パスワードは定期的に変更する必要なし、総務省の方針転換話題に
インターネットのパスワード設定を定期的に変更すべきかどうかについて、総務省が方針を「定期的に変更すべき」から「定期的な変更は不要」へと転換した。総務省の公式サイトでは2017年11月から「定期的な変更は不要」という文言を掲載していたそう。
実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はなく、むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使いまわしをするようになることの方が問題となると、定期的に変更する方がかえって問題になる可能性を示唆した。
方針を変えた理由については、内閣サイバーセキュリティ―センターがパスワードの定期変更について同様の趣旨を示していたのを受けて対応したと説明した。
引用:http://nlab.itmedia.co.jp/nl/articles/1803/27/news130.html
─ YODOQの見方───────────────────────────
今回の方針転換によってプライバシーマークを持つ全ての企業は対応を強いられることになる。
4月10日の日経新聞の記事によると、個人情報を適切に扱う事業者に与えられる「プライバシーマーク」を発行する一般財団法人の日本情報経済社会推進協会は10日、設定時の審査基準を改定し、インターネット利用時のパスワードの定期的な変更を不要にする方針を示した。
今回見直したのは企業が顧客らの個人情報を適切に扱っているかを審査する基準で、情報流出を防ぐ手法の例示から「パスワードの有効期限の設定」「同一パスワードの再利用を制限」という表記を外した。これにより従業員や顧客らにパスワードの定期変更を求めてきた企業も、対応を変える必要が出てきた。実際Pマーク取得企業以外でも見直しの動きが始まっており、交流サイト大手のmixiは2日、利用者に定期変更を呼び掛けてきた文章を削除した。
定期変更はしなくていいが、その分今まで以上に安全なパスワードをつける必要がある。名前や誕生日などの個人情報を使うこと、意味のある英単語を使うこと、数字だけや小文字アルファベットのみで記述すること、短いパスワードにすること、これらは特定されやすいため避けるべき。ある程度の長さで、数字記号大文字などを混ぜることで安全なパスワードを作成できる。
参考:https://www.nikkei.com/article/DGXMZO29214870Q8A410C1CR8000/