アカウント名:
パスワード:
親方日の丸だとスラドでは信用が高まるのでしょうか?私はこの団体全然信用出来ませんね。
プライバシーマークの使用を中止した事業者数って。平成22年6月1日の時点で1.930社もいたようですし。数が多すぎるからと公表も辞めちゃったとか、なかなかお粗末な運営しているように見えますね。
年間五十万程度の維持費がかかるようですが・・本当に必要なんでしょうかね。
プライバシーマークの発行元が信用できないからといってCCCが信用できるわけでも、応募資格を満たさなくていいわけでもない。
別の話。なら、警察が信用できないから無免許で自動車転がしてもいいのかと言う話。
必要である条件は満たす必要がある。発行元が天下り元だろうと、一応審査はしているだけで、その分は担保される。それすら通らない法人が「それ以上の事をしている」と言っても一笑にふされるだけ。
「それ以上の事をしている」なら審査通るのだから。
Pマークで要求されるのはJIS Q 15001への適合だけど、そこにはパスワードの扱いなんて書いてない。じゃあ「パスワードの定期変更」ってネタがどこから出てくるかというと、それに関連して経済産業省が制定した個人情報の保護に関するガイドライン [meti.go.jp]だ。
そこには、
①「個人データへのアクセスにおける識別と認証」を実践するために講じることが望まれる手法の例示・個人データに対する正当なアクセスであることを確認するために正当なアクセス権限を有する者であることの識別と認証(例えば、IDとパスワードによる認証、ワンタイムパスワードによる認証、物理的に所持が必要な認証デバイス(ICカード等)による認証、生体認証等)の実施*識別と認証においては、複数の手法を組み合わせて実現することが望ましい。*IDとパスワードを利用する場合には、パスワードの有効期限の設定、同一又は類似パスワードの再利用の制限、最低パスワード文字数の設定、一定回数以上ログインに失敗したIDを停止する等の措置を講じることが望ましい。*生体認証を利用する場合には、当該識別と認証の方法を実施するために必要な情報(例えば、指紋、静脈)が、特定の個人を識別することができることから、個人情報に該当する場合があることに留意する。・個人データへのアクセス権限を有する者が使用できる端末又はアドレス等の識別と認証(例えば、MACアドレス認証、IPアドレス認証、電子証明書等)の実施
--上記ガイドライン37ページよりと書かれている。
ここで言ってることは「識別と認証」が適切にできればよく、「IDとパスワード」はその1例でしかない上に、
IDとパスワードを利用する場合には、パスワードの有効期限の設定(中略)等の措置を講じることが望ましい。
と書かれており、必須とはされていない。
そもそも前述のようにIDとパスワードは識別・認証の1手法でしかなく、定期的に変更されるIDとパスワードよりも強固な手法(たとえばワンタイムパスワードによる認証や生体認証等)を使用していれば、別にパスワードの定期的な変更を行っていなくてもそれがJIS Q 15001に不適合であると即座に判断されるわけではない。
実際、自分の会社では個人情報へのアクセスはICカード(社員証と兼用)必須にする等いくつかの対策を行い、社員がPCにログインする際のパスワードは「定期的な変更」というルールの策定を行わずにPマークを取得・維持している。
なのでPマークは別に
Pマークってそういうことだろ。 パスワードの定期変更を強制するような会社
でなきゃ取得できないものではないし、Pマークを取得した会社がセキュリティのレベルを落としているかといえばそうとは限らない。「定期的なパスワードの変更」という方法だけで認可されてしまうこともあるのがPマークの緩い部分だ、というのは否定できないが、そういう方法でPマークを取得する会社があるからといって、Pマーク取得企業がすべてその程度のセキュリティだと考えているなら間違いだし、Pマークの要件が必ずしもセキュリティの低下を招くというのも間違い。もしPマークを取得するにあたってわざわざセキュリティを悪い方にねじ曲げる必要があるような指導をされたとしたら、それは単に担当者の無知か、能力の低い「安かろう悪かろう」なコンサルに騙されたってだけじゃないかな?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
経済産業省の天下り先 (スコア:0)
親方日の丸だとスラドでは信用が高まるのでしょうか?
私はこの団体全然信用出来ませんね。
プライバシーマークの使用を中止した事業者数って。
平成22年6月1日の時点で1.930社もいたようですし。
数が多すぎるからと公表も辞めちゃったとか、
なかなかお粗末な運営しているように見えますね。
年間五十万程度の維持費がかかるようですが・・
本当に必要なんでしょうかね。
Re: (スコア:0)
プライバシーマークの発行元が信用できないからといってCCCが信用できるわけでも、
応募資格を満たさなくていいわけでもない。
別の話。
なら、警察が信用できないから無免許で自動車転がしてもいいのかと言う話。
必要である条件は満たす必要がある。
発行元が天下り元だろうと、一応審査はしているだけで、その分は担保される。
それすら通らない法人が「それ以上の事をしている」と言っても一笑にふされるだけ。
「それ以上の事をしている」なら審査通るのだから。
Re: (スコア:-1)
Re:経済産業省の天下り先 (スコア:0)
Pマークで要求されるのはJIS Q 15001への適合だけど、そこにはパスワードの扱いなんて書いてない。
じゃあ「パスワードの定期変更」ってネタがどこから出てくるかというと、それに関連して経済産業省が制定した個人情報の保護に関するガイドライン [meti.go.jp]だ。
そこには、
--上記ガイドライン37ページより
と書かれている。
ここで言ってることは「識別と認証」が適切にできればよく、「IDとパスワード」はその1例でしかない上に、
と書かれており、必須とはされていない。
そもそも前述のようにIDとパスワードは識別・認証の1手法でしかなく、定期的に変更されるIDとパスワードよりも強固な手法(たとえばワンタイムパスワードによる認証や生体認証等)を使用していれば、別にパスワードの定期的な変更を行っていなくてもそれがJIS Q 15001に不適合であると即座に判断されるわけではない。
実際、自分の会社では個人情報へのアクセスはICカード(社員証と兼用)必須にする等いくつかの対策を行い、社員がPCにログインする際のパスワードは「定期的な変更」というルールの策定を行わずにPマークを取得・維持している。
なのでPマークは別に
でなきゃ取得できないものではないし、Pマークを取得した会社がセキュリティのレベルを落としているかといえばそうとは限らない。
「定期的なパスワードの変更」という方法だけで認可されてしまうこともあるのがPマークの緩い部分だ、というのは否定できないが、そういう方法でPマークを取得する会社があるからといって、Pマーク取得企業がすべてその程度のセキュリティだと考えているなら間違いだし、Pマークの要件が必ずしもセキュリティの低下を招くというのも間違い。
もしPマークを取得するにあたってわざわざセキュリティを悪い方にねじ曲げる必要があるような指導をされたとしたら、それは単に担当者の無知か、能力の低い「安かろう悪かろう」なコンサルに騙されたってだけじゃないかな?