> > その社外システムってのは会社で契約してるんだと思うけど
> > 会社担当者用の管理者アカウントみたいのはないの？(;´Д`)
> > それがあればそのアカウントでの管理作業として
> > 一般ユーザアカウントの作成、停止、削除とか各種権限付与の操作ができそうなもんだけど
> あるシステムはあるけどないシステムはない(;´Д`)
> 多様な外部サービス使ってるのでそれぞれ

ない場合は仕方ない気がする(;´Д`)
平文か暗号化するかは想定するリスクに対して何を狙ってるかによる
将来の運用まで考えてうまくいかないようであれば、平文で紙で施錠管理とかでも良いような

要するにリスクとして何を想定しててそれにどう対応しているかが示されればまずは良いと思う
あとはリスクの想定が合理的かどうかによる。完璧とかは無理なので合理的で良い
ISMSとかだとベースラインアプローチといってどっかからテンプレートを持ってきて自社用に取捨選択する
http://www.ipa.go.jp/security/manager/protect/pdca/risk_ass.html

参考：2017/02/23(木)13時22分47秒