皆さま、各社メディアでの報道などで既にご存知のことと思います。
「パスワードの定期変更をしない方が良いのではないか」という議論の中で、とうとう総務省において「変更しないことを推奨する」旨の発表が行われました。
これまでは、定期的なパスワードの変更が推奨されてきました
企業内のネットワーク、インターネットのサービスにおいて、管理者やサービス提供者がパスワードの定期的な変更が推奨されていました。
例えば、前回パスワードを変更してから何日が経過をすると、パスワードの変更を推奨する通知が届いたり、変更しない場合は数日後にアカウントが利用ができなくなるサービスもございました。
パスワードを定期的に変更しないことを推奨する理由
2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されました。
米国のメディアは、パスワードを定期的に変更すると、不正にアクセスされない「複雑なパスワード」を作って覚えておくよりも、「定期的に変更しても覚えていられる簡易なパスワード」を作成しまうことが指摘されています。
また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。
それに伴い、JIPDECにおいても4月12日付で「JIS Q15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン–第2版–」の一部改訂が発表されました。
パスワード変更に関する、社内ルール・規定変更する場合
社内ルール、規程変更をご検討いただく場合、また書式等作成・申請を完了されてしまった皆様には審査員より指摘があった場合に備えて、「個人情報保護規定変更手順」に係るファイル2部送付させていただきますのでご活用ください。
なお、JPDEC該当ページには「今回改訂した箇所は、あくまで具体的な対策例を示すものです。必ずしも、この例示された手法を行うよう求める主旨でないことをご留意ください」といった注釈があり、ややグレー表現となっております。仕様変更につきましては、十分にご検討いただくことをお勧めします。
また、パスワードの安全管理については「定期的な変更を推奨しない」ことだけでなく、
・同じID・パスワードを複数のサービスで使い回さないこと
・推測されやすいパスワードは設定しないこと
・パスワードは、紙に書いて管理しないこと
これらは、今までと同様に注意する必要があります^^
まとめ
いかがでしたでしょうか。
ネット集客に必要なサービスについては、パスワードの管理をしっかり行い、定期的な変更をしなくても安全なパスワードで管理を行いましょう。
■こちらの記事もおすすめです
>>>【SEO対策に強いブログ記事の書き方マスター【5ステップ・テンプレ付き】】