http://blog.tokumaru.org/2013/08/1.html
を見て。
そーいや、お客さん所は根拠が微妙にあるっぽいんだよなあと思って。

id:ockeghemにぶん投げとく。
http://www.gpo.gov/fdsys/granule/CFR-2011-title21-vol1/CFR-2011-title21-vol1-sec11-300/content-detail.htmlより。
日本では「Title 21 CFR Part 11」とかで。

§ 11.300 Controls for identification codes/passwords.
Persons who use electronic signatures based upon use of identification codes in combination with passwords
shall employ controls to ensure their security and integrity. Such controls shall include:
(a) Maintaining the uniqueness of each combined identification code and password, such that no two individuals have the same combination of identification code and password.
(b) Ensuring that identification code and password issuances are periodically checked, recalled, or revised (e.g., to cover such events as password aging).
(c) Following loss management procedures to electronically deauthorize lost, stolen, missing, or otherwise potentially
compromised tokens, cards, and other devices that bear or generate
identification code or password information, and to issue temporary or permanent replacements using suitable, rigorous controls.
(d) Use of transaction safeguards to prevent unauthorized use of passwords and/or identification codes, and to detect and report in an immediate and urgent manner any attempts at their unauthorized use to the system security unit, and, as appropriate, to organizational management.
(e) Initial and periodic testing of devices, such as tokens or cards, that bear or generate identification code or password information to ensure that they function properly and have not
been altered in an unauthorized manner.

http://www.gpo.gov/fdsys/pkg/CFR-2011-title21-vol1/pdf/CFR-2011-title21-vol1-sec11-300.pdf

「定期的なIDとパスワードのチェック」に、どうもパスワードの有効期限設定というシステムの設定が利用されているような気がしている。
EUの方も同じようなものがあるとは聞いている。厚生労働省のER/ES指針も基本的にはこれに近いと考えられており（まあこんなの気にする会社の主戦場はアメリカだったりするというのもあって）、「誰だよこんな話書いたの」という様相を呈している。
人事情報を情報システム部が速やかに把握出来れば良いけど、派遣さん期間社員さんが日々入れ替わるような所では、ある程度「不正なユーザID使用方法」というのも蔓延っている。ユーザIDの共有なんかだ。
もうこの場合には、Guest IDとしか言いようがないし、上記の規約に初めから違反しているのだけど。
そんな状態の時に、システム部門がパスワードに有効期限を設け、その有効期限警告を以ってユーザIDの棚卸をしている、という現状はしばしば見掛ける。
ただ、半年に一度も使うことになっている人でも触らない仕組みってのもあり、強制的にID・パスワードを確認させる仕組み、を、有効期限設定で提供出来る訳。
良いか悪いかは知らない。ただ、セキュリティポリシーではないとは思う。