個人情報保護士の観点から見たパスワード管理について

created at: 2017-08-10 GitHub Edit Page

この記事は公開から1年以上が経過しています。内容が一部古い箇所があります。

この記事流し読みした。

NIST、だいぶ前に「パスワードの定期変更やめろ」みたいなこと言ってたと思うんですよね。

そういや前に個人情報保護士に質問する機会があって、パスワード管理について個人情報保護法としてはどのような見解なのかを聞いてみた。

パスワードはできる限り新しくしておく（定期変更）
ただし様々なツールで使用されなかなか個人で記憶できないこともある
- そうした場合は **「パスワード管理者」**という人を立てておきその人にパスワード管理してもらう

って感じだったと思う。

ヒューマンによる 1Password もどきもどうなんだとは一瞬思ったけど、管理場所の鍵だけ強固にしといてその人以外は触らないようにして、誰でも取り出し可能にするってんならいいんじゃないのっていう、しっかりしてるのか緩いのかよく分からない見解だった気がする。まぁいいか。(いいのか？　)

ただ、そもそものパスワード管理についてを個人情報保護的にもどう扱っていいのか分からんみたいになっているとその時は感じた。

ともかくパスワードという存在自体が人間の努力とかその辺でどうにかしようとしてる時点で設計は破綻しているのだから、生体認証みたいなのが流行って「強盗団により重役の指が切り取られる事件が発生」みたいな社会になってほしいなと切に思います。

アーカイブ記事のため、内容に関する更新依頼は受け付けておりませんが、誤字や脱字などありましたらご連絡ください。

個人情報保護士の​観点から​見た​パスワード管理に​ついて