システム監査人

情報管理の基本であり、その最重要項目としてID／パスワードの管理に関して考察する。
（１）ID／パスワードの所有者
まず各個人が、自分の所有している全てのIDをリストアップし、不要なIDを削除する。次に、所有しているIDのパスワードをその重要性に応じた間隔で定期的に変更する。間違っても、電話番号・誕生日・会社名・部署名・自分または親族の名前等推測し易い文字列をパスワードととして使用しない。パスワードを他人に教えない、机上・キーボードの裏・ディスプレーまわりにポストイット等で張らない。離籍時には必ず画面パスワードロックをマニュアルで行う。
パスワードを盗まれ、不正使用された場合のリスクを認識すること。

（２）ID管理者
不要IDは、定期的に削除する。初期パスワードは、推測されないワンタイムパスワードを使用し、IDの所有者へのそのパスワードを渡す際には漏洩されない方法で実施すること。パスワードは、定期的な強制変更機能を使用すべきであり、連続数回（5回以内が望ましい）パスワード入力エラーとなった場合は、そのIDを自動的にディセーブルとすること。
理想的には、シングルサインオンとワンタイムパスワードの組み合わせを導入すべき。各個人が、複数のIDとパスワードを管理するのは負担が大きいとともにリスクも高い。

現在、全ての金融機関では２００５年４月１日に全面施行される個人情報保護法に対する準備作業が可也の負担となっています。　お客様・従業者の個人情報を適切に管理・保護することは、この法ができる前から金融機関にとって当然のことであり、なぜ今更と思われるのは私だけではないと思います。

それでは、この法により新たに得をするのは誰なのか考察してみます。
（１）一般個人
個人情報取扱業者により個人情報が、厳格に保護されることはありがたいが、それでも個人情報が漏洩することを完全に防ぐことは不可能、この法以前と実質的に同じと考えられる。DM・電話勧誘が減ることぐらいか。

（２）中小企業を経営する一般個人・個人情報取扱業者
何の得もなし。その管理負担が増えること、違反した場合の行政処分等不利益のみ。監督官庁による行政指導強化のみ。

結論：
個人もその情報を保有する個人・企業にとっても利益なし。それでは、この法によって誰が得をするのか、この法の心（真に意味するところ）は何なのか。
やはりその心は、情報統制の一貫と考えてしまうのは穿った見方なのだろうか。しかし、確かにこの法で得をするのは国家機関・公人等権力者であり、それらの個人情報（個人情報を含む全情報）が厳重に管理・保護されることである。この法の保護という言葉の本当の意味は、今後はっきりと我々に示されることになる。

アーン・ア・アーン・ア・ヤンナチャッタ・アーンガ・アーンガ・アーンガ・オドロイタ。