「個人情報等の取扱いに関する指導」に係る
個人情報保護委員会への報告について
(報告書の概要)
(当社所管「託送システム」等への対応)
2023年9月29日
九州電力送配電株式会社
添付資料11はじめに
o 当社は、6月29日、当社が管理する「託送システム」において、機器端末やI
D・パスワードの管理不備等により、厳正に管理すべきお客さまの個人情報が
九州電力株式会社に漏えいした事案に関し、個人情報保護委員会から、個人情
報等の取扱いに関する指導を受領しました。(2023年6月29日お知らせ済み)
o 当社は、一連の情報漏えい事案の発生以降、再発防止等の取組みを進めてい
るところであり(2023年2月3日、8日、17日お知らせ済み) 、本日、個人情
報保護委員会からの指導に基づき、講じた措置について報告いたしました。
【指導内容】
〇 託送システムについて
‧ 個人データの取扱いに係る規律に従った運用の確保とともに、定期的な
研修・教育を通じて、組織的、人的、技術的に、安全管理のための必要
な措置を講じること → P2:安全管理措置への取組み
‧ 非常災害時に限って九州電力が個人データを取り扱っていることの確認
や定期的な監査の実施等により、個人データの取扱状況を把握すること
→P5:九州電力などの委託先の監督
‧ 既に策定した再発防止策を確実に実施すること →P7
〇 全社的なシステムの総点検
‧ 個人情報の適正な取扱いについて全社的な総点検を実施すること →P82指導内容に対する取り組み
1 安全管理措置
【指導内容】
本件託送システム(コールセンターシステム(以下、CCシステム)及
びネットワークオンラインシステム(以下、NWオンラインシステム))
に関する利用・出力状況の確認及びアクセスログの分析等を通じ、九州電
力の従業員が、本件託送システムを目的通りに利用しているか否かを確認
し、個人データの取扱いに係る規律に従った運用を確保するとともに、定
期的な研修及び教育の実施を通じて、自社の従業員に、個人情報の適正な
取扱いを周知徹底すること。
【取組み内容】
(1)組織的安全管理措置
項目 主な取り組み内容 実施時期
マスキングの
実施
・ 非常災害時の九州電力との一体運用時※(注記)に九州電力
に貸与するCCシステムについて最低限必要な情報
以外のマスキングを実施
・ 一部項目について、非常災害対応に必要な情報も
あるため、精査の上マスキング予定
2023年7月
2023年12月
非常災害時の
体制見直し
・ 非常災害時のお客さま対応体制を、九州電力主体か
ら当社主体へ見直し
2023年8月〜
委託先体制の
見直し
・ 九州電力と兼任体制であったオペレータを専任体制
に見直し
・ 福岡CCについて、九州電力と同フロアから当社専
用の事務所に移転
2023年5月〜
2024年4月
予定
※(注記)台風など非常災害対応の際は、お客さまから多数の問合せがあることから、九州電力及び九州電力の委託会
社に対してお客さま対応業務を委託3指導内容に対する取り組み
(2)人的安全管理措置
(3)技術的安全管理措置
項目 主な取り組み内容 実施時期
教育・研修
・ 社長メッセージの発信(社達「新電力顧客情報
の適正な管理」の徹底について)
・ 電力契約・システム部門の研修の実施
・ 人事異動時の転出者教育の実施
・ 全社的な教育の実施
2023年2月
2023年
2・5月
2023年
6・7月
2023年
8・9月
意識定着の取組み
・ 本店託送部門の部長が、個人情報保護の意識定
着を図ることを目的に、配電事業所を訪問し、
発生事案及び再発防止を周知徹底
2023年6月
〜2024年
3月予定4指導内容に対する取り組み
(3)技術的安全管理措置
項目 主な取り組み内容 実施時期
ID・パスワー
ドの管理
・ 非常災害時の九州電力との一体運用開始時は、
CCシステム起動用のID・パスワードを当社
管理者から九州電力の各担当者に個別に付与
・ 一体運用終了後は、パスワードを速やかに当社
で変更
2023年4月〜
端末等の管理
・ 非常災害時の九州電力との一体運用開始時は
「CCシステム貸与一覧」を作成のうえ九州電
力に貸与
・ 一体運用終了後は「CCシステム貸与一覧」を
もとにチェックのうえ九州電力から全端末返却
を確認
2023年1月〜
アクセスログの
解析
・ 本件託送システムについて、ログ解析を行い、
当社従業員以外のアクセス有無を確認
・ NWオンラインシステムについて、当社従業員
以外からのアクセスを速やかに検出できるよう、
アクセス状況を常時監視する仕組みを構築
毎年4・10月
2023年7月〜5指導内容に対する取り組み
2 九州電力など委託先の監督
【指導内容】
九州電力が、当社との災害時契約に従い、非常災害時に限ってCCシス
テム内の個人データを取り扱っているか否かの確認を含め、定期的に監査
を行う等して、委託契約の内容の実施の程度を調査し、個人データの取扱
状況を適切に把握する。
【取組み内容】
(1)託送部門による監督
項目 主な取り組み内容 実施時期
通常時
・ CCシステム端末を当社で保管
・ CCシステムについて、半年後ごとにアクセス
ログ解析を行い、当社従業員以外のアクセス有
無を確認
2023年1月〜
2023年
4・10月
非常災害時
・ 非常災害時の九州電力との一体運用開始時は
「CCシステム貸与一覧」を作成のうえ九州電
力に貸与、一体運用終了後は「CCシステム貸
与一覧」をもとに全端末返却を確認
・ ID・パスワードは、九州電力との一体運用の
都度設定
2023年1月〜
2023年4月〜6指導内容に対する取り組み
(2)内部監査部門による監査 ※(注記)委託先の監督を含む監査全般を記載
項目 主な取り組み内容 実施時期
組織的安全管理措置の
確認
・九州電力へ貸与するCCシステムの表示
情報(マスキング内容)
・非常災害時の託送部門による情報管理状
況(委託先の監督含む)
2023年下期〜人的安全管理措置の
確認
・個人情報保護に関する教育の実施状況
技術的安全管理措置の
確認
・本件託送システムのID・パスワード
及び端末の管理状況
・アクセスログ解析状況7指導内容に対する取り組み
3 既に策定された再発防止策の確実な実施
【指導内容】
当社において、既に策定された再発防止策を確実に実施すること。
【取組み内容】
再発防止策 実施状況
(9月末)
項目 主な取り組み内容 実施時期
意識・
教育面
・ 社長メッセージの発信(社達「新電力顧
客情報の適正な管理」の徹底について)
・ 託送部門、システム部門の研修の実施
・ 人事異動時の転出者教育の実施
・ 全社的な教育の実施
2023年2月
2023年2月
2023年6・7月
2023年8〜9月
2023年2月
2023年2月(本
店)、5月(事業所)
2023年6・7月
2023年8〜9月
システム面・ CCシステムにおける新電力のお客さ
ま個人情報のマスキング
・ ID・パスワード管理の厳格な運用
・ アクセスログの定期的な解析
・ システム開発時のチェック強化
速やかに
(2023年中)
2023年2月
2023年4・10月
2023年2月
2023年7月
2023年1・4月
2023年4月
2023年2月
業務運営面・ 非常災害時の運用ルールの明確化
・ 情報機器管理基準の見直し
2023年2月
2023年3月
2023年1月
2023年3月8指導内容に対する取り組み
4 個人情報の適正な取扱いに関する全社的な総点検
【指導内容】
今般の事案を踏まえ、当社における個人情報の適正な取扱いについて、
全社的に総点検を実施し、必要に応じて改善策を講ずること。
【総点検の概要】
o当社が利用する全システム(約150システム)を対象に、個人情報を
含むシステムの全社的な総点検を実施しました。
(1)個人情報を含むシステム数:86システム
(内訳)
・当社が所管するシステム:68システム
・当社が利用する九州電力所管システム:18システム
(2)個人情報を含むシステムの健全性点検
「個人情報の保護に関する法律についてのガイドライン」に基づき、
30項目の点検をしました。
(主な項目)
・個人情報の目的外利用の有無
・個人データの第三者提供の有無
・システムを使用する従業員の識別・認証方法 など9指導内容に対する取り組み
(3)総点検結果
大部分のシステムにおいて、概ね適正な取扱いがなされていましたが、
一部において、閲覧権限の更新が適切に行われていないなどのシステム
がありました。
当該システムについては速やかに改善策を実施しております。
(一部実施中)
(改善を要するシステム)
・当社所管システム 4システム
・当社が利用する九州電力所管システム 3システム
(主な改善策)
・正当な権利を有しない者(当社から九州電力への出向者等)に
よるアクセスが確認されたため、システムにアクセスできるア
イコンを人事異動情報と連係し、自動削除10指導内容に対する取り組み
5 今後の対応
今般の事案に対する指導内容を踏まえ、端末やID・パスワード管理の徹底
及びアクセスログ解析等の実施によるモニタリングなどを実施することで、個
人情報の不適切な取扱いが行われない仕組みづくりを継続してまいります。
また、従業員の個人情報の取扱いに関する意識を高めるための教育などの取
組みも継続し、充実してまいります。
以 上