Pマークでもパスワード定期変更は必須?
2008年5月1日(木曜日)
Pマークでもパスワード定期変更は必須?
少し前に、「パスワードは90日ごとの変更」が義務づけられる!? (itpro.nikkeibp.co.jp)……という話がありましたね……。
今日、プライバシーマークについての社内文書がまわってきたのですが、そこにもしっかり「パスワードを定期的に変更する」という項目が……。訊いてみると、Pマーク制度では「パスワードの定期変更」が義務づけられていて、マークを取得・維持するためには定期的な変更を実施することが必須なのだそうで。
「プライバシーマーク制度 FAQ:監査について (privacymark.jp)」に「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン」という文書があります。これの 3.4.3.2 にそれらしい項目があるのですが、この項目は「個人情報の保護に関する法律についての経済産業分野を対象としたガイドライン (www.meti.go.jp)」を参照していて、そのネタ元を見るとこうあります。
①個人データへのアクセスにおける識別と認証を行う上で望まれる事項
個人データに対する正当なアクセスであることを確認するためにアクセス権限を有する従業者本人であることの識別と認証(例えば、IDとパスワードによる認証、生体認証等)の実施
※IDとパスワードを利用する場合には、パスワードの有効期限の設定、同 一又は類似パスワードの再利用の制限、最低パスワード文字数の設定、一定回数以上ログインに失敗したIDを停止する等の措置を講じることが望ましい。
以上、個人情報の保護に関する法律についての経済産業分野を対象としたガイドライン より
って「必須」じゃないじゃん! と思うわけですが、守らないと「守れ」と言われたりするらしく。
……と、こういうわけで、「個人情報の保護に関する法律についての経済産業分野を対象としたガイドライン」において「パスワードの有効期限の設定」が「望ましい」とされているのが元となり、Pマーク取得企業の従業員は「パスワードの定期的な変更」を強制されるという結果になっている模様です。
- 「Pマークでもパスワード定期変更は必須?」へのコメント (2件)
- 前(古い): 小さな王様と約束の国 3周目クリア
- 次(新しい): ロデオボーイ3