Scribble at 2018-04-11 12:16:04 Last modified: 2022-09-26 14:18:51
このたび、JIPDECプライバシーマーク推進センターでは、現在本WEBサイトで公開している「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン第2版」(※)の記載内容のうち「識別情報(ID、パスワード等)管理の望ましい手法」について、技術の進展や環境の変化等に対応し、例示された手法に関する内容の改訂を行いました。
パスワードの有効期限を設定しているかどうかをガイドラインの事項から外したということなんだけど、僕はこれはよくないことだと思う。こういうことは一律かつ無条件に実施するようなことではなく、(1) 有効期限を設ける方がいい場合、(2) 有効期限を設けない方がいい場合、(3) 有効期限を設けても意味がない場合、などに条件を区別して対応し、規定するべきことだからだ。
たとえば、従業員に個人として割り当てるアカウント情報について、「退職するまでのあいだ」という有効期限を設けておくべきなのは、「退職した後も博報堂とやりとりするから2カ月だけ残しておいてくれ」といった特別な事情でもない限りは、大多数の業務においては自明だろう(それに、退職した後もアカウントを使わせる場合ですら、それは有効期限というものを無くしたということではない)。昨今、話題になっているのは、90日ごとに闇雲にパスワードを変更するという措置に関する批評なのであって、認証情報そのものに有効期限がなくてよいなどというバカ話とはぜんぜん次元が違うと思う。