2023年5月12日
経済産業大臣
西村康稔殿
九州電力送配電株式会社
代表取締役社長廣渡健
業務改善計画の提出について
電気事業法第27条第1項に基づく業務改善命令(2023年4月17日)に対し、再発防止に向
けた業務改善計画を別紙の通り策定いたしました。
今回の業務改善命令を厳粛に受け止め、二度とこのような事態を引き起こすことがな
いよう、全社一丸となって本業務改善計画を着実に実施するとともに、御省からのフォ
ローアップに適切に対応してまいります。
以上
業務改善計画
2023年5月12日
九州電力送配電株式会社
別紙1目次
はじめに
A 内部統制の抜本的強化
1 統制環境
(1) 体系的な内部統制体制の構築
(2) コンプライアンス遵守の意識定着
(3) 不正が発見されやすい環境整備
2 リスク評価
(1) 業務全体のリスク評価 (重要なデータやシステムの特定を含む)
3 統制措置
(1) 業務委託先の管理
(2) 物理的隔離の担保
(3) 人事異動の際の管理
(4) 非常災害対応の業務委託
(5) 行為規制に関する定期的な社内研修
(6) 行為規制に関係しうる社内意思決定の文書化や決裁
4 情報伝達・ITガバナンス
(1) 情報システムの物理分割等に向けたスケジュール
(2) ID・パスワードの管理
(3) システム発注時の要件定義等における確認体制
(4) 端末の管理
5 モニタリング
(1) アクセスログの解析
(2) 独立かつ強力な内部監査体制の構築
6 その他
(1) 不正発生時の関係者の厳正な処分
B 事案の内容及び発生原因
(1) 事案の概要
(2) 発生原因
(3) 発生原因及び「A 内部統制の抜本的強化」との関係
C 関係者の処分2はじめに
今般、当社が管理するシステムにおいて、機器端末やID・パスワードの管理不備等
の不適切な取り扱いを起因として、厳正に管理すべきお客さま情報が漏えいする事案が
発生しました。今回の事案は、小売電気事業者間の公正な競争を揺るがしかねない、
一般送配電事業者としての社会的信頼を大きく損なう事態と重く受け止めております。
当社は一連の事案の発生以降、中立性の前提となるシステム面の対策や、法令(行為規
制)遵守の確実化のための体制・仕組みの整備等を進めているところであり、この度、御
省から受領した業務改善命令等も踏まえ、行為規制等に精通した外部専門家の知見をい
ただきながら、社長を委員長とするコンプライアンス委員会(全役員、弁護士等で構成)
等において、原因の究明を行い、再発防止に向けた業務改善計画を策定しましたのでご
報告いたします。
当社は、二度とこのような事態を引き起こすことがないよう、経営層のリーダーシッ
プのもと、全社員が一丸となって再発防止に取り組み、信頼回復に努めてまいります。3A 内部統制の抜本的強化
1 統制環境
(1) 体系的な内部統制体制の構築
法令(行為規制)遵守の確実化に向け、各組織・機能の役割・責任を明確に整理した
上で、新たな会議体の設置等により体系的な内部統制体制の整備・強化を進めます。
1 法令(行為規制)遵守に向けた各組織・機能の役割・責任の明確化
1-1 複層的な管理体制の構築
o法令(行為規制)遵守に関するリスク管理を適切に行うため、「三線管理」の
考え方に基づき、各組織・機能の役割・責任を以下の通り再整理の上、多
面的、定期的なチェックやヒアリングを通じて事業活動の適切性の検証を
行う仕組みを構築します。
〔第一の防衛線:事業部門〕
・法令(行為規制)の遵守状況に関し、事業部門(事業所、支社、本店)の職
場の長が、日常的な担当者とのコミュニケーションや、定期的な自主点
検を通じて継続的なリスク管理を実施。
・託送部門(電力契約本部)内の品質管理を担当する箇所にて、定期的に現
業機関を訪問し、行為規制の遵守状況の確認や指導・支援を実施。
〔第二の防衛線:行為規制担当部署〕
・行為規制担当部署にて、日常的な業務に関する第一線からの相談・報告
に対して適切に指導・支援を実施。
・行為規制の遵守状況を定期的に確認するための会議体において、第一線
における行為規制に係る事業活動全般の適切性評価、改善策の審議を行
うとともに、第一線に対する指導・支援を実施。
・行為規制の遵守状況を定期的に取締役会へ報告。
〔第三の防衛線:内部監査部門〕
・社長直轄の監査室にて、第一線の法令等の遵守状況や、第二線の指導・
支援等に関する機能等について、独立した立場から監査を実施。
・監査結果については、定期的に取締役会へ報告。
〔第四・第五の防衛線:外部専門家〕【追加】
・行為規制等に精通した外部専門家(弁護士)による定期的な行為規制の遵
守状況の評価や、三線管理の仕組み・機能の強化に関する助言に基づき、
チェック体制を強化。
・高度に専門的な知識・技能を有する外部専門家によるシステム監査や行
為規制等に関する監査内容の充実に向けた支援に基づき、内部監査機能
を強化。
【追加】の記載は、3/17報告以降の更なる強化策4代表者直轄組織(会議体)によるモニタリング
三線管理の階層(複層的、定期的な検証)
図1 法令(行為規制)遵守の確実性を担保するための体制執行部門
行為規制監視会議
取締役会
監視(弁護士)外部専門家
監査役
意見
意見
報告法務部門
本部内
品質管理箇所
報告
報告
評価
指導・助言報告
本店(本部)
支社
事業所
評価・
助言
評価・
助言
報告
指導・
支援
事務局:行為規制担当部署 (企画部門)
評価
指導・助言
議長:副社長 (行為規制責任者)
委員:各本部長、監査室長、支社長
【コンプライアンス相談窓口 (社内/社外)】
【行為規制相談窓口】1線2線1.5線4線
コンプライアンス委員会
委員長:社長 (法令遵守責任者)
委員:各本部長、監査室長、組合代表、
弁護士、社外有識者
オブザーバ:監査役(監査室)内部監査3線5線
助言
行為規制管理者
(本部長・支社長)
行為規制相談窓口
3/17報告以降の更なる強化策
【追加】
【追加】
【追加】
【追加】
〔行為規制管理グループ〕
新規
新規
行為規制監査
グループ(システム監査等)外部サポート見直し【追加】
新規
新規【追加】
新規
見直し
新規
見直し
見直し51-2 法令(行為規制)遵守体制に関する役員の責任・関与の明確化
o 行為規制への対応状況を適切に管理するため、企画総務本部を担務する取
締役(副社長)を行為規制責任者とし、情報管理を徹底するとともに、執行
部門の責任者たる本部長、支社長を行為規制管理者とする管理体制・役割
の明確化を図りました。(2023/3)
2 法令(行為規制)遵守に向けた仕組み・機能の構築
2-1 行為規制監視会議の設置 (第二線の強化)
o 行為規制遵守に関する行動計画の策定や遵守状況の評価、改善策の審議等
を行うため、「行為規制監視会議」を設置しました。(2023/3)
2023年度は、年4回会議を開催します。(第1回は、行為規制遵守に関する
行動計画の審議等を4/5に実施)
o 行為規制監視会議で審議した結果は、コンプライアンス委員会へ報告の上、
審議結果の有効性の評価を受けるとともに、開催の都度、取締役会へ報告
します。
〔会議の目的〕
・行為規制遵守に関する行動計画の策定や遵守状況の評価、改善策の審議
等を実施
〔審議事項〕
・行為規制遵守に関する行動計画
・行為規制に係る情報管理及び事業活動全般の適切性の評価、改善策
・体制整備等報告書案
〔遵守状況を確認する主な項目〕
・各所の自主点検結果
・システム使用状況(アクセスログ)の定期解析結果
・相談窓口の運用状況、法令等違反の発生状況
・規定類の制定・改廃
・内部監査、電気事業監査結果
〔体制〕
・議長:副社長(行為規制責任者)
・委員:本部長(行為規制管理者)、支社長(行為規制管理者)、監査室長
名称責務と具体的な実施事項
行為規制責任者
企画総務本部を
担務する取締役
・行為規制に関する基本方針等の制定
・全社の行為規制遵守状況の確認
・全社の指導、教育
行為規制管理者
本部長、支社長
・所管する箇所の遵守状況の確認・指導62-2 コンプライアンス委員会の機能強化
o コンプライアンス委員会の従来の目的である事業活動全般に係る法令等遵
守状況の確認に加えて、重点的に審議する事項として、行為規制監視会議
における審議結果の有効性評価及び指導・助言を追加することにより、社
外有識者の視点を踏まえた行為規制全般のチェック機能を強化します。
(2023/3)
2023年度は、年4回会議を開催します。(第1回は4/20に開催)
o 法令遵守や企業倫理の向上に向けて、より幅広い客観的な視点で審議・提
言を行うため、内部統制やリスクマネジメント等に精通した社外有識者委
員の拡充を行います。(2023/5)【追加】
o コンプライアンス委員会の審議結果は、開催の都度、取締役会へ報告します。
〔会議の目的〕
・多様な立場の委員がより高い次元からコンプライアンス経営に関するモ
ニタリングや改善策の提言等を実施
〔審議事項〕
・コンプライアンス経営に関する方針や具体的対応策の提言、審議
・行為規制監視会議における審議結果の有効性評価及び指導・助言(新規)
〔体制〕
・委員長:社長 (法令遵守責任者)
・委員:本部長、監査室長、組合代表、弁護士、社外有識者
・オブザーバ:監査役
2-3 託送部門(電力契約本部)における行為規制に係る品質管理担当箇所の設置
(第一線の強化)
o 託送部門(電力契約本部)内に、行為規制に係る業務品質管理を担当する箇
所を設置しました。(2023/3)
今後は、第一線の現業業務を行う箇所を定期的に訪問し、行為規制の遵
守状況の確認や指導・支援を実施します。
o 業務委託先に対しても、定期的に情報の取り扱いをはじめとした行為規制
の遵守状況の確認や指導・支援を行います。
2-4 行為規制担当部署の体制見直し(第二線の強化)
o 業務分担見直しにより行為規制担当部署の体制強化を図るとともに、行為
規制遵守に向けた取り組みを重点的に行うことを明確にするために、組織
名称を「行為規制管理グループ」に変更します。(2023/7)【追加】
2-5 監査体制の見直し(第三線の強化)
o 行為規制に関する監査体制の強化を図るため、監査室の要員を増強し、
「行為規制監査グループ」を新設します。(2023/7)【追加】7(2) コンプライアンス遵守の意識定着
法令(行為規制)遵守に対する従業員の意識向上に向けて、以下の取り組みを行います。
1 全社基本方針や行動規範の見直し
1-1 「会社業務の適正を確保するための体制の整備について」(全社指針)
o 会社法及び会社法施行規則に基づき、取締役の職務執行の法令・定款への
適合及び会社業務の適正を確保するための体制の整備を規定する同指針を
以下の通り見直しました。(2023/5)
(見直し内容)
・取締役及び執行役員は、送配電ネットワーク利用の中立性を確保するた
め、「中立性確保のための行動規範」を率先して遵守するとともに、組
織・業務運営体制を整備し、従業員に対して行為規制遵守を周知・徹底
することを明記。
・行為規制遵守の確実性を担保するため、「行為規制監視会議」の設置を規
定。
・「行為規制相談窓口」の設置及び相談窓口を通じて行為規制に抵触するお
それがある事案が発見された場合、行為規制遵守に向けた業務の改善を
図る旨を明記。
1-2 「コンプライアンス行動指針」
o 従業員が守るべき日々の行動の判断基準である同指針を以下の通り見直し
ました。(2023/4)
(見直し内容)
・当社従業員は、一般送配電事業の中立性確保のため、行為規制遵守の徹
底に努めなければならないことを明記。
1-3 「中立性確保のための行動規範」
o 法令の趣旨に則り、送配電ネットワーク利用の中立性を確保するため、全
ての取締役及び従業員等が遵守すべき基本的事項を規定する同規範を以下
の通り見直しました。(2023/3)
(見直し内容)
・全ての取締役及び従業員等は、関係法令等を理解し、遵守しなければな
らないこと、関係法令等を遵守することは中立性確保のための全ての取
り組みの前提である旨認識しなければならないことを明記。
・行為規制に違反した場合は、就業規則等により厳正に処分が行われるこ
とを明記。82 社長メッセージの発信
o 今回発生した事案を経営層として重く受け止め、再発防止に向けて経営幹部
会議にて指示を行うとともに、全従業員が一丸となって取り組んでいくこと
を経営トップ自らの言葉で伝えるために、社長メッセージを発信しました。
・2023年2月3日「新電力顧客情報の適正な管理の徹底について」
・2023年4月5日経営幹部会議にて示達
・2023年4月17日「業務改善命令に伴う中立性確保に向けた行為規制遵守の徹底に
ついて」
3 行為規制ポータルサイトの新設
o 法令(行為規制)遵守に対する従業員の意識向上に向けて、全従業員に情報発
信・情報共有を行う「行為規制ポータルサイト」を新設しました。(2023/3)
o 同サイトには、行為規制遵守の徹底に向けた社長メッセージや、行為規制相
談窓口・コンプライアンス相談窓口の案内、行為規制関連の教育資料、よく
ある質問に基づくQA集、過去の違反事例に関する情報、関連規定や法令等
へのリンク集等を掲載しております。
o 今後も、定期的な社長メッセージの掲載や、意識啓発、理解促進につながる
各種情報の発信、参考となる事例の共有等を行います。94 経営層と社員との対話活動の実施
o 経営トップ層が、経営上の課題や経営層の思いを直接社員へ語り掛ける場で
ある「経営トップ層と社員との対話」活動において、行為規制に関する意見
交換を取り入れることで、従業員の意識向上につなげていきます。(2023/下
期〜)
5 人事評価との連動
o 当社の人事評価制度は、コンプライアンスに関する評価項目も含まれており、
評価項目は全従業員に周知されています。また、上長は所属員のコンプライ
アンスに対する意識や日頃の言動も観察した上で総合的に判断し、評価して
おります。10(3) 不正が発見されやすい環境整備
行為規制相談窓口設置箇所を拡充し、第一線の業務に即した相談を日常的に行う
体制を整えることにより、不正防止、並びに不正に結びつく予兆の速やかな把握に
努めるとともに、コンプライアンス相談窓口も活用することで、不正が発見されや
すい環境を整備します。
1 行為規制相談窓口の設置
o 行為規制に係る業務全般に関する従業員の疑問への対応や支援等を円滑に行
うため、既設の行為規制相談窓口(本店・企画総務本部)に加え、各本部・支
社に行為規制に関する相談窓口を設置するとともに、責任者の明確化を行い
ました。(2023/3)
o 相談された事項については、相談窓口の責任者のもと、関係箇所と連携の上、
適切に対応するとともに、法令違反等の不適切な取り扱いが判明した場合は、
法務担当箇所とも連携の上、速やかに所定の報告ルートを通じて、行為規制
責任者へ報告することとしております。
〔行為規制相談窓口〕
・共通・全般:企画総務本部組織運営グループ(責任者:経営企画部長)〔既設〕
・本部:各本部総括グループ(責任者:総括グループを所管する部長)〔新設〕
・支社:企画管理グループ (責任者:企画業務部長)〔新設〕
・受付内容:行為規制に関する日常的な質問、法令等に関する相談等
2 コンプライアンス相談窓口(設置済)の周知
o 法令等に照らして業務運営や従業員の行動等に疑問を感じた際の通報・相談
先であるコンプライアンス相談窓口(社内及び社外)の利用方法等についても、
今回新設した行為規制ポータルサイトのトップページに一元的に掲載し、改
めて周知を行いました。(2023/3)
今後、教育・研修等の機会を通じた周知も行います。
o 通報者が不利益な取り扱いから保護されることや秘密保持についても合わせ
て周知することで、不適切事象が発生した場合の速やかな報告を促します。
〔コンプライアンス相談窓口〕
・対応箇所:(社内窓口)企画総務本部総務グループ
(社外窓口)社外法律事務所
・受付内容:公益通報受付、業務運営や役員、従業員の行動に疑問を感じた
場合の相談等 (匿名による相談も受付)112 リスク評価
(1) 業務全体のリスク評価 (重要なデータやシステムの特定を含む)
1 行為規制に係る業務のリスク評価
o 行為規制に係る業務に潜むリスクを網羅的に洗い出し、リスクへの対策を効
果的に行うために、外部専門家の知見※(注記)も取り入れた上で、内部監査部門とも
連携し、以下の取り組みを展開します。【追加】
〔業務総点検〕
・今回の一連の事案の発端となった託送供給等業務、再エネ関連業務及びこ
れらの業務に関するシステム開発・運用業務を中心に、業務総点検を実施。
(2023年度中)
〔行為規制遵守状況の自主点検及びアンケート〕(年2回)
・抽出したリスクに基づきチェックリストを作成し、第一線の行為規制遵守
状況を確認するための自主点検を実施。
・個人単位で抱える行為規制上のリスクを収集するため、行為規制に関する
アンケートを実施。
・行為規制担当部署にて、第一線の自主点検結果及びアンケートのモニタリ
ングを実施。
2 情報システムを対象としたリスク評価
o 情報やシステム面におけるリスクについても、外部専門家の知見※(注記)を取り入
れた上で、内部監査部門とも連携し、リスクアセスメントを実施します。
(2023年度中)【追加】
※(注記)リスクの抽出、分析・評価、対応方針の検討、
対応状況のモニタリングへの助言等(検討中)123 統制措置
(1) 業務委託先の管理
1 業務委託時の行為規制チェックのルール化
o 各部門において定めている委託可能な業務について、新規に追加する場合の
行為規制に関するチェックをルール化しました。(2023/5)
o 業務委託契約締結に当たっては、行為規制に関する留意事項(情報の取り扱い
等)を業務委託契約書等に明記することを定めます。(2023/6まで速やかに)
o 特定関係事業者等との取引においては、グループ会社以外と同種の取引を行
う場合と同等の「通常の取引条件」とすることを規定上に明記しております。
2 託送部門(電力契約本部)における業務委託先の点検
〔執務室環境の整備〕
o 業務委託先の執務室環境の点検を行い、委託業務実施における利用端末の
設置場所や作業環境の明確化を実施します。(2023/6)
〔安全管理措置の点検〕
o 業務委託先の情報保護に係る安全管理措置及び行為規制の遵守状況について、
点検を実施します。(2023/5)
o 当社及び九州電力の双方から業務を受託する兼任者の解消や、当社からの委
託業務における利用端末及び利用者の限定化に向けた対策を行います。(2023
年度中)13(2) 物理的隔離の担保
o 当社が九州電力等の特定関係事業者と同一建屋を使用する場合、フロア単位で
の執務室の分離もしくは天井までの壁で区分の上、社員証を兼ねたIDカード等
による入退室管理を行っております。
引き続き入退室管理を徹底するとともに、更なるセキュリティ強化に向けた対
策を検討してまいります。
(3) 人事異動の際の管理
o 「適正な電力取引についての指針」において望ましい行為として規定されている、
九州電力との人事交流に当たって中立性を確保するための社内規定を作成し、遵
守しております。
o 具体的には、託送供給等業務に関連する電気供給事業者との情報連絡窓口及び
基幹系統計画業務を実施する箇所の従業員については、「行為規制運営要則」に基
づき、特定関係事業者の取締役並びに電力小売営業、電力取引及び電源開発計画
の策定を行う部署への直接の人事異動を行わないこととしております。
o また、当社からの転出者に対して、在職中に得た一般送配電事業の業務に関す
る情報の持ち出しの禁止を規定化するとともに、転出者への教育(情報の持ち出
しの禁止や違反時の罰則等に関する説明)についてもルール化します。(2023/6)
異動時にデータの持ち出しを制限するためのシステム面の対策についても検討
してまいります。【追加】
(4) 非常災害対応の業務委託
1 端末貸与及びID・パスワード管理方法の見直し
o 九州電力が非常災害時等に利用するコールセンターシステムについては、利
用開始の都度、同システムの端末の貸与及びID・パスワードの通知を行い、
利用終了の都度、端末の回収及びIDの削除を行うように運用の見直しを
行っております。(2023/1)
2 閲覧可能情報の制限
o コールセンターシステムについて、九州電力が非常災害時等に利用する場合
には最低限必要な情報以外はマスキングをするように、システム改修を進め
ております。(2023年中速やかに)14(5) 行為規制に関する定期的な社内研修
1 全社定期教育実施内容の見直し
o 毎年定期異動後に実施している行為規制の遵守に係る教育について、全従業
員一律の教育内容から、従業員の階層(管理職、一般職)に応じた教育へ見直
すとともに、理解度テストの実施等により、従業員の理解徹底を図ります。
(毎年8月)
o 全従業員への定期教育及び転入者への教育に加えて、転出者への教育(在職中
に得た一般送配電事業の業務に関する情報の取り扱いは行為規制関連規定に
準じて厳正に行うことや違反時の罰則等を説明)をルール化します。
o 行為規制ポータルサイトや行為規制相談窓口の設置及びコンプライアンス相
談窓口の利用方法等について定期教育資料に織込むことにより、不適切事象
が発生した場合や発生が懸念される場合に、速やかに報告・相談することが
重要であることを定期的に周知・徹底します。
o 当社と一体的な業務運営を行う子会社についても、全従業員に対する教育を
定期的に行うこととします。
2 部門独自研修の実施
o 今回の事案に直接関係する部門(託送部門、システム部門)の従業員に対して、
過去事例や他社の具体的事例も踏まえた上で、行為規制遵守に結び付く実践
的な教育を定期的に実施します。(毎年2月)
o 2023年度は、支社・事業所の従業員について5月に実施します。(本店社員は2
月に実施済)15(6) 行為規制に関係しうる社内意思決定の文書化や決裁
行為規制に関係しうる業務については、分掌事項や権限規定に基づき適切に実施し
てまいります。
1 正規の決裁プロセスの徹底
o 職務権限は「組織・権限規程」の権限表等で定めており、行為規制に関係する
案件についても、当該業務の組織の権限に基づき権限者が決裁しております。
o 決裁(権限の行使)に当たっては、決定文書(指示書、伺書類等)として記録を残
すこととしており、具体的な手続きは「決定文書取扱基準」に規定しております。
o 今回の事案では、一部において正規の権限者及び決定文書に基づく決裁によ
らない業務処理が行われておりました。今後は、全従業員向けの定期教育に
おいて、正規の決裁プロセスを周知・徹底するほか、内部監査においても規
定通りの運用となっていることを重点的に確認します。
2 行為規制に関する事項の取締役会への報告
o 行為規制に関する問題・課題については、行為規制監視会議における審議結
果の報告として、コンプライアンス委員会での審議結果と合わせて取締役会
へ報告することとしております。(2023/4〜)
o 内部監査部門による行為規制監査の結果についても、取締役会へ報告するこ
ととしております。(2023/4〜)
3 行為規制に係る規定文書の見直し
o 行為規制遵守の徹底を図るために、以下の通り規定の改正を行いました。
(2023/3)
a 「中立性確保のための行動規範」:送配電ネットワーク利用の中立性を確保
するため、全ての取締役及び従業員等が遵守すべき基本的事項を規定
(見直し内容)
・全ての取締役及び従業員等は、関係法令等を理解し、遵守しなければな
らないこと、関係法令等を遵守することは中立性確保のための全ての取
り組みの前提である旨認識しなければならないことを明記
・法令違反が就業規則等により懲戒対象となることを明記
b 「行為規制運営要則」:「中立性確保のための行動規範」に基づき、行為規制
の具体的な運用ルール等を規定
(見直し内容)
・行為規制管理者及び行為規制に関する相談窓口の設置を規定
・監査室は、監査結果を取締役会へ報告することを規定
c 「行為規制監視会議設置規程」:会議体設置の目的、審議事項等を規定164 情報伝達・ITガバナンス
(1) 情報システムの物理分割等に向けたスケジュール
o 当社において、非公開情報を取り扱う情報システムは23システムあり、そのう
ち21システムは、分社前に九州電力のシステムとの物理分割※(注記)1を実施しておりま
す。論理分割※(注記)2のシステム (設備台帳管理システム、電力輸送部門ITシステム)
については、システム利用者に応じた情報の閲覧可能範囲の設定誤りによる情報
漏えいを防止するため、物理分割を実施します。
o 設備台帳管理システム、電力輸送部門ITシステムの物理分割については、今後
計画やスケジュールの詳細化を行い、2026年3月までに実施します。それまでの
間は、ID・パスワードの厳格な管理、利用状況の監視等を実施します。【追加】
o 当社では、今後5か年を対象とした「情報システム開発計画」を策定しており、そ
のコスト水準を全社の「中期経営計画」に織込み、取締役会へ報告しております。
物理分割の計画についても、「情報システム開発計画」として今後策定し、取締役
会へ報告の上、着実に実施してまいります。
※(注記)1 当社のみが利用するシステムとして構築すること(ソフトウェアレベルの共用の解
消を含む。ハードウェアレベルの共用の解消は、仮想化技術に関する今後の議論結
果を踏まえて適切に対応)
※(注記)2 九州電力とシステムを共用し、アクセス制御により九州電力が閲覧可能な情報を制
限すること
システム名
1 スイッチング支援システム
2 託送Webシステム
3 託送新増設受付システム
4 ネットワーク高大受付システム
5 再エネ受付管理システム
6 コールセンターシステム
7 事務集中センターシステム
8 スイッチング連係システム
9 ネットワークオンラインシステム
10 ネットワーク電力量管理システム
11 託送システム
12 新停割システム
システム名
13 高大CCSシステム
14 託送業務支援システム
15 託送EUC
16 託送関連情報発受信システム
17 設備台帳管理システム
18 スマートメーター運用管理システム
19 配電工事総合オンラインシステム
20 計器関連システム
21 再エネ発電状況管理システム
22 低圧分散型電源連系審査システム
23 電力輸送部門ITシステム※(注記)
表1 非公開情報を取り扱う情報システム
※(注記)一部に非公開情報が含まれる17(2) ID・パスワードの管理
1 当面の対策
o ID・パスワードの管理を適切に実施するため、以下の内容を規定に明記し
ます。(2023/5)
・利用終了者のIDの削除
・IDの個人単位での付与
・パスワードの定期的な変更
・利用者によるID・パスワードの管理
o 規定に基づき、適切なID・パスワード管理が行われていることを定期的に
確認します。(年1回)
〔実施済の対策〕
・非公開情報を取り扱う情報システムを対象に、情報システムの認証機能や
情報システム内に登録されているIDの誤りの有無について、以下の通り
確認を実施しました。(2023/2)
- システム利用者の所属情報から情報システムの利用権限の適切性を判定
し、異動等により不要となったIDを削除
- システム利用者の所属情報に基づき自動的に認証を行っているシステム
について、利用権限のある部署の誤りの有無を確認
・ ID・パスワードの不適切利用による不正アクセスを防止することを目的
に、今回ID・パスワードの不適切利用があったシステムについて、パス
ワードの一斉変更を実施しました。(2023/3)
・非公開情報を取り扱う情報システムの一部において、複数人で共通のID
を利用し、利用した個人の特定ができないものがあったことから、個人専
用IDへ移行(一部、管理簿による履歴管理)する対策を実施しました。
(2023/4) 【追加】
2 抜本的対策
o ID・パスワードによる単要素認証では、ID・パスワードの不適切利用に
よる不正アクセスが発生するリスクがあります。これを防ぐため、技術的に
困難な一部システムを除いて、IDカードとパスワードによる2要素認証を実
施後、利用権限のあるシステムのみにアクセス可能とする方式に移行します。
(2023年中速やかに)
o また、中長期的な取組みとして、セキュリティ強度を更に高めるため、2027
年度に予定している端末の更新に合わせ、指紋認証や虹彩認証等を活用した2
要素認証の実現に向けて検討を進めてまいります。18(3) システム発注時の要件定義等における確認体制
1 システム開発の確認体制
o 2020年1月に発生した託送料金計算システムの障害を踏まえ、システム開発に
関する社内規定を整備しております。(2022/4)
〔見直し内容〕
・経済産業省の「システム管理基準」を参考に開発工程を9工程(企画、要件定
義、基本設計、製造、受入テスト、移行・切替等)に細分化するとともに、
「安全思想」に基づき、情報システムの開発各工程を品質担保の観点から
チェックする仕組み(フェーズゲート)を織込み、工程完了時に次工程の着
手の可否を判定。
・情報システムの開発規模や障害発生時の社外影響が大きい開発については、
主要なフェーズゲートのタイミングで経営層へ報告し、承認を得ることを
ルール化。
2 システム開発時の行為規制チェックのルール化
o 情報システムに関する行為規制上の対応を適切に実施することを目的に、シ
ステム開発・改修時の行為規制チェックをルール化し、社内規定に明記しま
した。(2023/4)
〔見直し内容〕
・システム開発・改修時において行為規制に関して留意すべき事項を整理し
たチェックリストを作成し、システム開発・改修の都度、今回作成した
ルールに基づきチェックを行う運用に見直し。
・システム開発・改修の基本設計完了時と受入テスト完了時において、要件
定義に基づくシステム設計内容や運用ルール等の行為規制上の問題の有無
について、業務主管部門とシステム部門がチェックリストに基づくチェッ
クを行った上で、行為規制担当部署がチェック結果の審査を実施。19(4) 端末の管理
o 端末を厳格に管理するため、主に以下の内容をルール化し規定に明記します。
(2023/5)
・不要端末の撤去
・端末管理の責任箇所
・現品照合の定期的な実施
o 規定に基づき、適切な端末管理がなされていること(現品照合の実施等)を定
期的に確認します。(年1回)
〔実施済の対策〕
・今回管理に不備のあったコールセンターシステム及びネットワークオンライ
ンシステム等を利用する端末については、設置状況の確認及び「端末管理台
帳」の整備を実施しました。(2023/2)205 モニタリング
(1) アクセスログの解析
非公開情報を取り扱う情報システムについて、利用権限対象者以外からのアクセス
がないことの確認及び不正アクセスがあった場合の迅速な対処を目的に以下の対策を
実施します。
1 現在運用中のシステムのログ解析
o 現在運用中の非公開情報を取り扱う情報システムについて、半年に1回、1週
間分のアクセスログを対象に、解析作業を行い、利用権限対象者以外からの
アクセスがないことを確認します。(毎年4月、10月)
2 常時監視の仕組みの構築
o 当社の従業員等以外からの情報システムへのアクセスを速やかに検出するこ
とを目的として、技術的に困難な一部システムを除いて、アクセスの状況を
常時監視する仕組みを構築します。(2023年中速やかに)
なお、常時監視する仕組みを構築するまでは、非公開情報を取り扱う情報シ
ステムを新規構築する際、運用開始直後にアクセスログの解析を行い、利用
権限対象者以外からのアクセスがないことを確認します。
3 ログ解析結果の確認及び監査
o 半年に1回のアクセスログ解析の結果については、行為規制監視会議にて内容
の確認を実施し、内部監査部門において監査を実施します。
o 常時監視の仕組み構築後は、日時でアクセス状況の確認が可能となることか
ら、常時監視の結果について、半年に1回、行為規制監視会議での確認及び内
部監査部門による監査を実施します。21(2) 独立かつ強力な内部監査体制の構築
独立かつ強力な内部監査体制を構築するため、以下の取り組みを行います。
1 行為規制監査の充実・強化 (2023/4〜)
o 再発防止策について、今後の追加・見直し分も対象として適正な実施及び定
着状況等について、確認を行います。
o 再発防止策の確認に加えて、行為規制違反につながる新たなリスクを念頭に
監査内容を拡充し、監査対象業務の適正性評価を充実します。
o 監査結果については、定期的に取締役会へ報告します。
2 監査体制の強化
o 業務執行部門から独立した内部監査組織を増員の上、新たに行為規制を総括
する専任部署として「行為規制監査グループ」を設置します。
(2023/7)【追加】
〈現在〉〈7月〜〉
3 外部専門家の活用による内部監査機能の更なる強化
o 内部監査機能の更なる強化のため、高度に専門的な知識・技能を有する外部
専門家の知見※(注記)も活用し、監査内容の充実を図ります。(2023年度中)【追加】
4 外部専門家の活用によるシステム監査の実施
o 情報システムにおける行為規制を含めたリスクへの対応に関し、外部専門家
の知見※(注記)も活用した上で、システム監査を実施します。(2023年度中)【追加】
※(注記)監査計画立案への助言や往査への帯同等(検討中)
監査室(業務執行部門から独立) 監査室(業務執行部門から独立)
社長社長
室長内部監査G 室長内部監査G
行為規制監査G
業務執行部門業務執行部門226 その他
(1) 不正発生時の関係者の厳正な処分
o 懲戒に該当する事案が発生した場合、当該職場の長は、速やかに人事担当へ報
告するよう規定しております。当該報告を受けた人事担当は事実関係の調査を行
い、就業規則等に抵触すると判断された場合は、審議会を開催の上、処分を決定
し、厳正に対処しております。
o 処分については、行為の程度や継続性、社外への影響などを過去の類似事例と
比較し、必要に応じて弁護士への意見照会を行った上で、決定しております。
処分決定後は、当該内容及び再発防止のポイントについて、各職場の管理職を
通じて全社員に周知し、不正の防止を図っております。
o また、今回の事案を踏まえ、「中立性確保のための行動規範」を改正し、行為規
制に違反した場合は、就業規則等により厳正に処分が行われることを明記しまし
た。(2023/3)23B 事案の内容及び発生原因
(1) 事案の概要
o 今般発生した情報漏えい事案の概要は、以下の通りです。
1 ネットワークオンラインシステム及びコールセンターシステムからの情報漏えい
【2/3、2/8、2/17公表】
・ 2020年1月に発生したシステム障害に対応するために当社が九州電力に利用可
能な状態としたままになっていたネットワークオンラインシステムや、非常災害
時等においてお客さま対応を行うために当社が九州電力に貸与していたコール
センターシステムを通じて、新電力のお客さま情報が、九州電力及び委託会社
の一部の従業員から閲覧されていたことが判明。
(調査期間:2022年10月5日〜2023年1月5日)
・お客さま契約数:13,608契約、小売電気事業者数:186事業者
(調査期間:2022年4月1日〜2023年1月9日)
・お客さま契約数:44,046契約、小売電気事業者数:270事業者
2 ネットワーク設定システム(1のシステム以外)からの情報漏えい【3/15公表】
・ネットワークオンラインシステム及びコールセンターシステム以外にも、九州電
力及び委託会社の一部の従業員が、ID・パスワードの不適切利用により、当
社保有のシステムを通じて、新電力のお客さま情報等を閲覧していたことが
判明。
・当社の社員9名が九州電力の社員に対し、ID・パスワードを提供。また、過去
当社に在籍し、九州電力へ転出した6名が、転出後に当社システムにアクセス。
加えて、一部の当社業務委託先が当社より付与されたID・パスワードを九州
電力からの委託業務においても使用。24(2) 発生原因
o 今般発生した情報漏えい事案の主な発生原因は、以下の通りです。
a ネットワークオンラインシステムの暫定利用に対する措置の不備
・送配電事業分社化に向けた対応において、「全ての需要家に対する託送料金の
個別計算の実現」に重点を置いて対応しており、行為規制の対策を第三者的な
立場でチェックできる体制がありませんでした。
・新電力のお客さま情報は厳格に守られるべきですが、「需要家とその需要家実
績等が紐付いた状態でなければ問題ない」、「九州電力は新電力のお客さま情
報が閲覧できる状態であっても同社のお客さま情報しか閲覧しない」という安
易な判断を行っていました。
b コールセンターシステムの暫定利用に対する措置の不備
・新電力のお客さま情報は厳正に取り扱う必要がありますが、2020年1月に発生
したシステム障害時は、次のような状況で行為規制に関する検討が疎かになっ
ていました。
 システム障害対応において、お客さま影響を最重要視。
 システム障害対応に集中している状況で、暫定利用終了後の役割分担
や責任箇所等が不明確。
 行為規制の対策を第三者的な立場でチェックできる体制が未整備。
c 暫定利用終了時の対応不備
・上記、a及びbの暫定利用は、関係者の一部のみしか認識していなかったこ
と等により、暫定利用終了に対する措置(パスワードの変更等)が必要である
ことに気付くことができませんでした。
d 設備移管、業務受委託時の確認不足
・送配電事業分社化に向けた対応が想定以上に広範囲に亘った上に、対応要員が
限られていたことから、設備移管や業務受委託時の検討が疎かになり、結果
として、当社が管理すべきシステム端末が九州電力に残置されました。
e ネットワーク設定システムのID・パスワードの管理不備
・ID・パスワードの小売部門の利用禁止及び情報管理の重要性について社内規
定への記載や、転出者に対する利用禁止の周知を行っていませんでした。
3業務運営・体制面
・情報管理やシステム開
発等におけるルールや
体制が不十分であった。
・行為規制の遵守状況の
確認や定期的なモニタ
リング機能・体制が十
分ではなかった。
1システム面
(ハード)
・端末の管理基準が不
明確であるとともに、
ID・パスワードの管
理ルールや体制に不備
があった。
2役員・従業員の意識面
(ソフト)
・行為規制遵守の重要性
に関する意識・認識が
低かった。
・行為規制に関する教育
や理解が十分ではな
かった。25(3) 発生原因及び「A 内部統制の抜本的強化」との関係
o 今回の事案における発生原因と内部統制の強化策との関係は以下の通りです。引き続
き原因究明の深掘りを行い、内部統制の強化を進めてまいります。
内部統制の抜本的強化
1 統制環境
(1)体系的な内部統制体制の構築
(2)コンプライアンス遵守の意識定着
(3)不正が発見されやすい環境整備
2 リスク評価
(1)業務全体のリスク評価(重要な
データやシステムの特定を含む)
3 統制措置
(1)業務委託先の管理
(2)物理的隔離の担保
(3)人事異動の際の管理
(4)非常災害対応の業務委託
(5)行為規制に関する定期的な社
内研修
(6)行為規制に関係しうる社内意
思決定の文書化や決裁
4 情報伝達・ITガバナンス
(1)情報システムの物理分割等に
向けたスケジュール
(2)ID・パスワードの管理
(3)システム発注時の要件定義等
における確認体制
(4)端末の管理
5 モニタリング
(1)アクセスログの解析
(2)独立かつ強力な内部監査体制
の構築
6 その他
(1)不正発生時の関係者の厳正な
処分
発生原因
1 システム面(ハード)
・端末の管理基準が不明確で
あるとともに、ID・パス
ワードの管理ルールや体制に
不備があった。
2 役員・従業員の意識面(ソフト)
・行為規制遵守の重要性に関
する意識・認識が低かった。
・行為規制に関する教育や理
解が十分ではなかった。
3 業務運営・体制面
・情報管理やシステム開発等
におけるルールや体制が不
十分であった。
・行為規制の遵守状況の確認
や定期的なモニタリング機
能・体制が十分ではなかっ
た。26C 関係者の処分
1 役員報酬の減額
〔業務執行の統括者〕
代表取締役社長廣渡健月額の40% (2か月)
〔託送業務を担当する役員〕
執行役員電力契約本部長小田浩司月額の40% (1か月)
2 その他
全社の業務運営・管理を担う立場として、本店の関係部署の部長及びグループ
長に対して、就業規則により厳正な処分を実施
以上