Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

プライバシーマーク(Pマーク)の規格要求事項で改定されたパスワードのルール

2019年7月2日

本記事では、「プライバシーマークの規格要求事項」で改定されたパスワードについての新ルールについてご紹介します。
また、プライバシーマークの規格要求事項改訂の内容も交えて解説していきたいと思います。

JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)の改訂

今までプライバシーマークの基準になっていた「JIS Q 15001:2006(個人情報保護マネジメントシステム-要求事項)」が、2017年12月20日に、「JIS Q 15001:2017(個人情報保護マネジメントシステム-要求事項)」に改訂されました。

JISQ15001:2006年版の3.4.3.2安全管理措置の規格要求事項では、定期的なパスワードの変更が求められていましたが、JISQ15001:2017年版では有効期限の設定がなくなり、かわりに複数サービスで同じパスワードの使いまわしをしないことが盛り込まれました。

3.4.3.2安全管理措置

(旧)
① パスワードの有効期限を設定している。
② 同一又は類似パスワードの再利用を制限している。
③ 最低パスワード文字数を設定している。
④ パスワードの設定方法(文字、数字、記号を必ず混ぜて設定する等)を定めている。
⑤ 一定回数以上ログインに失敗したIDの停止等の措置を講じている。
運用確認のためのエビデンス
・個人情報を取り扱うコンピュータ、サーバー等の設定
・個人情報へのアクセス状況に関する記録

(新)
① 最低パスワード文字数を設定している。
② パスワードの設定方法(文字、数字、記号を必ず混ぜて設定する等)を定めている。
③ 一定回数以上ログインに失敗したID の停止等の措置を講じている。
④ パスワードの設定変更をする場合には、類似パスワードの再利用を制限している。
⑤ 複数のサービスで同一のパスワードを使い回さないことを求めている。
⑥ 漏えいした、または漏えいのおそれがあるパスワードは、速やかに変更することを求めている。

※引用:JIS Q 15001:2006 をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版

Pマーク新規認証取得・運用について詳しく知りたい方はコチラ

改訂の背景と注意点

こうなった背景として、パスワードがパターン化して簡単になってしまうことや、使いまわしになることによってかえってセキュリティレベルが低下してしまうのではないかということが懸念されたからです。

具体的には、定期変更の場合ほとんどの人は面倒くさくなって昔使っていたパスワードの再利用や、今使っているパスワードの一部だけ変更して使う等があげられます。
このような運用ですと、パスワードがパターン化してきてしまい、推測しやすいので不正アクセスされる危険性が高くなってしまいます。

ただ注意してほしいのが、有効期限の設定をするなということではなく、変えるのであれば完全に毎回パターンの違うものを使って推測されないようにするべきだということです。

企業として業務上定期的なパスワード変更が必要になる場合もあると思います。
その場合、推測されないようなパスワードの設定を心がけましょう。

プライバシーマークの無料相談受付中!
プロのコンサルタントがお悩みをお伺いします。お気軽にご相談ください。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。