108 九電グループサステナビリティ報告書2020
PDCA(PDCA サイクル)
●くろまる情報セキュリティ推進体制
九電グループでは、九州電力(株)社長・情報セキュリ
ティ総括責任者・情報セキュリティ推進責任者等からな
る情報セキュ
リティ推進体制を構築しています。
この推進体制の下で、九電グループ全体のPDCAを
推進し、情報セキュリティの確保や個人情報保護に取り
組んでいます。
●くろまる情報セキュリティ対策
九州電力(株)ではサイバーセキュ
リティ対策室を中核として、九州電力送配電(株)を含む各所の情報セキュ
リティ責任者や
情報セキュ
リティ管理者と連携しながら、
全方位的
(組織的・人的・物理的・技術的)
な情報セキュ
リティ対策を講じています。
また、
グループ会社へ情報セキュ
リティ対策における様々な支援を提供し、
九電グループ全体の情報セキュ
リティ
レベル
の維持・向上を図っています。
人的対策
九電グループの従業員に対し、情報セキュ
リティ教育
や標的型攻撃メール訓練等を実施しています。
今後も引続き、
情報セキュ
リティに関する意識、
理解度
及び対応力を向上するための教育・訓練を実施していき
ます。
組織的対策
九州電力(株)の社長をトップとする情報セキュリティ
推進体制の下、各統括本部や事業所等のPDCAサイクル
を展開し、各職場における情報セキュリティの取組状況
の確認及び不適切な状況の是正を実施しています。
■しかく情報セキュリティ推進体制
九州電力(株)社長
情報セキュリティ総括責任者
(情報通信本部長)
情報セキュリティ副総括責任者
(地域共生本部長)
情報セキュリティ推進責任者
(情報通信本部 サイバーセキュリティ対策室長)
情報セキュリティ副推進責任者
(地域共生本部 部長
〔危機管理担当〕)九電グループ全体のPDCAPDCA各統括本部、
事業所等PDCA
九州電力
送配電(株)PDCA
九電グループ
会社
情報セキュリティ基本方針
九州電力株式会社及び九州電力送配電株式会社
(以下
「2社」
という)
は、エネルギーサービスの提供をはじめとする事業活動
を継続するため、九電グループ全体の
「情報セキュ
リティの確保」
が経営上の重要項目であると認識し、九州電力株式会社社長を
最高責任者とする推進体制のもと、2社内はもとよりグループ会
社や取引先とも連携し、情報セキュリティの確保に向けた取組を
推進していきます。
(法令遵守)1 情報セキュリティに関する法令、その他社会的規範及び2社の
情報セキュリティ関係規定類を遵守する。
(対策の実施)2 情報資産を適切に管理し利活用を推進するため、必要となる経
営資源を確保し、組織的・人的・物理的・技術的対策を講じるこ
とで、紛失・盗難等による情報漏えい等を防止するとともに、内
部不正・サイバー攻撃等の脅威に適切に対処する。
(定期的な検証・改善)3 リスク管理を継続して実施するとともに、
定期的に取組を検証し、
改善を図る。
(新たな脅威への対応)4 新たな脅威の動向をいち早く把握したうえで、速やかに措置を
講じる。
(教育・訓練の実施)5 情報セキュリティ事故を防止するため継続して教育を行うととも
に、
情報セキュリティ事故の発生を前提とした訓練を実施する。
(事故等発生時の対応)6 情報セキュリティ事故等が発生した場合は、
迅速な初動対応によ
り被害の拡大防止を図ったうえで、原因究明並びに対策を講じ、
再発防止を図るとともに、
速やかに情報を開示する。
制定 2005年1月5日 社達第250号
廃止 2006年7月1日
制定 2006年7月1日 全社指針第7号
最終改正 2020年4月1日 全社指針第7号〜4
主管箇所 九州電力株式会社 テクニカルソリューション統括本部
情報通信本部
3情報セキュリティの推進
109 九電グループサステナビリティ報告書2020
事業活動の基盤となる取組み
技術的対策
特定の企業を狙ったサイバー攻撃や新種のウイルス増
大等、
インターネッ
ト上の新たな脅威に備えて、セキュリ
ティ対策を強化しています。
また、
USBメモリ等インターネッ
トを経由しないデータ
の持ち込みについても、ウイルス感染防止を図ってい
ます。
物理的対策
各支店に IC カード対応のセキュリティゲートを設
置するとともに、
全営業所に機械警備システムを導入
する等、執務室や建物への入室制限や施錠管理の徹
底に必要な設備対策を実施しています。
●くろまる情報流出と再発防止策
2019年度には、
「お客さま情報記載書類の紛失」等の個人情報の不適切な取扱いが九州電力(株)で発生し
ました。
こうした情報流出の再発防止を徹底するため、個別
事案毎に事実関係の調査及び再発防止策等の検討・徹
底を図るとともに、今後とも注意喚起を行い、個人情報
や社内情報の適正管理を図っていきます。
●くろまるマイナンバーへの対応
マイナンバー制度については、
「番号法」
等関係法令の
趣旨・要求事項等を踏まえ、
「個人情報保護基本方針」を見直す等、適切に対応しています。九州電力(株)及び
九州電力送配電(株)では、マイナンバーを含む個人情報
を、
これまで同様、
適正に取り扱っていきます。 なお、
九州電力(株)及び九州電力送配電(株)では、
電気
のご契約に関して、お客さまにマイナンバーをお尋ねす
ることはありません。
●くろまる 関係規定類に則った情報取扱の徹底
●くろまる 
個人情報保護管理責任者
(全グループ長・課長)
を対象
とした教育や従業員教育の実施
●くろまる 
社内イン
トラネッ
トによる情報流出事例の情報共有
【再発防止策】
セキュリティゲート
(北九州支店)
個人情報保護基本方針
九州電力株式会社及び九州電力送配電株式会社
(以下
「2社」
という。)は、個人の権利利益の重要性を認識し、個
人情報(注1)を適正に取り扱うために、以下のとおり個人情報
保護基本方針を定め、
役員・従業員等への周知徹底を図り、
適切な個人情報の保護に努めます。1 個人情報に関する法令、ガイドラインその他の社会的規範及
び2社の個人情報保護管理規程その他規定類を遵守する。2 情報セキュリティ基本方針に基づき、個人情報を適切に管理し、
不正アクセス、
漏えい、
滅失又はき損のリスクに対する安全管理
措置を実施する。3 以下のとおり、
個人情報を適切に取り扱う。
(1) 利用目的の特定、
通知・公表
個人情報の利用目的をできる限り具体的に特定する。
個人情報取得の際は、あらかじめ利用目的を公表するか、取得後速
やかにご本人へ通知又は公表する。
(2) 取得、
取扱い
個人情報は適正な手段で取得し、特定した利用目的の範囲内で取り
扱う。
ただし、個人番号
(注2)
の提供を受ける場合には、本人確認を行う。な
お、利用の必要がなくなった場合は、個人番号を速やかに廃棄又は
削除する。
(3) 第三者への提供
個人データ
(注1)
は、
以下の場合を除き、
第三者へ提供しない。
ただし、
個人番号は法令に定める場合を除き、
第三者へ提供しない。・ご本人の同意がある場合・人の生命、
身体又は財産の保護のために必要がある場合であって、
ご本人の同意を得ることが困難である場合
・国の機関もしくは地方公共団体またはその委託を受けた者が法令
の定める事務を遂行することに対して協力する必要がある場合で
あって、
ご本人の同意を得ることにより当該事務の遂行に支障を及
ぼすおそれがある場合
・事業の承継に伴って提供する場合
・利用目的の達成に必要な範囲内において、業務委託先に提供する
場合
・その他法令等に基づき第三者への提供が認められる場合
(4) 通知・開示請求等への対応
ご本人からのお申出があれば、保有個人データに関して、利用目的
の通知、データの開示・訂正・追加・削除・利用停止・消去・第三者
提供停止の請求に対し、
原則として、
遅滞なく対応する4 個人情報保護の取組を定期的に検証し、
改善を図る。5 経営トップは、重大な苦情等が発生した場合は、
自ら問題解決に
あたり、
原因究明のうえ、
早急な是正措置を講じ、
再発防止を図
るとともに、迅速かつ正確な情報公開を行う。
また、個人情報の
取扱いに対する苦情に対して適切かつ迅速に対応する体制を整
備する。
注1:
「個人情報の保護に関する法律」
(平成15年法律第57号)
に規定される
定義をいう
注2:
「行政手続きにおける特定の個人を識別するための番号の利用等に
関する法律」
(平成25年法律第27号)
に規定される個人番号
(いわゆ
るマイナンバー)
をいう
制定 2005年1月5日 社達第251号
廃止 2006年7月1日
制定 2006年7月1日 全社指針第8号
改正 2020年4月1日 全社指針第8号〜4
イントラネット
(イントラ)