- ホーム
- ニュースリリース
- ニュースリリースアーカイブ
- 2023年度4月一覧
- 一般送配電事業者の情報漏えい事案に関し、業務改善勧告を行いました
一般送配電事業者の情報漏えい事案に関し、業務改善勧告を行いました
2023年4月17日
1.概要
今般、一般送配電事業者において、漏えいを禁じられている新規参入事業者である小売電気事業者(以下「新電力」という。)の顧客情報(以下「新電力顧客情報」という。)が、関係の小売電気事業者側で閲覧可能となっており、実際に閲覧されていたことが判明しました。これを受け、電力・ガス取引監視等委員会においては事案解明作業を行っておりましたが、各事案の事実関係を踏まえ、電気事業法(昭和39年法律第170号)第66条の12第1項の規定に基づき、東北電力ネットワーク株式会社、東北電力株式会社、中部電力パワーグリッド株式会社、中部電力ミライズ株式会社、中国電力株式会社及び四国電力株式会社に対し、業務改善勧告を行いました。
2.勧告の前提となる事実関係
東北電力ネットワーク株式会社
①NW設定端末を東北電力株式会社の一部の従業員が立ち入り可能な場所に設置したこと、また、同端末を同社の一部の従業員に対して配備したことにより、当該従業員において、NW設定端末を通じて当該従業員により新電力顧客情報の閲覧が可能となっており、実際に新電力顧客情報が閲覧される事態を惹起した。
②カスタマーセンターにおけるNW設定端末の設置管理や東北電力ネットワーク株式会社が管理責任を負う部屋の入室管理の不備により、カスタマーセンターにおける東北電力株式会社又はその委託先従業員がNW設定端末を使用可能な状態に置き、実際に新電力顧客情報が閲覧される事態を惹起した。
③NW側システムのID、パスワードの管理の不徹底により、NW側システムにアクセス可能なID、パスワードを知る者が東北電力株式会社の従業員となる事態を生じさせ、実際に同システムより非公開情報が閲覧される事態を惹起した。東北電力株式会社
①東北電力ネットワーク株式会社が、NW設定端末を東北電力株式会社の一部の従業員が立ち入り可能な場所に設置したこと、また、同端末を東北電力株式会社の一部の従業員に対して配備したことにより、当該従業員において、同端末を通じて新電力顧客情報の閲覧が可能となっており、実際に当該従業員においてNW設定端末から新電力顧客情報が閲覧されていた。
②カスタマーセンターにおける東北電力ネットワーク株式会社のNW設定端末の設置管理や同社が管理責任を負う部屋の入室管理の不備により、カスタマーセンターにおける東北電力株式会社又は同社委託先の従業員がNW設定端末を通じて新電力顧客情報の閲覧が可能となっており、実際にNW設定端末から新電力顧客情報が閲覧されていた。
③東北電力ネットワーク株式会社におけるNW側システムのID、パスワードの管理の不徹底により、NW側システムにアクセス可能なID、パスワードを知る者が東北電力株式会社の従業員となる事態が生じていたところ、実際に当該従業員において同システムから非公開情報が閲覧されていた。中部電力パワーグリッド株式会社
①託送業務システムにおいて、中部電力パワーグリッド株式会社のアクセス制限及びマスキング処置に不備により、同システムにおける一部の画面において中部電力ミライズ株式会社の従業員により新電力顧客情報が閲覧可能な状態となっており、実際に同社従業員により、新電力顧客情報が閲覧される事態を惹起した。
②中部電力ミライズ株式会社の保有するCC支援システムにおいて独自に検索結果表示を行う画面におけるマスキング処置に不備があり、託送業務システム上の新電力顧客情報がCC支援システムを通じて同社従業員から参照され閲覧できる状態となっており、実際に同社従業員により、新電力顧客情報が閲覧される事態を惹起した。中部電力ミライズ株式会社
①託送業務システムにおいて、中部電力パワーグリッド株式会社のアクセス制限及びマスキング処置に不備があり、同システムにおける一部の画面において中部電力ミライズ株式会社の従業員により新電力顧客情報が閲覧可能な状態となっており、実際に同社従業員により、新電力顧客情報が閲覧されていた。
②中部電力ミライズ株式会社の保有するCC支援システムにおいて独自に検索結果表示を行う画面におけるマスキング処置に不備があり、託送業務システム上の新電力顧客情報がCC支援システムを通じて中部電力ミライズ株式会社の従業員から参照され閲覧できる状態となっており、実際に同社従業員により、新電力顧客情報が閲覧されていた。中国電力株式会社
①中国電力ネットワーク株式会社が顧客情報を管理している営業システム及びお客さま台帳検索システムは、中国電力株式会社の小売業務の用にも供されている共用システムであるにもかかわらず、カスタマーセンターにおいて、営業システムはマスキング処置が不十分であり、また、お客さま台帳システムはマスキング処置が全く施されておらず、新電力顧客情報が閲覧可能となっていたところ、カスタマーセンターにおける中国電力株式会社の従業員及び委託先従業員が、当該情報を閲覧していた。
②営業システムはカスタマーセンター以外にも中国電力株式会社のセールスセンターの業務において用いられていたところ、その一部画面において、電力販売に係る新電力顧客情報が中国電力株式会社の一部従業員に閲覧可能な状態となっており、当該従業員により当該情報が閲覧されていた。
③営業システムの一部画面及び帳票において、電力購入に係る新電力顧客情報が中国電力株式会社の一部従業員に閲覧可能な状態となっており、当該従業員により当該情報が閲覧されていた。
④営業システムからデータの抽出又は参照が可能なシステムにおいて、情報遮断措置の不備があり、中国電力株式会社の従業員により電力販売に係る新電力顧客情報並びに電力購入に係る新電力買取契約情報及び送配電買取契約情報が閲覧可能な状態となっており、当該従業員により当該情報が閲覧されていた。
⑤中国電力株式会社がデータの抽出等を業務委託している業務委託先事業者から抽出したデータの納品を受けたところ、納品されたデータに新電力顧客情報が含まれており、当該情報が中国電力株式会社の従業員により閲覧可能な状態となっていた。
⑥当委員会からの調査に対する報告及び対応に関して、内容及び迅速性等の観点から、初動対応が不適切であった。四国電力株式会社
①四国電力株式会社は、四国電力送配電株式会社から、災害等非常時における需要家への対応業務を受託しており、災害等非常時の対応のために従業員に対して託送システムの利用権限(以下「受託者権限」という。)を付与していたところ、当該従業員が、災害等非常時の対応以外の目的で、新電力顧客情報のうち、マスキングの対象外としていた項目に係る情報を閲覧していた。
②上記①同様に、四国電力株式会社の従業員において、FIT送配電買取に係る契約情報も、閲覧されていた。3.勧告の内容
東北電力ネットワーク株式会社
(1)東北電力株式会社と協議の上で、託送情報に係る情報システムの共用状態を速やかに(約3年以内を想定※)解消する計画を立案し、令和5年5月12日(金曜日)までに当該計画を経済産業省に提出すること。また、当該計画の進捗状況を定期的に経済産業省に報告しつつ、当該計画を実施すること。
※合理的な理由があり約3年以内に共用状態を解消することが困難である場合は、その旨を記載すること。
(2)行為規制の遵守は業務遂行の大前提であることを、現場を含めた社内で徹底し意識改革を図るための内部統制の抜本的強化策を検討し、実施すること。内部統制の抜本的強化策の検討にあたっては、少なくとも4(1)に記載の事項・観点を満たすものとし、令和5年5月12日(金曜日)までに、経済産業省に提出した上で、以降も定期的に状況を報告すること。
(3)事案の内容及び発生原因を調査し、社会に対して公表するとともに、関係者の厳正な処分を行うこと。
(4)上記(1)及び(2)の勧告内容に係る改善計画が不十分であると認められる場合においては、必要に応じて追加的な改善策を策定し、及び実施すること。また、勧告内容の実施状況について経済産業省のフォローアップに誠実に対応すること。
東北電力株式会社
(1)東北電力ネットワーク株式会社と協議の上で、託送情報に係る情報システムの共用状態を速やかに(約3年以内を想定※)解消する計画を立案し、令和5年5月12日(金曜日)までに当該計画を経済産業省に提出すること。また、当該計画の進捗状況を定期的に経済産業省に報告しつつ、当該計画を実施すること。※合理的な理由があり約3年以内に共用状態を解消することが困難である場合は、その旨を記載すること。
(2)行為規制の遵守は業務遂行の大前提であることを、現場を含めた社内で徹底し意識改革を図るための内部統制の抜本的強化策を検討し、実施すること。内部統制の抜本的強化策の検討にあたっては、少なくとも4(2)に記載の事項・観点を満たすものとし、令和5年5月12日(金曜日)までに、経済産業省に提出した上で、以降も定期的に状況を報告すること。
(3)事案の内容及び発生原因を調査し、社会に対して公表するとともに、関係者の厳正な処分を行うこと。
(4)上記(1)及び(2)の勧告内容に係る改善計画が不十分であると認められる場合においては、必要に応じて追加的な改善策を策定し、及び実施すること。また、勧告内容の実施状況について経済産業省のフォローアップに誠実に対応すること。
中部電力パワーグリッド株式会社
(1)中部電力株式会社及び中部電力ミライズ株式会社と協議の上で、託送情報に係る情報システムの共用状態を速やかに(約3年以内を想定※)解消する計画を立案し、令和5年5月12日(金曜日)までに当該計画を経済産業省に提出すること。また、当該計画の進捗状況を定期的に経済産業省に報告しつつ、当該計画を実施すること。
※合理的な理由があり約3年以内に共用状態を解消することが困難である場合は、その旨を記載すること。
(2)行為規制の遵守は業務遂行の大前提であることを、現場を含めた社内で徹底し意識改革を図るための内部統制の抜本的強化策を検討し、実施すること。内部統制の抜本的強化策の検討にあたっては、少なくとも4(1)に記載の事項・観点を満たすものとし、令和5年5月12日(金曜日)までに、経済産業省に提出した上で、以降も定期的に状況を報告すること。
(3)事案の内容及び発生原因を調査し、社会に対して公表するとともに、関係者の厳正な処分を行う。
(4)上記(1)及び(2)の勧告内容に係る改善計画が不十分であると認められる場合においては、必要に応じて追加的な改善策を策定し、及び実施すること。また、勧告内容の実施状況について経済産業省のフォローアップに誠実に対応すること。
中部電力ミライズ株式会社
(1)中部電力株式会社及び中部電力パワーグリッド株式会社と協議の上で、託送情報に係る情報システムの共用状態を速やかに(約3年以内を想定※)解消する計画を立案し、令和5年5月12日(金曜日)までに当該計画を経済産業省に提出すること。また、当該計画の進捗状況を定期的に経済産業省に報告しつつ、当該計画を実施すること。
※合理的な理由があり約3年以内に共用状態を解消することが困難である場合は、その旨を記載すること。
(2)行為規制の遵守は業務遂行の大前提であることを、現場を含めた社内で徹底し意識改革を図るための内部統制の抜本的強化策を検討し、実施すること。内部統制の抜本的強化策の検討にあたっては、少なくとも4(2)に記載の事項・観点を満たすものとし、令和5年5月12日(金曜日)までに、経済産業省に提出した上で、以降も定期的に状況を報告すること。
(3)事案の内容及び発生原因を調査し、社会に対して公表するとともに、関係者の厳正な処分を行うこと。
(4)上記(1)及び(2)の勧告内容に係る改善計画が不十分であると認められる場合においては、必要に応じて追加的な改善策を策定し、及び実施すること。また、勧告内容の実施状況について経済産業省のフォローアップに誠実に対応すること。
中国電力株式会社
(1)中国電力ネットワーク株式会社と協議の上で、託送情報に係る情報システムの共用状態を速やかに(約3年以内を想定※)解消する計画を立案し、令和5年5月12日(金曜日)までに当該計画を経済産業省に提出すること。また、当該計画の進捗状況を定期的に経済産業省に報告しつつ、当該計画を実施すること。
※合理的な理由があり約3年以内に共用状態を解消することが困難である場合は、その旨を記載すること。
(2)行為規制の遵守は業務遂行の大前提であることを、現場を含めた社内で徹底し意識改革を図るための内部統制の抜本的強化策を検討し、実施すること。内部統制の抜本的強化策の検討にあたっては、少なくとも4(2)に記載の事項・観点を満たすものとし、令和5年5月12日(金曜日)までに、経済産業省に提出した上で、以降も定期的に状況を報告すること。
(3)事案の内容及び発生原因を調査し、社会に対して公表するとともに、関係者の厳正な処分を行うこと。
(4)上記(1)及び(2)の勧告内容に係る改善計画が不十分であると認められる場合においては、必要に応じて追加的な改善策を策定し、及び実施すること。また、勧告内容の実施状況について経済産業省のフォローアップに誠実に対応すること。
四国電力株式会社
(1)行為規制の遵守は業務遂行の大前提であることを、現場を含めた社内で徹底し意識改革を図るための内部統制の抜本的強化策を検討し、実施すること。内部統制の抜本的強化策の検討にあたっては、少なくとも4(2)に記載の事項・観点を満たすものとし、令和5年5月12日(金曜日)までに、経済産業省に提出した上で、以降も定期的に状況を報告すること。
(2)事案の内容及び発生原因を調査し、社会に対して公表するとともに、関係者の厳正な処分を行うこと。
(3)上記(1)の勧告内容に係る改善計画が不十分であると認められる場合においては、必要に応じて追加的な改善策を策定し、及び実施すること。また、勧告内容の実施状況について経済産業省のフォローアップに誠実に対応すること。
4.内部統制の抜本的強化策の検討にあたって求める事項・観点
(1)一般送配電事業者
確認する事項・観点 | |
統制環境 |
|
リスク評価 |
|
統制措置 |
|
情報と伝達 ITガバナンス |
|
モニタリング |
|
その他 |
|
(2)小売電気事業者
確認する事項・観点 | |
統制環境 |
|
リスク評価 |
|
統制措置 |
|
情報と伝達 ITガバナンス |
|
モニタリング |
|
その他 |
|
担当
電力・ガス取引監視等委員会事務局ネットワーク事業監視課長 鍋島
担当者:福原、日髙、森野
※[★]を[@]に置き換えてください。