「個人情報等の取扱いに関する指導」に係る
個人情報保護委員会への報告について
(報告書の概要)
(資源エネルギー庁所管「再エネ業務管理システム」への対応)
2023年9月29日
九州電力送配電株式会社
添付資料21はじめに
o 当社は、6月29日、資源エネルギー庁が保有する「再エネ業務管理システ
ム」において、ID・パスワードの管理不備等により、厳正に管理すべきお客
さまの個人情報が漏えいした事案に関し、個人情報保護委員会から、個人情報
の取扱いに関する指導を受領しました。(2023年6月29日お知らせ済み)
o 当社は、一連の情報漏えい事案の発生以降、再発防止の取組みを進めていると
ころであり(2023年2月17日、21日お知らせ済み)、本日、個人情報保護委員
会からの指導に基づき、講じた措置について報告いたしました。
【指導内容】
‧ 個人データの安全管理のために必要かつ適切な技術的な措置に不備が認
められる。適切なアクセス制御が実施できるよう、定期的に監査を行う
等して個人データの取扱状況を適切に把握すること。
→ P2:安全管理措置の取組み2指導内容に対する取り組み
1 安全管理措置
【取組み内容】
(1)託送部門による自主点検
項目 主な取り組み内容 実施時期
システムの利
用制限
・当該システムの利用者を本店再エネ担当グループ
の一部社員のみに限定する運用に見直し
・本店再エネ担当グループ長をシステムの管理責任
者とし、上記社員がシステムにアクセスする際は
都度、管理責任者の承認を必要とする運用(二段
階認証によるアクセス方法)に見直し
2023年2月〜
2023年3月〜
ID・パス
ワード管理
ルールの徹底
・定期的(1月)及び利用者の人事異動(7月・8
月)のタイミングで、類推しにくいパスワードに
変更するよう管理ルールを徹底
2023年7月〜
異動者に対す
る運用ルール
の教育・通知
・本店再エネ担当グループの異動者(転入・転出)
に対する教育
2023年6月〜8月アクセスログ
の解析
・アクセスログの解析作業を行い、利用権限対象者
以外からのアクセスがないことを確認
毎年
4・10月
【指導内容】
適切なアクセス制御が実施できるよう、定期的に監査を行う等して個
人データの取扱状況を適切に把握すること。3指導内容に対する取り組み
(2)内部監査部門による監査
項目 主な取り組み内容 実施時期
安全管理措置
の確認
・利用箇所におけるID・パスワードの個別周知
状況
2023年
下期〜
・ID・パスワードの変更状況及び管理責任者
(グループ長)による運用管理状況
・異動者に対するシステム運用ルールの教育の
実施状況
・アクセスログ解析状況4指導内容に対する取り組み
2 今後の対応
今般の事案に対する指導内容を踏まえ、システムの利用制限やID・パ
スワード管理の徹底及びアクセスログ解析の実施によるモニタリングなど
を実施することで、個人情報の不適切な取扱いが行われない仕組みづくり
を継続してまいります。
また、従業員の個人情報の取扱いに関する意識を高めるための教育など
の取組みも継続し、充実してまいります。
以 上