Scribble at 2018-04-11 12:16:04 Last modified: 2022-09-26 14:18:51
パスワードの有効期限を設定しているかどうかをガイドラインの事項から外したということなんだけど、僕はこれはよくないことだと思う。こういうことは一律かつ無条件に実施するようなことではなく、(1) 有効期限を設ける方がいい場合、(2) 有効期限を設けない方がいい場合、(3) 有効期限を設けても意味がない場合、などに条件を区別して対応し、規定するべきことだからだ。
たとえば、従業員に個人として割り当てるアカウント情報について、「退職するまでのあいだ」という有効期限を設けておくべきなのは、「退職した後も博報堂とやりとりするから2カ月だけ残しておいてくれ」といった特別な事情でもない限りは、大多数の業務においては自明だろう(それに、退職した後もアカウントを使わせる場合ですら、それは有効期限というものを無くしたということではない)。昨今、話題になっているのは、90日ごとに闇雲にパスワードを変更するという措置に関する批評なのであって、認証情報そのものに有効期限がなくてよいなどというバカ話とはぜんぜん次元が違うと思う。