/

Pマーク発行機関も「パスワード定期変更は不要」

個人情報を適切に扱う事業者に与えられる「プライバシーマーク(Pマーク)」を発行する一般財団法人の日本情報経済社会推進協会(東京・港)は10日、認定時の審査基準を改定し、インターネット利用時のパスワードの定期的な変更を不要にする方針を示した。総務省などの方針転換に対応した。Pマークを取得済みの約1万5千社・団体でも同様の動きが広がりそうだ。

同協会が見直したのは企業が顧客らの個人情報を適切に扱っているかを審査する基準。情報流出を防ぐ手法の例示から「パスワードの有効期限の設定」「同一パスワードの再利用を制限」という表記を外した。

日立製作所富士通、パソナなど約1万5千社・団体が取得するPマークは、官公庁が事業委託の条件にすることも多い。認定更新には2年ごとに審査を受けねばならない。従業員や顧客らにパスワードの定期変更を求めてきた企業も、対応を変える可能性がある。

ネット利用時の本人確認に必要なパスワードは、なりすまし被害などを防ぐため定期的に変えるのが常識とされてきた。しかし2016年ごろから米国などで「頻繁な変更を求めると結果的に類推されやすい文字列になり、かえって不正アクセスの危険が高まる」との意見が広がっていた。

日本でもサイバー攻撃対策を担う内閣官房の内閣サイバーセキュリティセンター(NISC)が16年末に「必要なし」とする見解を示し、長らく定期変更を求めてきた総務省も「不要」とした。

Pマーク取得企業以外でも見直しの動きが始まっている。交流サイト大手のミクシィ(東京)は2日、利用者に定期変更を呼びかけてきた文章を削除した。総務省などの方針転換を踏まえた。

すべての記事が読み放題
有料会員が初回1カ月無料

セレクション

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
新規会員登録 (無料)ログイン
図表を保存する
有料会員の方のみご利用になれます。保存した図表はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン