【改訂対応】Pマーク取得企業が行うべき5つの「パスワード」管理方法

「パスワード管理は面倒だし、同じパスワードの使いまわしでいい？」

「定期変更は本当に必要？」と感じる企業担当者の方も多くいらっしゃると思います。

2024年10月1日に、「JIS Q 15001:2023　個人情報保護マネジメントシステム要求事項」が改訂され、パスワードの管理はいままでより強固な情報の保護が求められるようになりました。

そして、Pマーク（プライバシーマーク）を取得・維持するには、JIS Q 15001:2023の規格に沿った情報セキュリティ体制が必要とされます。

そのうちの一つとして、各種パスワードを適切に管理するルールの設定も必要になってきます。適切なパスワード設定・管理ができていることで、個人情報の漏洩などを防ぐことができます。

ここでは、改訂後の「JIS Q 15001:2023　個人情報保護マネジメントシステム要求事項」をもとに、Pマーク取得事業者が守るべきパスワードの設定・管理のルールについてをメインに解説していきます。

本稿を読み終えれば、組織全体のパスワード管理における課題が明確になり、より強固なセキュリティ体制をとるための知識が備わるはずです。

1.JIS Q15001:2023年版ではより強固な情報の保護が求められる

JIS Q 15001:2023個人情報保護マネジメントシステム要求事項では、従来のパスワード管理に比べ、より強固な情報の保護を目的としています。

なぜなら、JIS Q 15001:2023年版では、改正後の個人情報保護法への対応が必須になったからです。

特に、個人情報の漏えいや発生時の報告義務、情報が漏えいしてしまった本人への請求権拡大などに対する要求が明確化されました。

そこで、個人情報の漏えいを防ぐために必須となるのがパスワード管理の設定です。

個人情報の漏えいを防ぐためには、パスワードの設定管理が重要となってきます。

（1）定期的なパスワード変更はセキュリティレベルの低下に繋がる

JIS Q 15001:2017年版から、JIS Q 15001:2023年版で、なぜこのような改訂に至ったかというと、パスワードのパターン化や、使いまわしをすることにより、セキュリティレベルが低くなってしまうことが懸念されたからです。

例えば、定期的にパスワードの変更が求められるサービスの場合、ほとんどの人は面倒くさくなり、以前使用していたパスワードの再活用や、今使っているパスワードの一部だけ変更して使う等があげられます。

このような運用・管理ですと、パスワードがパターン化してきてしまい、推測しやすいので不正アクセスされる危険性が高くなってしまいます。

さらに、個人のパスワードならまだしも、社内の機密情報などを管理するパソコンのパスワードであれば、そこから社内やお取引のある顧客の情報が漏えい・流出し、企業に関わる大きな事件となってしまいます。

パスワードのパターン化と使いまわしを避ければ、定期的なパスワードの変更は必要ないと言われています。

（2）定期的なパスワード変更をする場合はより複雑にする

前述で定期的な変更を何度もする必要はないと解説しましたが、注意してほしいのが、有効期限の設定をするなということではなく、変えるのであれば完全に毎回パターンの違うものを使って推測されないようにするべきだということです。

企業として業務上定期的なパスワード変更が必要になる場合もあると思います。

その際は、推測されないようなパスワードの設定を心がけましょう。

2.安全性の高いパスワードを作成・運用するにあたり必要な5つのルール

前述でも述べたように、パスワードを定期的に変更することにより、情報の漏洩に繋がってしまう可能性があります。

個人だけでなく、会社や組織内のパスワード管理をきちんと行うために必要なルールを知っておきましょう。

（1） 5つのルール

昨今では、パスワード設定時に安全性のレベルが目に見えて分かるようにしているサイトなどがよくあります。

では、パスワードの強度を高くするにはどうすれば良いのでしょうか。

また、パスワードが漏洩しないようにするためにはどうすればいいでしょうか。

ここでは、守るべき5つのルールについてご紹介致します。

①最低文字数以上のパスワード設定にする

基準として英数字を合わせて10桁以上にすることをおすすめします。

短すぎるパスワードは、推測されやすく漏えいにつながる可能性があるためです。

したがって、10桁以上の文字数の設定を行いましょう。

②大文字、小文字のアルファベットだけでなく数字を入れたパスワード設定にする

利用する文字の種類を増やすことにより、強力なパスワードを作成することができます。

パスワードは、複雑性を持つことが求められます。

可能であれば、アルファベット、数字の他に記号や特殊文字も入れて、より複雑なパスワード設定を行うようにしましょう。

自分の名前や誕生日、電話番号などの把握しやすいパスワードは、サイバー攻撃者に流出する恐れがあるため、パスワードの設定時には控えましょう。

③複数のサイトで同じパスワードを使用しない

1つのパスワードを複数のサイトで使いまわすことは、一つのサービスで漏洩した場合に、他のサービスでもログインできるようになってしまうので危険です。

サービスごとに個別のパスワードを設けるようにしましょう。

④できるだけ指紋認証、顔認証等の生体認証を用いた管理をする

パスワード管理の一環で顔認証、指紋認証が使用できるデバイスも増えてきました。

個人でなければ開くことができない顔認証や指認証を利用し、より強固なパスワード設定を行いましょう。

⑤パスワードの保管・保存方法を決める

パスワードを目に見えるメモやポストイットなどで保管しておくのは論外です。

他者からはわからないように、自分だけが分かるように保管しましょう。

（2） 便利な自動入力は実は危険

結論からいうと、自動入力は危険だとされています。

昨今、スマートフォンなどのパスワードを自動入力する設定が普及してきました。

しかし、複数のサイトに渡って同じようなパスワードを使用しているにも関わらず、デバイス自体にパスワードを記憶させているので、保存する先を間違ってしまうと簡単に他人にパスワードを知られてしまう可能性があるからです。

前述の5つのルールを守るように意識し、なるべく一つ一つのパスワードの入力を行うようにしましょう。

3.まとめ

Pマークにおけるパスワード管理は、単なるルールではなく、個人情報を守るための重要性を持ちます。

JIS Q 15001:2023　個人情報保護マネジメントシステム要求事項の改訂は、今までの「定期的なパスワード変更」から、「より強固で使い回しのないパスワードの維持」へと、その本質的な要求事項が変わったことがわかったのではないでしょうか。

企業としては、この新しい要求事項を正しく理解し、以下の5つのルールに注意してパスワード管理体制を強化していく必要があります。

1. 最低文字数以上のパスワード設定にする
2. 大文字、小文字のアルファベットだけでなく数字を入れたパスワード設定にする
3. 複数のサイトで同じパスワードを使用しない
4. できるだけ指紋認証、顔認証等の生体認証を用いた管理をする
5. パスワード管理を誰にでも見ることのできるメモやポストイットなどに記載しない

このルールを守ることで定期的なパスワード変更も不要となります。

ぜひ、本稿を読んで、Pマーク取得企業が行うべきパスワード管理を理解し、漏洩や流出に対する事前対策を行いましょう。