画像はイメージです。
世界的に見直されている、パスワードの定期的な変更。4月10日には「日本情報経済社会推進協会(JIPDEC)」がガイドラインを一部改訂を発表した。
JIPDECもパスワードの定期的な変更は「不要」
日本情報経済社会推進協会は、個人情報に対して適切な保護措置を講じている事業者を評価する「プライバシーマーク制度」で知られる団体。認定された事業者には「プライバシーマーク(Pマーク)」が付与され、顧客や取引先からの信頼確保などに役立ててきた。
同協会は、WEBサイトで公開している「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン -第2版-」の一部を改訂。「JIS Q 15001:2006」とは個人情報保護マネジメントシステム規格で、「プライバシーマーク制度」の審査基準としても利用されている。
改訂箇所は「技術的安全管理措置として講じなければならない事項と望ましい手法の例示」の一部で、「識別情報の設定及び利用は、ルールに従っていること」という事項に関する項目。以前は望ましい手法の例示として「パスワードの有効期限を設定している」「同一又は類似パスワードの再利用を制限している」の2つが挙げられていたのだが、改訂版では削除されていた。
さらに「パスワードの設定変更をする場合には、類似パスワードの再利用を制限している」「複数のサービスで同一のパスワードを使い回さないことを求めている」「漏洩した、または漏えいのおそれがあるパスワードは、速やかに変更することを求めている」という項目を追加。パスワードの有効期限設定は必要がないとし、それに伴い新しい管理措置の手法を例示している。
同協会の方針転換に、ネット上では「ついにJIPDECも動いたか!」「これで色々な企業がパスワードの新基準に対応できそうだな」「無駄な作業が無くなって生産性も上がりそう」と賛同する声が相次いだ。
パスワードの定期的な変更は以前から「不要」と指摘されており、昨年はアメリカの「国立標準技術研究所」もガイドラインで提示。今年3月には日本の総務省が、「国民のための情報セキュリティサイト」から定期的な変更を推奨する文章を削除している。
編集部おすすめ
