人は名前や生年月日などの個人情報を使用して作成することが多く、複数のサイトでパスワードを再利用することが多いため、パスワードは所有者を特定できるため、個人データと見なされると思います。
ウェブサイトがパスワードハッシュに関するベストプラクティスに従わない場合、ハッシュプロセス全体が基本的に役に立たなくなる可能性があるため、パスワードハッシュも個人データと見なされると思います。
GDPR、パスワードハッシュのコピーをリクエストできますか?
人は名前や生年月日などの個人情報を使用して作成することが多く、複数のサイトでパスワードを再利用することが多いため、パスワードは所有者を特定できるため、個人データと見なされると思います。
ウェブサイトがパスワードハッシュに関するベストプラクティスに従わない場合、ハッシュプロセス全体が基本的に役に立たなくなる可能性があるため、パスワードハッシュも個人データと見なされると思います。
GDPR、パスワードハッシュのコピーをリクエストできますか?
まず第一に、パスワードは個人データではありません。
「個人データ」とは、識別された、または識別可能な自然人(「データ主体」)に関連する情報を意味します。識別可能な自然人とは、直接または間接的に、特に名前、識別番号、位置データ、オンライン識別子などの識別子、または身体的、生理学的、その自然人の遺伝的、精神的、経済的、文化的、または社会的アイデンティティ。
GDPR第4条( https://gdpr-info.eu)
パスワードハッシュについて、あなたのコピーをリクエストするとはどういう意味ですか?ウェブサイトのハッシュアルゴリズムを知っていれば作成できます。
ちなみに、ウェブサイトでは、MD5やSHA1ではなく、bcryptやscryptなどの優れたハッシュアルゴリズムを使用する必要があります。
私の見方では、 識別された、または識別可能な人物に関連付けることができる情報はすべて個人情報です。したがって、パスワードハッシュは、電子メールまたはユーザーを識別できるその他のデータに明確に関連付けられた方法でデータベースに確実に保存されるため、個人情報です。ただし、考慮すべき点が2つあると思います。
上記の理由から、「個人データのセキュリティ」(セクション2)のGDPR原則は、理由もなくハッシュを表示する権利よりも間違いなく重要だと思います。