ダッシュボード運用とセキュリティConfidential 機密

09 · Security & Assets

セキュリティと資産

データ分類、鍵、クライアントデータ、ソーシャル資産のルール。

IT / Founder4 分で読了更新日 2026年5月31日

Tenten はクライアントデータ、API キー、30万フォロワーのソーシャルアカウントを保有しています。このガイドは明確にします：データの分類、パスワード管理、クライアントデータの扱い、インシデント報告。

セキュリティは IT だけの仕事ではなく、全員の既定の習慣です。 Tenten は速く官僚的ではありませんが、守るべき線があります——クライアントデータが漏れたりソーシャル資産が制御不能になれば、10年以上積み上げた信頼が傷つくからです。このガイドは退職 SOPと一組です：一方は「在職中どう守るか」、もう一方は「退職時どう引き継ぐか」。

データ分類

まず手元のものがどれだけ機微かを見極め、それから扱い方を決めます。

レベル	例	扱い方
公開 Public	サイトコンテンツ、公開済みブログ、マーケ素材	自由に共有可。
社内 Internal	この Brain、SOP、社内プロセス、議事録	チーム限定、会社スペース、外部に出さない。
機密 Confidential	パスワード、API キー、財務データ、報酬	1Password のみ；最小権限；最高機微は創業者が管理。
クライアント制限 Client-Restricted	クライアント提供データ、管理画面、NDA 文書	クライアントのセキュリティ要件に従う；必要な人のみ；AI に入れる前に許可を確認。

アカウント・パスワード・2FA

共有パスワードはすべて 1Password 経由。Slack・メール・メッセージで平文の認証情報を送らない。共有は 1Password の共有ボールトで。

2FA / MFA を有効化。二段階認証が可能なサービスはすべて有効に。注意：共有アカウントの認証器を個人スマホだけに紐づけない。

使えるなら SSO を。Google Workspace でログインできるものは SSO 優先——集中管理でき、退職時に回収しやすい。

一人一アカウント、個人アカウントを共有しない。共有が必要ならチーム／サービスアカウントを。個人パスワードを他人に渡さない。

強く、使い回さないパスワード。1Password でランダム生成。一つのパスワードで全てを賄わない。

デバイスセキュリティ

ノートPC

暗号化 + 自動ロック

フルディスク暗号化（FileVault）を有効化、離席時は自動ロック。会社資産——紛失は即 IT へ。

共有デバイス

Mac Studio M3 Ultra

ローカル AI 推論マシンは会社の物理資産。使用後は個人セッションからログアウト。

リモート

VPN / 安全なネットワーク

機微データは安全なネットワークで。公共 Wi-Fi からクライアント管理画面へ直接つながない。

ソフトウェア

信頼できる入手元

必要かつ信頼できる入手元のソフトと拡張のみ。怪しいリンクはクリックせず、まず確認。

クライアントデータと NDA

クライアントがデータを預けるのは信頼です。それを守るのが私たちの最低ラインです。

→

最小権限アクセス。仕事に本当に必要なクライアント権限だけを取る。案件終了時は自ら退く。

→

クライアントファイルは正しい場所へ。指定の共有スペースへ。個人デバイスや個人ドライブに散らさない。

→

AI に入れる前に判断。クライアント NDA データ、個人情報、未公開情報は、どの AI ツールでも許可とコンプライアンスを確認してから。迷ったらまず聞く。

→

各クライアントのセキュリティ要件に従う。特定の VPN・デバイス・プロセス規定があれば契約通りに；引き継ぎ時に返却・取り消し。

案件 / 会社を離れるとき

クライアント側の委任アクセス（GA、Search Console、CMS、共有ドライブ）が最も回収を忘れられます。引き継ぎ詳細は退職 SOP · クライアントシステムアクセス。

API キーとローテーション

鍵は通行証です。管理を誤れば、請求もデータも問題になります。

種類	原則
個人キー	個人アカウントに紐づく token / PAT は、退職時に直接取り消し。
共有キー	Anthropic、Cloudflare、Supabase 等の共有キーは人事異動時に必ずローテーションし、請求・使用量の異常を確認。
自動化の認証情報	n8n フローの認証情報は会社サービスアカウントに紐づけ、個人を無効化してもフローが止まらないように。
CI / デプロイ鍵	GitHub Actions secrets やデプロイ鍵は定期的に見直し、退職時に併せて処理。

先に付け替え、後で無効化

個人アカウントに紐づく自動化は、認証情報を会社アカウントに付け替えてから個人アカウントを無効化。順序を逆にするとライン全体が即停止します。

ソーシャル・ブランド資産

これは会社の最高価値の無形資産：プラットフォーム横断で 30万人以上のフォロワーを持つ AI コンテンツアカウント群です。

★

所有権は常に会社レベル。Meta Business と YouTube ブランドアカウントのプライマリオーナーは、個人ではなく必ず会社。

★

個人の管理権限は用が済めば即取り消し。退職時はすべての個人管理権限を取り消し、パスワードをローテーション、ログインや復旧経路を残さない。

★

予約コンテンツを棚卸し。退職後も自動配信される予約投稿やメールシーケンスは、引き継ぎ時に必ず棚卸し。

なぜこれほど厳しいか

これらのアカウントは10年以上のブランド資産で、制御を失えばやり直せません。完全な引き継ぎ規定は退職 SOP · ソーシャルメディア資産。

インシデント報告

インシデントは怖くありません——隠す方が怖いのです。以下に気づいたら即報告、報告者を責めません。

報告すべき状況

デバイスの紛失・盗難、フィッシングメール／怪しいリンク、アカウントの異常ログイン、機密を誤った場所に投稿、鍵の漏洩疑い。

報告の仕方

まず Slack で IT へ；財務やクライアントデータが絡む場合は創業者にも同時連絡。まず止血（パスワード変更、鍵取り消し）、その後原因究明。

メンツより報告

早く言うほど被害は小さい。私たちが気にするのは穴を塞ぐことで、誰がボタンを押し間違えたかではありません。

レッドライン · 絶対にしないこと

これらは決してしない

① 認証情報や鍵を平文（Slack / メール）で送る。② 会社やクライアントのファイルを個人ドライブだけに保存する。③ クライアント NDA データを未承認ツールに入れる。④ 資金移動・発注・支払いを自分で実行する（必ず創業者経由）。⑤ 退職後にソーシャルアカウントのログインや管理権限を保持する。⑥ 共有鍵をコードにハードコードして commit する。

この6つが Tenten のレッドラインです。その他で疑問があれば、Slack で IT か創業者に聞いてください——セキュリティでは、一言聞く方が賭けるより常に安いのです。

セキュリティと資産

データ分類、鍵、クライアントデータ、ソーシャル資産のルール。

IT / Founder4 分で読了更新日 2026年5月31日

データ分類

まず手元のものがどれだけ機微かを見極め、それから扱い方を決めます。

レベル	例	扱い方
公開 Public	サイトコンテンツ、公開済みブログ、マーケ素材	自由に共有可。
社内 Internal	この Brain、SOP、社内プロセス、議事録	チーム限定、会社スペース、外部に出さない。
機密 Confidential	パスワード、API キー、財務データ、報酬	1Password のみ；最小権限；最高機微は創業者が管理。
クライアント制限 Client-Restricted	クライアント提供データ、管理画面、NDA 文書	クライアントのセキュリティ要件に従う；必要な人のみ；AI に入れる前に許可を確認。

アカウント・パスワード・2FA

共有パスワードはすべて 1Password 経由。Slack・メール・メッセージで平文の認証情報を送らない。共有は 1Password の共有ボールトで。

2FA / MFA を有効化。二段階認証が可能なサービスはすべて有効に。注意：共有アカウントの認証器を個人スマホだけに紐づけない。

使えるなら SSO を。Google Workspace でログインできるものは SSO 優先——集中管理でき、退職時に回収しやすい。

一人一アカウント、個人アカウントを共有しない。共有が必要ならチーム／サービスアカウントを。個人パスワードを他人に渡さない。

強く、使い回さないパスワード。1Password でランダム生成。一つのパスワードで全てを賄わない。

デバイスセキュリティ

ノートPC

暗号化 + 自動ロック

フルディスク暗号化（FileVault）を有効化、離席時は自動ロック。会社資産——紛失は即 IT へ。

共有デバイス

Mac Studio M3 Ultra

ローカル AI 推論マシンは会社の物理資産。使用後は個人セッションからログアウト。

リモート

VPN / 安全なネットワーク

機微データは安全なネットワークで。公共 Wi-Fi からクライアント管理画面へ直接つながない。

ソフトウェア

信頼できる入手元

必要かつ信頼できる入手元のソフトと拡張のみ。怪しいリンクはクリックせず、まず確認。

クライアントデータと NDA

クライアントがデータを預けるのは信頼です。それを守るのが私たちの最低ラインです。

→

最小権限アクセス。仕事に本当に必要なクライアント権限だけを取る。案件終了時は自ら退く。

→

クライアントファイルは正しい場所へ。指定の共有スペースへ。個人デバイスや個人ドライブに散らさない。

→

各クライアントのセキュリティ要件に従う。特定の VPN・デバイス・プロセス規定があれば契約通りに；引き継ぎ時に返却・取り消し。

案件 / 会社を離れるとき

API キーとローテーション

鍵は通行証です。管理を誤れば、請求もデータも問題になります。

種類	原則
個人キー	個人アカウントに紐づく token / PAT は、退職時に直接取り消し。
共有キー	Anthropic、Cloudflare、Supabase 等の共有キーは人事異動時に必ずローテーションし、請求・使用量の異常を確認。
自動化の認証情報	n8n フローの認証情報は会社サービスアカウントに紐づけ、個人を無効化してもフローが止まらないように。
CI / デプロイ鍵	GitHub Actions secrets やデプロイ鍵は定期的に見直し、退職時に併せて処理。

先に付け替え、後で無効化

ソーシャル・ブランド資産

これは会社の最高価値の無形資産：プラットフォーム横断で 30万人以上のフォロワーを持つ AI コンテンツアカウント群です。

★

所有権は常に会社レベル。Meta Business と YouTube ブランドアカウントのプライマリオーナーは、個人ではなく必ず会社。

★

予約コンテンツを棚卸し。退職後も自動配信される予約投稿やメールシーケンスは、引き継ぎ時に必ず棚卸し。

なぜこれほど厳しいか

これらのアカウントは10年以上のブランド資産で、制御を失えばやり直せません。完全な引き継ぎ規定は退職 SOP · ソーシャルメディア資産。

インシデント報告

インシデントは怖くありません——隠す方が怖いのです。以下に気づいたら即報告、報告者を責めません。

報告すべき状況

デバイスの紛失・盗難、フィッシングメール／怪しいリンク、アカウントの異常ログイン、機密を誤った場所に投稿、鍵の漏洩疑い。

報告の仕方

まず Slack で IT へ；財務やクライアントデータが絡む場合は創業者にも同時連絡。まず止血（パスワード変更、鍵取り消し）、その後原因究明。

メンツより報告

早く言うほど被害は小さい。私たちが気にするのは穴を塞ぐことで、誰がボタンを押し間違えたかではありません。

セキュリティと資産

データ分類

アカウント・パスワード・2FA

デバイスセキュリティ

クライアントデータと NDA

案件 / 会社を離れるとき

API キーとローテーション

先に付け替え、後で無効化

ソーシャル・ブランド資産

なぜこれほど厳しいか

インシデント報告

メンツより報告

レッドライン · 絶対にしないこと

これらは決してしない

関連ドキュメント

セキュリティと資産

データ分類

アカウント・パスワード・2FA

デバイスセキュリティ

クライアントデータと NDA

案件 / 会社を離れるとき

API キーとローテーション

先に付け替え、後で無効化

ソーシャル・ブランド資産

なぜこれほど厳しいか

インシデント報告

メンツより報告

レッドライン · 絶対にしないこと

これらは決してしない

関連ドキュメント

案件 / 会社を離れるとき

先に付け替え、後で無効化

なぜこれほど厳しいか

メンツより報告

これらは決してしない

lightbulb 関連ドキュメント

案件 / 会社を離れるとき

先に付け替え、後で無効化

なぜこれほど厳しいか

メンツより報告

これらは決してしない

lightbulb 関連ドキュメント

関連ドキュメント

関連ドキュメント