【解説】きょうから「個人情報を考える週間」。パスワード、使い回していませんか？

 
きょう2022年5月30日から6月5日までは、個人情報保護委員会が主導する「個人情報を考える週間」です。個人情報を守る鍵となるアカウント、パスワードを安全に保つために、推奨される対策やサイバーセキュリティに関する知識・情報を学べるサイトをまとめました。

あらゆるサービスで利用する「アカウント」と「パスワード」

Apple製品ユーザーにとって必要不可欠な「Apple ID」、メールサービスとしてビジネス利用される方も多い「Gmail」などの「Googleアカウント」など、仕事やプライベート問わずインターネットを利用するなかで、多くのアカウントを利用しています。
 
アカウントへのログインには基本的にパスワードを利用しますが、アカウントとパスワードが盗まれた場合は、アカウントの不正利用につながる恐れがあります。
 
Googleのサービスや技術に関する最新情報を配信しているGoogle Japan Blogは、パスワードとアカウントの安全を守る10のヒントを紹介しています。
 

1.パスワードを複数のアカウントで使い回さない

重要なアカウントでパスワードを使い回すのは特に危険です。どれか1カ所でも第三者にパスワードが漏洩すると、メールや連絡先が漏れるだけでなく、登録している支払い情報を悪用した金銭的な被害を受ける可能性もあります。
 

2.長いパスワードはより安全性が高まる

企業・サービスによって、アカウントに設定できるパスワードの文字数や大文字・小文字の区別、記号などを含むといった条件が異なりますが、Google Japan Blogではパスワードを12文字以上にすることを推奨しています。長いパスワードはさらに安全性が高まるとしています。
 

3.英字（大文字・小文字）と数字、記号を組み合わせた強力なパスワードにする

英字のみのパスワードは覚えやすいですが、その半面、第三者から予測されたり、総当たり攻撃（ブルートフォースアタック）などのパスワード解析で解読される可能性が高まります。
 
大文字と小文字を交えるほか、数字や記号を組み合わせたパスワードにすると、より安全です。
 
Apple製品では、iOS12以降の場合、Safariで閲覧中のWebサイトなどでユーザー登録する際に、自動生成された強力なパスワードを提案する機能が利用できます。
 
この機能で作成されたパスワードはランダムな文字列であるため、個別に記憶するのは難しいですが、Safariで使うアカウントやパスワードなどの情報をiCloudに保存し、次回から自動入力してくれる「iCloudキーチェーン」で保存されるため、覚えておく必要がありません。またiCloudキーチェーンに保存した個人情報のうち、パスワードが流出している可能性がある場合は警告して知らせてくれます。
 

4.他人に知られている情報や簡単に見つかる情報からパスワードを作成しない

例えば名前や生年月日といった、他者でも知りやすい情報、簡単に見つかる情報からパスワードを作成すると、より推測しやすくなります。
 
銀行口座の暗証番号設定でも、生年月日や電話番号に関連する数字や、連続した番号、4つの同じ番号は設定できません。これと同様にアカウントを守るパスワードも、複雑な文字列の組み合わせを使うなど、強力なパスワードにしましょう。
 

5.作成したパスワードを他人に知られないようにする

アカウントとパスワードを忘れないよう、手帳に記したり、あるいはふせんなど紙にメモして管理する･･･といった方は要注意です。
 

6.パスワード管理ツールを使用する

Googleの場合は「Googleパスワードマネージャー」を提供しており、パスワードの作成や保存、保護に役立てることができます。Apple製品の場合は先述した「iCloudキーチェーン」が利用できますし、Windowsで知られるMicrosoftも「Authenticator 」といった同様のサービスを提供しています。
 
サードパーティー製のパスワード管理アプリ・サービスでは「1Password」などがよく知られています。
 

7.パスワードを定期的に更新する

Google Japan Blogではパスワードの定期的な更新を推奨していますが、一方で総務省が開設している「国民のための情報セキュリティサイト」では、パスワードを複数のサービスで使い回さないことは推奨しているものの、パスワードの定期的な変更は不要としています。
 
これは2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービス提供側からユーザーに、パスワードの定期的な変更をすべきではない旨が示されたもので、定期的なパスワード変更はかえってリスクを高めることになると、総務省が方針変更しています。
 

8.パスワード チェックアップを実行する

パスワード チェックアップはGoogleが提供しているサービスです。Googleアカウントに保存したパスワードのセキュリティをチェックできる機能で、パスワードが不正使用されるリスクや、パスワードの強度、使い回しているかどうかなどを確認できます。
 

9.パスワードが漏洩した場合に備えて再設定用の情報を追加する

パスワードの再設定方法は、利用するWebサイト・サービス・アプリなどによって異なります。よく利用するサービスでアカウントのパスワード再設定用情報を確認し、万が一に備えて設定しておくと安心です。
 
Apple製品では、Apple IDのパスワードやデバイスのパスコードを忘れてしまった場合でも、復旧用の連絡先をあらかじめ設定しておくことでアカウントを復旧できる機能が提供されています。もし忘れてしまったとき用に、パスワードのリセット方法を確認しておくことも重要です。
 

10.2段階認証を利用する

多くのサービス・アプリなどで、アカウントに対するパスワードに2段階認証を設定することができます。
 
例えばユーザー名とパスワードでログインする際に、携帯電話のSMSや登録しているメールアドレスあてに一時的なパスワード（ワンタイムパスワード）を送信し、ワンタイムパスワードがないとログインできないようにしたり、Googleの場合はスマホ向けアプリと連携させて、ログイン時にアプリ側で正しい選択肢を選ばないとログイン承認しない、という仕組みもあります。
 
Apple製品では、Apple IDで2ファクタ認証が利用できます。

個人情報を扱うシーンにはさまざまな落とし穴が･･･

「個人情報を考える週間」を主導する個人情報保護委員会は、個人利用者、事業者向けに、個人情報を取り扱うさまざまなシーンの落とし穴を特設サイトで紹介しています。
 

 

 
同委員会の丹野委員長は次のようにコメントしています（太字は筆者によるもの）。
 

事業者だけでなく、個人の方も、日々、注意して個人情報を取り扱うことが重要です。個人の皆様が個人情報の取扱いや個人情報保護制度について学ぶことができるよう、日常で個人情報の取扱いに注意すべき典型的な場面である、SNSやオンラインゲーム等を題材にした研修動画のほか、マンガやパンフレット等の様々なツールを委員会ホームページ上にご用意しています。
 
子どもたちがSNSやオンラインゲームを利用する場合、その危険性に気が付かず、自分や友達の名前・学校名などを書き込んだり、住所がわかるような写真を掲載してしまったりして、危険な目にあうこともあります。子どもたちが利用する際には、必ずご家族に確認するなど、この機会に、家庭内のルールについて話し合っていただけるようお願いします。

サイバーセキュリティやネット利用について学べる政府のサイトも

個人情報の取り扱いや知識については、政府が国民向けに開設しているWebサイトも参考になります。
 
総務省の「国民のためのサイバーセキュリティサイト」（旧：国民のための情報セキュリティサイト）では、サイバーセキュリティについての解説のほか、インターネットを使ったサービス、リスク、サイバーセキュリティ関連の法律についての基礎知識が学べます。
 

 
内閣サイバーセキュリティーセンター（NISC）では、サイバーセキュリティに関する普及啓発活動の一環として、サイバーセキュリティに関する基本的な知識が学べる「インターネットの安全・安心ハンドブック」をPDFファイルで公開しています。
 
定期的に内容更新されているハンドブックでは、サイバー攻撃の最新の手口や、パスワード、Wi-Fi、Webサイト、メールのセキュリティを理解して安全に使う方法、スマホやパソコンのより進んだ使い方やトラブルの対処方法などが紹介されています。
 

 

「個人情報を考える週間」契機に一度確認を

覚えやすいパスワードの利用やパスワードの使い回しなど、セキュリティ面でリスクがあることは理解していても、パスワード管理ソフト・サービスに登録するのがおっくうであったり、”いつも使っているパスワード”でログインする方が楽だと考える方も多いと思います。
 
しかしアカウントとパスワードが一度漏洩すると、さまざまな個人情報が第三者に漏れるだけではなく、登録しているクレジットカードなどの支払い情報を悪用して不正利用されるなど、金銭的な被害を受ける可能性もあります。
 
「個人情報を考える週間」を契機に、一度よく利用するサービスや重要なアカウントのパスワード、パスワードを守る方法について、確認してみてはいかがでしょうか。
 
 
Source:Google Japan Blog, Google パスワード チェックアップ, 個人情報保護委員会, 総務省 国民のための情報セキュリティサイト, 国民のためのサイバーセキュリティサイト, NISC インターネットの安全・安心ハンドブック
(asm)