Pマーク発行機関も「パスワード定期変更は不要」

個人情報を適切に扱う事業者に与えられる「プライバシーマーク（Pマーク）」を発行する一般財団法人の日本情報経済社会推進協会（東京・港）は10日、認定時の審査基準を改定し、インターネット利用時のパスワードの定期的な変更を不要にする方針を示した。総務省などの方針転換に対応した。Pマークを取得済みの約1万5千社・団体でも同様の動きが広がりそうだ。

同協会が見直したのは企業が顧客らの個人情報を適切に扱っているかを審査する基準。情報流出を防ぐ手法の例示から「パスワードの有効期限の設定」「同一パスワードの再利用を制限」という表記を外した。

日立製作所や富士通、パソナなど約1万5千社・団体が取得するPマークは、官公庁が事業委託の条件にすることも多い。認定更新には2年ごとに審査を受けねばならない。従業員や顧客らにパスワードの定期変更を求めてきた企業も、対応を変える可能性がある。

ネット利用時の本人確認に必要なパスワードは、なりすまし被害などを防ぐため定期的に変えるのが常識とされてきた。しかし2016年ごろから米国などで「頻繁な変更を求めると結果的に類推されやすい文字列になり、かえって不正アクセスの危険が高まる」との意見が広がっていた。

日本でもサイバー攻撃対策を担う内閣官房の内閣サイバーセキュリティセンター（NISC）が16年末に「必要なし」とする見解を示し、長らく定期変更を求めてきた総務省も「不要」とした。

Pマーク取得企業以外でも見直しの動きが始まっている。交流サイト大手のミクシィ（東京）は2日、利用者に定期変更を呼びかけてきた文章を削除した。総務省などの方針転換を踏まえた。