本記事では、「プライバシーマークの規格要求事項」で改定されたパスワードについての新ルールについてご紹介します。
また、プライバシーマークの規格要求事項改訂の内容も交えて解説していきたいと思います。

JIS Q 15001：2017（個人情報保護マネジメントシステム－要求事項）の改訂

今までプライバシーマークの基準になっていた「JIS Q 15001：2006（個人情報保護マネジメントシステム－要求事項）」が、2017年12月20日に、「JIS Q 15001：2017（個人情報保護マネジメントシステム－要求事項）」に改訂されました。

JISQ15001：2006年版の3.4.3.2安全管理措置の規格要求事項では、定期的なパスワードの変更が求められていましたが、JISQ15001：2017年版では有効期限の設定がなくなり、かわりに複数サービスで同じパスワードの使いまわしをしないことが盛り込まれました。

3.4.3.2安全管理措置

(旧)
① パスワードの有効期限を設定している。
② 同一又は類似パスワードの再利用を制限している。
③ 最低パスワード文字数を設定している。
④ パスワードの設定方法（文字、数字、記号を必ず混ぜて設定する等）を定めている。
⑤ 一定回数以上ログインに失敗したIDの停止等の措置を講じている。
運用確認のためのエビデンス
・個人情報を取り扱うコンピュータ、サーバー等の設定
・個人情報へのアクセス状況に関する記録

(新)
① 最低パスワード文字数を設定している。
② パスワードの設定方法（文字、数字、記号を必ず混ぜて設定する等）を定めている。
③ 一定回数以上ログインに失敗したID の停止等の措置を講じている。
④ パスワードの設定変更をする場合には、類似パスワードの再利用を制限している。
⑤ 複数のサービスで同一のパスワードを使い回さないことを求めている。
⑥ 漏えいした、または漏えいのおそれがあるパスワードは、速やかに変更することを求めている。

※引用：JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版

Pマーク新規認証取得・運用について詳しく知りたい方はコチラ

• 月額4万で全ての作業をサポート！新規認証コンサルティング

改訂の背景と注意点

こうなった背景として、パスワードがパターン化して簡単になってしまうことや、使いまわしになることによってかえってセキュリティレベルが低下してしまうのではないかということが懸念されたからです。

具体的には、定期変更の場合ほとんどの人は面倒くさくなって昔使っていたパスワードの再利用や、今使っているパスワードの一部だけ変更して使う等があげられます。
このような運用ですと、パスワードがパターン化してきてしまい、推測しやすいので不正アクセスされる危険性が高くなってしまいます。

ただ注意してほしいのが、有効期限の設定をするなということではなく、変えるのであれば完全に毎回パターンの違うものを使って推測されないようにするべきだということです。

企業として業務上定期的なパスワード変更が必要になる場合もあると思います。
その場合、推測されないようなパスワードの設定を心がけましょう。

ISO・Pマークについてのお悩みはありませんか？

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン
  相談予約

ISO・Pマークについてのお悩みはありませんか?

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン相談予約