とは考えず、認証運用は世代を問わず見直す必要があります。

まとめ：情報漏えいの入口は、意外と身近な習慣にある

パスワードの使い回しは、珍しいことではありません。

今回の調査でも、日本の消費者の71%が何らかの形で再利用していることが分かっています。

しかも危ないのは、「全部同じパスワード」の人だけではありません。

少数のパスワードを複数サービスで回しているだけでも、1か所の漏えいが別の不正ログインにつながることがあります。

そしてその習慣は、個人の問題で終わらず、会社のメール、クラウド、業務アカウントのリスクにもつながります。

情報漏えいは、特別な攻撃だけで起きるわけではありません。

身近な認証の運用を見直すことが、実は一番大事な対策になることもあります。

「社内のアカウント管理、このままで大丈夫だろうか」

「多要素認証を入れたいけれど、何から見直せばいいか分からない」

そんな時は、まずITワークラボにご相談ください。

中小企業の外部IT担当者として、現状確認から対策の優先順位づけまでサポートします。

初回相談は無料です。

📖 あわせて読みたい

関連ページ

• IT・セキュリティ体制構築の支援内容は、「サービスページ」でご案内しています。

• 実際のご相談事例は、「導入事例」でもご紹介しています。

• ITワークラボの考え方は、「ITワークラボについて」をご覧ください。