Pマーク運用でパスワードの定期変更は義務ですか?最新基準と実務的な判断基準は?
お世話になります。
今日まで社員全員のパソコンのパスワードを毎年変更していましたが、Pマーク保有企業においては、それは義務でしょうか?
または、1年に1回でなくても、何年ごとにとか縛りはあるのでしょうか?それとも全く変更しなくてもPマーク的には指摘事項ではないでしょうか?
よろしくお願いいたします。
結論から申し上げますと、Pマーク(プライバシーマーク)の要求事項において、パスワードの定期変更を強制する規定はありません。
実際の審査においても、定期変更を行っていないことのみをもって指摘事項(不適合)とされることはありませんのでご安心ください。
現在、日本の公的ガイドライン(総務省等)や国際的な標準(NIST等)では、「流出の恐れがない限り、定期変更は不要」という考え方が主流となっています。
1. なぜ「定期変更」は推奨されなくなったのか?
かつては「定期的(例:1年ごと)に変更すること」が推奨されていましたが、現在は以下のような理由により方針が大きく転換しています。
- セキュリティ低下の懸念
定期変更を強制すると、ユーザーが「Password2024」「Password2025」のように推測しやすいパターンを使ったり、忘れないよう付箋にメモしたりするリスクが高まるためです。 - 最新の推奨事項
「流出の恐れがない限り、定期的な変更は不要」とされています。その代わりに、以下の対策が推奨されています。- – パスフレーズの利用:記号や数字を無理に混ぜるのではなく、自然な言葉を組み合わせた、15文字以上の長い文字列。
- – パスワードマネージャーの活用:サービスごとに一意で強力なパスワードを生成・管理する。
2. 専門的視点:あえて「定期的な変更」を継続する合理性
一方で、ガイドラインが「不要」としているからといって、全ての組織で廃止が正解とは限りません。実務上のリスクを考慮すると、定期変更は現在も「有効な補完策」となり得ます。
- 「漏洩の未検知」リスクへの備え
本来、定期変更を不要とする前提には「漏洩が確認できなければ」という条件がありますが、現実には自社が気づかないうちに闇市場で流通しているケースも想定されます。 - 監視コストの抑制
全社員のパスワードが漏洩しているかどうかを24時間監視し続けるのは、特に中小規模の組織にとって現実的ではありません。 - 実務的な費用対効果
複雑な調査体制を敷くよりも、ルールとして一律で「定期的な変更(例えば、1年ごとに一斉変更)」を行う方が、シンプルかつ確実にリスクを低減できる場合があります。
3. Pマーク審査で指摘されないための運用ポイント
運用を変更(または維持)する際は、以下のポイントを内部規定に反映させることが重要です。
- パスワード強度のルール化
単一要素認証では15 文字以上、多要素認証(MFA)と併用する場合は8 文字以上といった基準を設ける。 - 使い回しの禁止
複数のサービスで同じパスワードを使い回さないよう教育を徹底する。 - 流出時の規定
漏洩の疑いがある場合には「速やかに変更する」旨を規定に明記する。
4. まとめ:組織の状況に合わせた「リスク判断」を
過去に流出した認証情報は世界で100億件を超え、攻撃者は総当たり攻撃を高速化させています。
定期変更をやめる場合は、多要素認証(MFA)やパスキー(FIDO2)などの導入をあわせて検討することが強く推奨されます。
最新のガイドラインを理解した上で、自社の管理リソースに見合った「実効性のある運用」を選択してください。
執筆・監修:ISM Web store カスタマーサポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
