こんばんは。以前から気になっていた「医療情報システムの安全管理に関するガイドライン」（以下：医療情報ガイドライン）なんですが、パスワードの定期変更堅持路線は変わってないようです。

　５月30日の高木浩光先生の医療情報ガイドラインに関するツイートが流れてきました。高木先生のツイートに医療情報ガイドラインに関する意見と、その回答となる部分の画像がありました。医療情報システムにおけるパスワードの話なんですが、二要素認証を推奨することはいいのですが、それが無理な場合の対応として、パスワードの2ヶ月以内の定期変更を求めるという記述があります。昨今、「パスワード定期変更に意味がない」という説の方が主流になっているだけに、疑問符がついています。

　この回答の中の「個人が利用するサービスにおいて、パスワードの定期変更を求めないとする公表資料等とは、区別して検討する必要があります。」とあるのが、区別する根拠が理解出来ません。何を根拠に区別するべきなんでしょうか？そこは読み取れませんでした。それよりも、「クローズドNWであれば安全」という思考停止した都市伝説を覆す方がよっぽど有益な気がするのですが、厚生労働省の官僚の方々はどのようにお考えなのでしょうか。気になるところです。

（このへんはもう少し考えてみようと思います。）