【情報セキュリティ】パスワードをメモしてはいけないと言うけれど。。。

「覚えなければいけないパスワードが多すぎる、だから手帳にメモしているのですよねー」と言われることがしばしばあります。
「私（監査人）の前でそれは言わないでくださいよ…」と思います…(笑)。
また、「私物の手帳まではチェックしないのですから、それは黙っておいてくださいよ…」とも思います。

基本的にはパスワードのメモは駄目ですね。また、多くの会社では情報セキュリティ規程・情報セキュリティポリシといったルールに、「パスワードをメモしないこと」と明記されていますので、パスワードをメモすることは情報セキュリティ規程・情報セキュリティポリシ違反になってしまいますので注意が必要です。万一情報漏えいがあれば責任を問われますね。
以上が、監査人としての回答になります。

ここからは余談… （NISTのパスワードガイドライン等、世の中のプラクティスからは外れていることは承知の上ですが）
私の場合（あくまでも会社ではなく個人での話ですが！）、多数のオンラインサービスでどうしても覚えることができない場合、
・ユーザIDを覚えることができる場合は、ユーザIDはメモしない
・パスワードが思い出せる程度のメモに留める。また数字部分はメモしない。例えばパスワードがAcxz#9981の場合は、「A***#**」としておく。
※実際はこのような簡単なパスワードはつけませんが
・システム（サービス）名は自分がわかる程度の略称にする。
といったところでしょうか。
あくまでも例ですし、パスワードのメモは非常にリスクの高い行為と思いますので、積極的にお勧めすることもありません。
また、最近はWebブラウザで複雑なパスワードの自動生成や保存機能もあります。これらの機能が安全なのか危険なのかは様々な意見があるので、難しいところです。
ちなみに私は「金銭に直結するようなシステム」はブラウザの保存機能は使わず、それ以外は使う場合があります。

使用する場合はパソコンやスマートフォンへのログオンID・パスワードは厳重に管理し、離籍時にパスワードロックを掛けるといった基本的なセキュリティ対策は怠らないことが肝要と考えますので、これらの対策は怠ることはありません。