(1)　アクセス管理者は、ユーザIDと操作者との対応付けを行う。

(2)　アクセス管理者が、ユーザIDに付与する権限は、業務上必要最低限のものとする。

(3)　アクセス管理者は、操作者が業務に利用するユーザIDについて、業務以外の操作及び設定変更を行うことができないように制限する。

(4)　アクセス管理者は、ユーザID及びその権限について定期的又は必要に応じて見直しを行い、不要なユーザIDについては速やかに削除する。

(1)　パスワードの有効期間は、1年間とする。

(2)　パスワードの最低桁数は、8桁とする。

(3)　パスワードは、英字の大文字と小文字、数字及び記号の中から3種1文字以上を組み合わせるものとする。

(4)　業務に利用する同一のユーザIDについて、パスワードを3回間違えた場合には、当該パスワードを使用できないように設定する。

(5)　アクセス管理責任者は、初期設定されているパスワードについて、速やかに変更する。

(6)　アクセス管理責任者は、操作者のユーザIDに設定した仮のパスワードについて、利用開始時に変更させる設定にする。

(7)　操作者は、パスワードについて、権限を与えられた者以外への漏えいを防止する手段を講ずるとともに、第三者が知り得る状態においてはならない。

(8)　操作者は、パスワードに規則性のある番号又は容易に推測可能なものを用いてはならない。

(9)　操作者は、パスワードを定期的又は必要に応じて変更するものとする。