Pマーク(プライバシーマーク)の規格要求事項で改定されたパスワードのルール


b5f382a9377ea9998fc6a0d22cdccdf6_m

いつもご愛読ありがとうございます。
ISO総合研究所のコンサルタント南です。

毎日暑い日が続きますね。
休日はクーラーの効いた部屋でテレビを見ながら過ごすのが一番ですね。

テレビを見ながらふと、「芸能人のプライベートな写真や情報が流失してしまうことが多いよなあ・・・」と思いました。

もちろん関係者が流してしまうということもあると思いますが、少し前に芸能人のメールアカウントに不正ログインされて情報が流失してしまうという事件がありました。

原因としてはパスワードやIDを誕生日や電話番号等、推測されやすいものに絡めて設定してしまっていたということが挙げられました。
やっぱりパスワードの設定って大切ですよね。

そこで今日は、Pマーク(プライバシーマーク)の規格要求事項で改定されたパスワードのルールについてご説明していきたいと思います。

JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)が改訂されました。

今までPマーク(プライバシーマーク)の基準になっていた「JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)」が、2017年12月20日に、「JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)」に改訂されました。

JISQ15001:2006年版の3.4.3.2安全管理措置の規格要求事項では、定期的なパスワードの変更が求められていましたが、JISQ15001:2017年版では有効期限の設定がなくなり、かわりに複数サービスで同じパスワードの使いまわしをしないことが盛り込まれました。

3.4.3.2安全管理措置

(旧)
① パスワードの有効期限を設定している。
② 同一又は類似パスワードの再利用を制限している。
③ 最低パスワード文字数を設定している。
④ パスワードの設定方法(文字、数字、記号を必ず混ぜて設定する等)を定めている。
⑤ 一定回数以上ログインに失敗したIDの停止等の措置を講じている。
運用確認のためのエビデンス
・個人情報を取り扱うコンピュータ、サーバー等の設定
・個人情報へのアクセス状況に関する記録

(新)
① 最低パスワード文字数を設定している。
② パスワードの設定方法(文字、数字、記号を必ず混ぜて設定する等)を定めている。
③ 一定回数以上ログインに失敗したID の停止等の措置を講じている。
④ パスワードの設定変更をする場合には、類似パスワードの再利用を制限している。
⑤ 複数のサービスで同一のパスワードを使い回さないことを求めている。
⑥ 漏えいした、または漏えいのおそれがあるパスワードは、速やかに変更することを求めている。

※引用:JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版

改訂の背景と注意点

こうなった背景として、パスワードがパターン化して簡単になってしまうことや、使いまわしになることによってかえってセキュリティレベルが低下してしまうのではないかということが懸念されたからです。

具体的には、定期変更の場合ほとんどの人は面倒くさくなって昔使っていたパスワードの再利用や、今使っているパスワードの一部だけ変更して使う等があげられます。これだとパスワードがパターン化してきてしまい、推測しやすいので不正アクセスされる危険性が高くなってしまいます。

ただ注意してほしいのが、有効期限の設定をするなということではなく、変えるのであれば完全に毎回パターンの違うものを使って推測されないようにしてほしいということです。

企業として業務上定期的なパスワード変更が必要になる場合もあると思います。
その場合、推測されないようなパスワードの設定を心がけましょう。

最後までお読みいただき、ありがとうございました。


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス