一般送配電事業者による非公開情報の情報漏えいに係る再発防止策の検討資料
資料の概要
本資料は、経済産業省が作成した「一般送配電事業者による非公開情報の情報漏えいに係る再発防止策の検討」に関するものである。電力・ガス取引監視等委員会における第84回制度設計専門会合で提示され、情報漏えいの問題及びその関連命令・勧告内容が含まれている。
主要な検討内容
一般送配電事業者・関係小売電気事業者への命令・勧告
以下の処分が各一般送配電事業者及び関係小売電気事業者に対し発出された。
| 一般送配電事業者名 | 処分等 | 関係小売電気事業者名 | 処分等 |
|---|
| 関西電力送配電 | 業務改善命令1 | 関西電力 | 業務改善命令1 |
| 九州電力送配電 | 業務改善命令1 | 九州電力 | 業務改善命令1 |
| 中国電力NW | 業務改善命令1 | 中国電力 | 業務改善勧告2 |
| 中部電力PG | 業務改善勧告2 | 中部電力MZ | 業務改善勧告2 |
| 東北電力NW | 業務改善勧告2 | 東北電力 | 業務改善勧告2 |
| 四国電力送配電 | 指導3 | 四国電力 | 業務改善勧告2 |
| 沖縄電力 | 指導3 | 沖縄電力 | 指導3 |
| 北海道電力NW | なし4 | 北海道電力 | なし4 |
| 東京電力PG | なし4 | 東京電力EP | なし4 |
| 北陸電力送配電 | なし4 | 北陸電力 | なし4 |
注釈:
- (※1) 委員会からの業務改善命令は経済産業大臣に対する勧告に基づく。
- (※2) 業務改善勧告の直接的な勧告である。
- (※3) 行政指導としての業務改善指導。
- (※4) 漏えいが確認されていない事業者に対する要請。
再発防止策
各事業者には、以下の再発防止策が求められた。
-
システム共用状態の解消計画:
- 約3年以内に託送情報を扱うシステムの共用状態を解消する計画を作成・提出。
- 進捗状況を定期的に報告。
-
内部統制の強化:
- 行為規制の遵守徹底を図り、社内での意識改革を強化。
-
事案の調査と公表:
- 漏えい事案の内容と原因を調査し、関係者への厳正な処分を実施。
-
追加的改善策:
今後の予定・制度的検討課題
- 改善計画の提出期限: 2023年5月12日。
- 検討すべき課題には以下が含まれる。
- 内部統制・監視体制の強化
- システムの物理分割
- 災害等非常時対応
- スイッチング手続きの見直し
重要なデータ・情報
- 委員会ホームページで、情報漏えい事案に関する報告書が公表されている。この報告書では各社の事案について法的評価および処分方針の検討が行われた。
今後、これらの検討課題や再発防止策について議論を進め、一般送配電事業者の内部統制や監視体制の実効性を維持することが重要である。
非常災害時の情報共有に関する対応
非常災害時における情報共有とマスキング処置作業について説明する。
重要な方針
- 非常災害時に限り、一般送配電事業者が所有する非公開情報の選定を行う。
- 共有情報以外の非公開情報に関してのマスキング処置が完了するまで、関係小売電気事業者が閲覧可能となる。
- 停電復旧を早めるため、一般送配電事業者と関係小売電気事業者との連携が重要である。
マスキング処置作業と並行して早急に実施すべき対応
| 項目 | 対応内容 |
|---|
| アクセス権付与のタイミング | 災害発生時にのみ、共有情報へのアクセス権を付与。 |
| アクセス権付与に係る対応 | 非常災害時にのみ利用可能なアクセス権を付与し、平常時の個人IDでのアクセスは禁止。端末制限の場合、責任者の権限で端末の貸与を実施。 |
| アクセス権解除に係る対応 | 非常災害対応終了後、迅速にアクセス権を解除または端末を回収。 |
| アクセス権解除後の防止措置 | アクセス権のリセットやランダムなパスワード設定を適用し、情報の適切な処理やデータ消去を徹底。 |
制度的対応の考え方
再発防止の取り組みを促進するため、以下の制度的対応が考慮されている。
| 考えられる制度的対応 | 詳細 |
|---|
| 機会 | 情報システムの物理分割、パスワード管理の強化、アクセスログ確認を徹底。 |
| 動機 | スイッチング手続きの改善及び各関係者の行動規制を強化。 |
| 正当化 | 非公開情報の無断利用に対する違法性を明確化するための措置の実施。 |
一般送配電事業者の取組み確認観点
一般送配電事業者の取組みを評価する際の観点は以下の通りである。
確認する観点・事項
- 統制環境
- 内部統制体制の構築状況と規律遵守の意識定着
- 不正発見を促す環境整備の状況
- リスク評価
- 統制措置
- 業務委託先の管理や物理的隔離の確保
- 行為規制に関する社内研修の実施状況
- ITガバナンス
- モニタリング
今後の議論について
今後の議論における重要なポイントは以下の通りである。
- 内部統制・監視機能強化
- 災害対応
- 物理分割の進捗
- スイッチング手続の見直し
これらの課題について継続的に議論を行う必要がある。
