パスワードの取り扱いについて法規制をせよ by ICTの魔女さん | デジタル改革アイデアボックス

あなたと創るデジタル社会

デジタル改革アイデアボックス


アイディア番号
@02133

パスワードの取り扱いについて法規制をせよ

カテゴリー
2.デジタル社会に関する意見
寄稿者
ICTの魔女さん
投稿日時
コメント数
2コメント
評価P
2ポイント

「銀行口座の暗証番号は、たとえ相手が警察官や銀行員であっても教えてはならない。」
この認識は今どき子供でも知っている常識である。しかしパスワードの取り扱いについてはどうだろうか。どうやらまだ正しく認識されていないように見受けられる。

私事で恐縮だが、1~2年前にマイナンバーカードを発行しに某役所に赴いた折、複数の職員や他の住人が居る目の前で、申請用紙に平文のパスワードを記入させられて辟易したことがある。また、こちらは既に改善されたとの未確認情報があるものの、十年ほど前に税務署にて確定申告を行なった折には、端末に入力したはずのパスワードが渡された紙に平文で印刷されていた。

これらの経験から、官公庁が運営するサイトに対しては特に、パスワードを不適切に保存しているのではないか、との疑念が払拭できずにいる。このため、どうしても安心して利用することができない。

そこで、パスワードの取り扱い方法について、明確に法規制をすることを提言したい。

具体的には、まず、不正アクセス禁止法における「識別符号」、すなわちパスワードを、どのように扱わなければならないかについての規定を設ける。

(1) 平文パスワードを他人に見える形で記入・入力させる行為の禁止
(2) システム側において平文パスワードをログも含めて保存することを禁止
(3) システム側で保存するハッシュについては、ソルト長やアルゴリズム等について規定
(4) パスワードを入力させる場合、経路が暗号化されていることを規定

次に、これらの条件を満たしているものと、そうでないものを、ユーザーが容易に区別できるように規定する。

こちらは具体的な良い手段を見つけらずにいるが、例えば条件を満たさないものは「パスワード」と称してはならないとし、「ひみつのことば」など別の言葉で表現させるようにする。あるいは、日本法の及ばない海外サービスも考慮し、逆に条件を満たした場合にのみ「〇〇準拠」と記載できるようする。

以上、ぜひご検討頂きたい。

このアイデアのタグ

ページの先頭へ