個人情報保護委員会が公開の研修資料、「パスワードの定期的な見直し」にツッコミ相次ぐ

　個人情報保護委員会が公開した行政機関等向けの研修資料で、パスワードの定期的な見直しを求める記述が見つかり、ネット民からのツッコミが相次いでいる。

　これは行政機関などで個人情報の取扱いに従事する職員らを対象に、保有する個人情報を安全に管理するために必要な措置をまとめたもの。個人情報保護委員会事務局が2月28日にウェブサイトに掲載したこの資料、講ずべき安全管理措置のほか、漏えいが発生した場合の対策が端的にまとめられているほか、巻末には確認テストも用意されているため評判は上々なのだが、唯一ツッコミが入っているのが、パスワードの取り扱いに関する記述。「情報システムのパスワードは（略）年１～２回の頻度で定期的に変更する」という記述に加えて、同時に公開されている保護管理者・担当者向け資料では「情報システムのアクセス制御及びパスワードの定期的な見直しを行っているか」に留意する必要があるとされており、ネットではツッコミが相次いでいる。総務省の「国民のためのサイバーセキュリティサイト」や、NISCの「インターネットの安全・安心ハンドブック」で、パスワードの定期的な変更は不要なことが理由付きで紹介されているのとは対照的で、今後は省庁間での見解の統一が求められそうだ。

• 行政機関等向け研修資料等（個人情報保護委員会）
  https://www.ppc.go.jp/personalinfo/kensyuushiryou_gyousei/
• 安全なパスワード管理（国民のためのサイバーセキュリティサイト）
  https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_staff_01.html
• インターネットの安全・安心ハンドブック（NISC）
  https://security-portal.nisc.go.jp/guidance/handbook.html