小規模事業者における、パスワード共有の運用ルールについて
なぜパスワード共有ツールが必要なのか、そのルール、その他。

公私の分離とアカウント管理

• Vault（保管庫）の使い分け： 個人の私物アカウントと業務アカウントの完全分離。1Password等の「個人用」と「共有用（業務用）」Vaultの徹底した使い分け。
• 業務用MPの独立： 業務用のマスターパスワードは、個人のものとは別の強度基準で作成・管理する。
• ブラウザ保存の禁止： 業務デバイスのブラウザ（Chrome/Edge等）へのパスワード保存を原則禁止し、PWMへの集約をルール化。

共同作業者（スタッフ・外注）との共有ルール

• 最小権限の原則（PoLP）： 共有Vaultへのアクセス権を「必要な人」に「必要な期間」だけ付与する設計。
• 閲覧・編集権限の制御： スタッフには「閲覧のみ（パスワードのコピーは可能だが変更は不可）」権限を割り当て、誤操作や勝手な変更を防止。
• チャット・メールでの送付禁止： パスワードをSlackやメールの平文で送らず、必ずPWMの共有リンク機能（1PasswordのPsst!等）を使用する。

SOHOのための高度な認証（MFA）義務

• 重要インフラの固定： 銀行、ドメイン管理、クラウド会計、主要SNSなど、事業の根幹を成すサービスにはハードウェアキー（YubiKey）を必須とする。
• 認証アプリの統合管理： TOTP（ワンタイムパスワード）は可能な限りPWM内で管理し、デバイス紛失時のダウンタイムを最小化する。

ライフサイクル管理とオフボーディング

• 定期的なアクセス権の棚卸し： 3ヶ月〜半年ごとに、共有アカウントのログイン状況とメンバーシップを確認する。
• 離脱時の即時遮断： 共同作業者が離れる際のパスワード変更・アクセス権削除のチェックリスト化（S46との連携）。
• 事業継続計画（BCP）： 管理者が不測の事態（急病・事故）に陥った際、ビジネスを止めることなく後継者が業務アカウントにアクセスするための「物理的バックアップ」の所在周知。