結論:ログイン共有の正解は「ID・パスワードを渡す」ではなく、Meta Business Suite(Business Portfolio)で“権限を付与”して運用すること。さらに二段階認証(2FA)を必須化し、担当端末・認証コード・退任手順までルール化すれば、凍結・乗っ取り・トラブルを大幅に減らせます
「クライアントから『IDとパスワード、LINEで送りますね!』と言われて冷や汗が出た……」
「二段階認証のコードが社長のスマホに飛んで、ログインできない」
SNS運用代行を始めると必ずぶつかる壁が、「アカウント共有のセキュリティ問題」です。IDとパスワードをそのまま共有するのは、合鍵をポストに入れているようなもの。乗っ取りや凍結のリスクはもちろん、「誰が操作したか分からない」という管理上の大問題も抱えます。
実は、FacebookやInstagramを安全に共有する正解は、ID共有ではなく「権限付与(招待)」です。
この記事では、Meta Business Suiteを使った「正しいログイン共有(権限付与)の手順」と、事故を防ぐ「二段階認証(2FA)の運用ルール」を解説します。クライアントの資産を守るのも、プロの大事な仕事です。
※本記事は一般情報です。画面名称や導線はアップデートで変わることがあります。実際の操作は管理画面の表示に従い、必要に応じて公式ヘルプも確認してください。
まず押さえる:ログイン共有の「事故」は“パスワード共有”から始まる
運用代行でパスワード共有をすると、次の事故が起きやすくなります。
- 責任の切り分けができない:誰がいつ何をしたか追えない(トラブル時に詰む)
- 退任後もアクセスが残る:外注終了後に権限が残り続ける
- 2FAが回らない:認証コードが特定個人の端末依存でログイン不能
- 不審ログイン扱い:端末/場所が頻繁に変わり、ロックの原因になる
だから、最初に方針を固定します。
「ID・パスワードは受け取らない。権限付与で運用する」
これだけで、運用代行としての信頼が上がります。
権限共有の全体像:3レイヤーで理解すると迷わない
Metaの安全な共有は、次の3層構造です。ここを理解すると、ほぼ迷いません。
権限階層の図解(ピラミッド)
運用代行がやるべきことは、「②の箱にあなたを招待」→「③の資産に必要最小限の権限を付与」です。パスワード共有は原則不要になります。
用語だけ最短で整理:Meta Business Suite/Business Portfolio/ページアクセス
- Meta Business Suite:Facebook/Instagramをまとめて管理する画面(投稿・受信箱・分析・設定など)
- Business Portfolio(ビジネスポートフォリオ):会社/案件の管理単位。人(ユーザー)と資産(ページ、IG、広告など)をひも付ける箱
- ページアクセス(Page access):ページごとに渡す権限(フル/部分アクセス、タスク権限など)
「画面の名前が違う…」と感じても、構造(箱→資産→権限)は変わりません。
最重要:ログイン共有で“絶対にやらないこと”5つ
ここを最初にルール化しておくと、事故が激減します。
- NG1:ID・パスワードをLINE/Slack/メール本文に貼る(履歴に残りやすい)
- NG2:運用メンバー全員で同じIDにログインする(操作ログが追えない)
- NG3:2FAコードを「社長のスマホ1台」依存にする(休み/故障で詰む)
- NG4:外注終了後もアクセス権を放置する(トラブルの温床)
- NG5:怪しい外部ツールに連携させる(権限や情報が抜けるリスク)
【手順】正規の権限付与:クライアントがあなたを招待し、必要最小限の権限を渡す
画面名称は変わることがありますが、流れはこの通りです。
Step1:クライアント側でBusiness Portfolio(箱)を確認する
- Meta Business Suiteを開く
- 設定(Settings)に入る
- Business portfolio関連の項目を確認する
Step2:クライアントがあなた(運用代行)を「人」として招待する
クライアントが自分のBusiness Portfolioに、あなたのアカウントを招待します。あなたは承認するだけで参加でき、以後はあなた自身のアカウントでログインして運用できます。
重要:招待リンクには期限があることが多い。届いたら“できれば即日”承認する
招待のリンクやリクエストは、一定期間で無効になる場合があります。期限切れになると再送が必要になるため、招待が届いたら早めに承認しておくのが安全です。
Step3:権限は「必要最小限」から(原則:部分アクセス)
初心者がやりがちなのが、最初からフル権限をもらうこと。事故時の被害が大きくなるので、原則は部分アクセス(タスク権限)でスタートし、足りなければ後から追加します。
| やりたいこと | 推奨の権限 | 理由 |
|---|---|---|
| 投稿作成・予約投稿・コメント返信 | 部分アクセス(コンテンツ/コミュニティ系) | 必要十分。事故時の被害を小さくできる |
| 分析(インサイト閲覧・レポート) | 部分アクセス(分析/インサイト) | 数値は見たいが、設定変更権限は不要 |
| 広告運用(広告アカウント) | 広告アカウント側で役割付与 | ページ権限と広告権限は分けた方が安全 |
| 人の追加・削除、2FA必須化、資産の所有 | フルコントロール(原則クライアントのみ) | “鍵”の操作。運用代行が持つのは最終手段 |
Instagramも“権限付与”で運用する:ID共有が必要な例外を減らす
Instagramは「ID/パスを教えて運用」が多いですが、事故りやすいです。可能なら、Meta Business Suite側でInstagramを資産として紐づけ、権限で運用します。
基本の安全ルート
- クライアントのBusiness PortfolioにInstagramアカウントを追加(紐づけ)
- 運用代行(あなた)を人として招待
- Instagram資産に対して必要な範囲のアクセスを付与
例外:どうしても一時的にログインが必要なときの安全策
移行/連携/確認などで一時ログインが必要なケースもあります。その場合は、無防備に共有せず、最低限このセットで運用してください。
- パスワードをチャット本文に貼らない(共有するなら安全な共有方法を検討)
- 作業完了後に必ずパスワード変更
- 2FAは「担当者スマホ1台」依存にしない(次章)
二段階認証(2FA)の正しい設計:個人+ビジネスで“二重に守る”
2FAは「設定したら終わり」ではありません。運用代行では“誰がコードを受け取るか”が最重要です。
2FAは2種類ある(ここを分ける)
- 個人アカウントの2FA:あなた(人)自身のログインを守る
- Business(箱)側の2FA要件:「このビジネスに入る人は全員2FA必須」にして、組織を守る(設定できる場合)
おすすめの2FA運用(事故らない形)
- 認証アプリを基本にする(SMS依存を減らす)
- 管理者(フル権限)は最低2名にする(クライアント側で冗長化)
- 認証コードを「社長のスマホ1台」に集約しない(休み・退職・故障で詰む)
- バックアップ手段(バックアップコード等)がある場合は、社内の安全な場所に保管する
実務で多発:招待メールが届かない/招待できない時の対処
検索で一番多いトラブルがここです。運用代行側が焦ると、結局パスワード共有に戻りがちなので、対処を型にします。
まずやること(5分で確認)
- 迷惑メール/プロモーションに入っていないか確認
- 招待に使ったメールアドレスが、あなたのMetaアカウントに紐づくものと一致しているか確認
- 別ブラウザ/別端末で、通知(Meta側の通知)を確認
次にやること:再送/キャンセル→再招待で解決することが多い
クライアント側の招待画面で、「招待を再送」または「一度キャンセルして再招待」できるケースがあります。届かないときは、ここを試してもらうのが実務的です。
また、メール経由が不安定な場合は「再送」後に、招待URLを共有してもらうと解決することもあります(社内のセキュリティ方針に沿って対応してください)。
端末ルールで不審ログインを減らす:運用代行は“端末固定”が効く
ログインの安全性は技術より運用です。ここはテンプレ化が最強です。
端末・環境ルール(おすすめ)
- 運用作業は基本「いつも同じPC/ブラウザ」で行う(不審ログインを減らす)
- 公共Wi-Fiではログインしない(やむを得ない場合は安全策を検討)
- ブラウザ拡張機能は厳選(不明な拡張は入れない)
権限棚卸しルール(毎月5分)
- People(ユーザー)一覧を確認
- 退任者・外注終了者は削除
- フル権限を持つ人を最小人数にする
【コピペOK】クライアントに送る「権限付与のお願い」メールテンプレ
クライアントのセキュリティ意識が高くない場合ほど、文章で“なぜ必要か”を先に伝えると通ります。必要に応じて社名や案件名を入れて使ってください。
件名:Facebook/Instagram運用のログイン共有について(権限付与のお願い)
〇〇様 いつもありがとうございます。
SNS運用を安全に進めるため、ID・パスワード共有ではなく、 Meta Business Suite(Business Portfolio)で「権限付与(招待)」の形でアクセスをいただけますでしょうか。
【権限付与にするメリット】
・ID/パスワードを共有しないため、漏えい・乗っ取りリスクを下げられます
・誰が操作したか管理しやすく、トラブル時の切り分けができます
・運用終了時は権限を外すだけでアクセスを回収できます(後腐れなし)
【お願いしたい作業(5~10分)】
1) Meta Business Suite を開く
2) 設定(Settings)→ Business Portfolio(ビジネスポートフォリオ)を開く
3) 「ユーザー/People(人)」から、私(運用担当)を招待 招待先メール:________(←運用担当のメールを記入)
4) 付与する権限はまず「投稿/コメント/分析」など必要最小限でOKです (足りない場合は後から追加できます)
【補足】
・招待リンクは期限がある場合があるため、送付後は可能であれば早めに承認します。
・もし招待メールが届かない場合は、招待画面から「再送」または「キャンセル→再招待」をお願いします。
以上、お手数をおかけしますが、よろしくお願いいたします。
―――――――――― 署名(あなたの名前)
よくある失敗5選と回避策
失敗1:とりあえず“フル権限”をもらってしまう
回避策:原則は部分アクセス。足りない分だけ後から追加。
失敗2:2FAが社長のスマホ依存で、ログインできない
回避策:管理者を複数にし、認証コード運用(認証アプリ/バックアップ)を設計してから開始。
失敗3:外注終了後もアクセスを消し忘れる
回避策:月1の権限棚卸し+終了チェックリストを必ず回す。
失敗4:認証コードをチャットで回して履歴に残る
回避策:コード共有は原則しない設計に。やむを得ない場合も“ログが残りにくい形”に寄せる。
失敗5:怪しい外部ツールに連携してしまう
回避策:連携は最小限。必要なら提供元や公式案内を確認してから。
すぐできるチェックリスト:SNSログイン共有(Meta)安全運用
- パスワード共有ではなく「権限付与」で運用する方針にした
- Business Portfolioに運用代行者を招待できている
- ページ/Instagramの権限は“必要最小限”になっている
- 2FAを有効化し、管理者を2名以上にしている(冗長化)
- 認証コードが特定個人のスマホ1台に依存していない
- 端末ルール(同一PC/ブラウザ中心)を決めた
- 月1の権限棚卸しと、終了時の削除手順がある
まとめ:ログイン共有は「権限付与+2FA+退任手順」でプロ品質になる
運用代行のログイン共有は、注意力では守れません。Meta Business Suiteで正規に権限付与し、2FAを必須化し、端末・認証コード・退任手順までルール化することで、事故を構造的に減らせます。
「安全運用ができる運用者」は、それだけでクライアントの信頼を得やすいです。最初に整備して、あとはテンプレ運用に寄せてください。
次にやること(3ステップ)
- ステップ1:クライアントに「ID・パスワード共有ではなく権限付与で運用したい」と伝え、Business Portfolio招待を依頼する(テンプレ文をコピペ)
- ステップ2:権限は“部分アクセス中心”で付与し、2FA(個人+ビジネス要件)を設定する
- ステップ3:月1の「権限棚卸し」と、外注終了時の「権限削除」を運用ルールとして固定する
