パスワード(暗証番号)管理の責任は誰にあるのか?

いつも頭の痛い話題が多い毎日です
パスワード(暗証番号)について、顧客が設定した内容を販売店が尋ねると言う行為は、やはりおかしいと思う事があります。
「金融機関」で問い合わせをする際にも、「暗証番号の回答」は書面または、再発行というのが通例であります。
ある会社では、「設定したパスワード」を「顧客に尋ねてよい」と言うところがあると聞き、耳を疑いました・・・。
パスワード管理は楽天グループポリシーによると「月1回」更新がルール化されており、他社でも3ヶ月に1回や半年に1回といった更新と言う事が通例です。
さて、本来のパスワード管理というのはどのように行うべきか、考えてみました
*管理ユーザのアカウントは責任者が利用する
*実務ユーザのアカウントを発行できるようにする
*実務ユーザが退職等した場合は、管理ユーザより実務ユーザのアカウントを廃止する
といった事が運用ポリシーに照らし合わせても適切ですが、現実は厳密に対応しなければ、パスワード漏洩や秘密を守るためのパスワードが、単なる「行程」になりかねません。
現実は非常識な事を平然といってのける方が多いだけに、唖然とするのですが、これが20年くらい前の頃なら仕方ない事としても、現在ではあり得ないと思うのです。(20年前にはすでに上記のような階級制アカウントが存在していたが、まだ一部しか無くまだ認識が薄かった時代であった)
パスワード管理を怠った結果、トラブルに巻き込まれるのは「利用者自身」であり、同時に運用管理している側にも連帯責任が発生してしまいます。
こういう話題を耳にするたびに、「大丈夫だろうか」と疑問を呈するのは時代に即していない事を暗に示す結果に思えてなりません。

Comments are closed.