独立直後の2023年、自分のGoogleアカウントの「サードパーティ接続」を開いて冷や汗をかいた。12件のサービスが「Googleでログイン」だけで認証されており、うち8件はパスワード未設定。Googleアカウントが停止した瞬間、8つのサービスへの入口が完全に消える状態だったことになる。
結論から言う。「Googleでログイン」は、認証をGoogleアカウント1つに集約する構造的なリスクを持っている。NordPassの2026年調査では、SSO(シングルサインオン)の利用拡大に伴い、個別パスワードを設定しないユーザーが増加傾向にあると報告された。Googleアカウントがロックされれば、連携先すべてに波及する。対策は2つ。連携アプリの棚卸しと、2025年10月にGoogleが追加した「復旧連絡先」機能の設定だ。
「Googleでログイン」が単一障害点になる仕組み
SIer時代、インフラ設計の基本として叩き込まれたのが「単一障害点(SPOF)を作るな」だった。サーバーが1台なら、落ちた瞬間にサービスが全停止する。だから冗長構成を組む。
「Googleでログイン」は、この原則に真っ向から反している。OAuth 2.0の仕組みで、連携先サービスはGoogleから発行されたトークンでユーザーを識別する。Googleアカウントが停止されればトークンは無効化され、連携先への認証手段が消滅する。メールの受信もGmailに依存していれば、パスワードリセットすら不可能だ。
2026年5月、Googleはビジネスプロフィール関連で大規模なアカウント制限を実施した(JCerme, 2026年5月4日報道)。対象は主に事業者アカウントだが、個人アカウントでも不正利用の疑いによるロックアウトは起きている。Googleのセキュリティホールドシステムは、リスク判定次第で復旧に6時間から最大30日かかる仕様だ。SIer時代にベンダーの保守窓口で3時間ループした経験があるが、30日間のロックアウトはそれとは比較にならない。
NordPassの2026年調査によれば、平均的なユーザーが管理するパスワードは個人用で約120個。だが「Googleでログイン」で個別パスワードを省略しているケースが増えており、パスワードが存在しないサービスが水面下で積み上がっている状況だ。パスワードがないということは、Google以外のログイン経路がないということである。
連携アプリの棚卸し手順(PC・スマホ)
確認先は1か所だ。
PCの場合、myaccount.google.com/permissions(Googleアカウントの「リンクされたアプリ」画面)にアクセスする。Googleアカウントで認証したサービスの一覧が表示されるので、各サービスをクリックして付与済みのアクセス権限(メールアドレス、プロフィール情報、Googleドライブなど)を確認する。
スマホの場合はGoogleアプリからアカウントアイコンをタップし、「Googleアカウントを管理」→「セキュリティ」タブ→「サードパーティ接続」で同じ画面にたどり着く。不要なサービスは「アクセス権を削除」で解除できる。
注意点がある。「アクセス権を削除」しても、連携先サービスのアカウント自体は削除されない。Googleとの認証リンクが切れるだけで、サービス側にデータは残り続ける。SIer時代に嫌というほど見た「契約終了と課金停止が別システム」と同じ構造だ。認証リンクの解除とサービスの退会は、別の手続きとして扱う必要がある。
一覧を確認したら、各サービスについて判断する。今後も使うなら、個別パスワードが設定されているかを確認。もう使わないなら、アクセス権を削除して退会も検討。パスワード未設定のまま使い続けているサービスがあれば、次のセクションで対処する。
「復旧連絡先」と個別パスワードでロックアウトに備える
2025年10月15日、Googleは「復旧連絡先(Recovery Contacts)」機能を追加した(9to5Google, 2025年10月15日)。信頼できる家族や友人を最大10人まで指定し、アカウントがロックされた際に本人確認を代行してもらえる。
設定手順は以下のとおりだ。
- myaccount.google.comを開き、「セキュリティ」を選択
- 「復旧連絡先」セクションから「連絡先を追加」を選択
- 相手のGoogleアカウントを入力。相手に承認リクエストが届く
- 相手が承認すれば設定完了
ロックアウト時には、指定した連絡先に15分間有効な確認コードが送信される。一度使うと7日間は再利用できない仕様で、濫用防止として合理的な設計だと判断する。連絡先側にアカウントの中身が見えることはない。役割は本人確認の代行に限定されている。
ただし復旧連絡先はGoogleアカウント自体の復旧手段であり、連携先サービスの復旧には直接効かない。連携先にもログインできる状態を維持するには、個別パスワードの設定が不可欠だ。
手順はシンプルである。連携先サービスのログイン画面で「パスワードを忘れた」を選択すると、登録メールアドレス(大抵はGmail)にリセットリンクが届く。新しいパスワードを設定すれば、以降は「メールアドレス+パスワード」でもログインできるようになる。パスワードは1Passwordなどのパスワードマネージャーでサービスごとにランダム生成して保存する。使い回しは論外だ。
盲点が1つある。パスワードリセットメールの宛先がGmailだと、Googleアカウントが止まればメールを受信できない。重要度の高いサービスには、Gmail以外のメールアドレスを復旧用に登録しておくか、登録メールアドレス自体をGmail以外に変更すべきだ。筆者はSIer時代の冗長設計の発想で、主要サービスの登録メールを独自ドメインのアドレスに切り替えている。
「Appleでサインイン」も同じ構造で確認が必要
Googleに限った話ではない。「Appleでサインイン」も同じ単一障害点の構造を持つ。
iPhoneでの確認手順は次のとおりだ。設定アプリで自分の名前をタップし、「サインインとセキュリティ」→「Appleでサインイン」と進む。連携先アプリの一覧が表示されるので、不要なアプリは「Appleでサインインの使用を停止」をタップして解除する。
Apple独自の「メールを非公開」機能には特有のリスクがある。登録時にApple側がランダムなメールアドレスを生成し、本来のアドレスを隠す仕組みだが、Apple IDを失うとそのランダムアドレスへの転送も止まる。復旧の難易度はGoogleよりさらに高いと判断する。
AppleもGoogleと同様に「復旧用連絡先」を提供している。設定 → 自分の名前 →「サインインとセキュリティ」→「アカウントの復旧」から設定可能だ。GoogleとAppleの両方に復旧連絡先を設定しておけば、ソーシャルログインの単一障害点リスクをかなり緩和できる。
※ 検証はiOS 26 / iPhone 15 Pro、Googleアカウント(個人、2026年7月時点)で実施。画面構成はアカウントの種類やOSバージョンによって異なる可能性がある。
FAQ
「Googleでログイン」を解除したら、連携先サービスのアカウントは消える?
消えない。Googleとの認証リンクが切れるだけで、サービス側のアカウントとデータはそのまま残る。再びログインするには、そのサービスに個別パスワードを設定しておく必要がある。
Googleの「復旧連絡先」に設定した相手に、メールやデータを見られる?
見られない。復旧連絡先の役割はロックアウト時の本人確認の代行に限定されている。Google公式ヘルプにも、アカウントの中身へのアクセス権は付与されないと明記されている。
連携アプリの棚卸しはどのくらいの頻度でやるべき?
半年に1回が現実的だ。筆者はGoogleセキュリティ診断と同じタイミング(1月と7月)で実施している。新規サービスに「Googleでログイン」で登録した直後に個別パスワードも設定する習慣をつけておけば、棚卸しの負荷は格段に下がる。
パスワードマネージャーを使っていれば「Googleでログイン」は不要?
完全に不要とは断定できない。併用は可能だ。ただし、パスワードマネージャーでサービスごとに固有パスワードを生成・保存しておけば、Googleアカウント障害時に連鎖的にログインできなくなるリスクは大幅に低減する。
参考文献
- Manage links between your Google Account & apps from other developers — Google アカウント ヘルプ
- Add trusted contacts for Google account recovery — Google公式ブログ, 2025年10月15日
- How many passwords does the average person have? — NordPass, 2026年
- Google Accounts now support setting up Recovery Contacts — 9to5Google, 2025年10月15日
- 「Google でログイン」機能がデータ共有を安全に行う仕組み — Google アカウント ヘルプ






