会社PCのパスワードについて

先日、社内WEB用のパスワードが書かれた紙が行方不明になってしまいました。
（シュレッダーしてしまったと思うのです。）
その紙は、最初に付与されたパスワードが書いてあり、会社からは、
退職まで保存しないとセキュリティーマナー違反になるとの事で反省文を書くように言われています。
もちろん、紙を管理できなかった私に問題があると思うのですが、
保存義務やセキュリティーマナー違反になる事は説明を受けた覚えがありません。
同じ立場の同僚にも確認したのですが、やはり、皆さん説明されていないようです。
会社の決まりようなので、反省文は仕方ないのかもしれませんが、
どうしても一つ腑に落ちないのです。
紙でパスワードを付与して、退職まで保存させるという管理方法は、
セキュリティー上、問題はないのでしょうか？
皆さんの会社ではどのように管理されていらっしゃいますか？
よろしかったら、教えていただけないでしょうか。。。
どうぞよろしくお願い致します。

No.1 回答者： nitho_t 回答日時： 2009/11/28 15:00

>紙でパスワードを付与して、退職まで保存させるという管理方法は、

>セキュリティー上、問題はないのでしょうか？

とのことですので、退職までパスワード変更をしない前提になっているものと解釈します。一般社員が外から会社のリソースにアクセスするようなことはなく、（物理的に制限された内部端末のみを使用）しかも社員のなりすましは存在しない（保管してあるパスワードと多分容易に分かるIDを他の社員に使用されることはない）と言う前提条件にたつのであれば深刻な問題にはならないでしょう。

ただし後者の条件は性善説に拠って立つものですので、セキュリティの観点からはお勧めできるものではありませんが。定期的なパスワード更新もないようですので、想像するにログもきちんと保管してなく、何か起きたとしても対処の方法がないように思います。

いずれにしても会社の決定事項のようですからその方針に従うことをお勧めします。それであれば万が一何か問題があっても会社の問題です。（心当たりのない事故（個人的には事故ではなく自分からつっこんでいる気がしますが）で責任を問われた場合はなりすましの可能性を指摘し、そのような対策で放置していた会社の過失を問うべきかと。）その上で改善すべきところを働きかけることが建設的かと思います。

セキュリティの構築自体は会社の規模、仕事内容、その他に依存するのでパスワードの管理のみ向上させたところで実効性があるとは限りません。他にやるべき事があるかもしれませんので。