「再生可能エネルギー業務管理システムの不正閲覧事案に関する指導について」への報告について
2023年5月12日
東京電力エナジーパートナー株式会社
当社は、経済産業省資源エネルギー庁が管理・運営する社外WEBシステム「再生可能エネルギー業務管理システム」の利用に際し、同庁から東京電力パワーグリッド株式会社に付与されたIDおよびパスワードを当該システムの閲覧が制限されている当社社員が使用していた事案に関する事実関係、原因分析および再発防止策等について、同庁へ報告しております(2023年2月17日お知らせ済み)。
その後、本件に関する指導※を同庁より受領し(2023年4月17日お知らせ済み)、「内部統制体制の抜本的強化策」について、本日、同庁へ報告しておりますので、お知らせいたします。また、「再生可能エネルギー業務管理システム不正閲覧事案に関する再発防止策」について、追加の調査結果と取り組み状況もお知らせいたします。
1.内部統制体制の抜本的強化策
- (1)
行為規制や情報管理などに関する行動規範の改定
営業活動において遵守すべき基本的な法令等の要点を取りまとめた「営業活動における行動規範」に再エネ特措法に関する記述を新たに加える改定を実施する。 - (2)
行為規制や情報管理などに関する社員教育、研修
毎年実施している行為規制に関する研修に情報の適正な管理および取得等の内容を付加し、より実効性の高い研修内容としていく。また、東電PGからの転入者については、人事異動のタイミングにおいて特に教育を行う。 - (3)
外部システムの活用の際の情報管理体制の強化
外部システムの活用の際にシステムログイン用の共用IDが付与されている場合については、当社が業務上必要と判断しているシステムを一覧化し、業務主管部ごとに責任者を定め管理する。また、定期的にパスワードの変更を実施する。 - (4)
監査体制の強化
今回の事案を受け監査項目を見直すとともに、新たに行為規制監査担当を設置し、監査体制の強化・整備を図っていく。 - (5)
役員の積極的関与
役員が各職場への訪問やメッセージを発信し、社員の意識改革と定着を図っていく。 - (6)
営業品質管理委員会への定期報告
上記(1)~(5)の抜本的強化策が適正かつ的確に機能しているかについては、代表取締役社長が委員長を務め、有識者等で構成する「営業品質管理委員会」にて課題認識、再発防止策の内容およびその進捗状況を確認する。
2.再生可能エネルギー業務管理システム不正閲覧事案に関する再発防止策の取り組み状況
当該事案の内容・発生原因・対応策については、2023年2月17日にお知らせ済み。なお、調査中であった事案Bについては、3月8日に調査を実施済み(閲覧件数は計4,726件)。
再発防止策に関する具体的な対応状況は以下のとおりです。
(1)再発防止策1
- 本年3月末日までに、今回の各事案の内容を含んだ研修資料を作成し、これを用いてIDおよびパスワードの意義と重要性に関する全ての社員等を対象とした研修を実施する。
○対応状況
- 研修を実施済み。今後も意識啓発に向けて継続的に実施していく方針。
(2)再発防止策2
- 交付金エラー解消業務については、交付金エラーの発生時はお客さまからの申込書類の確認およびお客さまへのヒアリングを実施する取扱いを明確化し、業務委託先への周知および社内規程類への明記を実施する。
○対応状況
- 業務委託先への周知を実施済み。なお、社内規程類への明記は次回改定時(2023年7月予定)にて実施予定。
(3)再発防止策3
- 共用のIDおよびパスワードについては、当社が業務上必要と判断しているシステムを一覧化したうえで、業務主管部においてIDおよびパスワードを管理する。また、IDおよびパスワードの貸与に際しては、業務委託先から担当者名・必要理由の提出を求め、本社にて貸与可否判断を実施のうえ貸与することとし、貸与者の一元管理を行う。
○対応状況
- 業務上必要と判断しているシステムの一覧化の作業を進めており、実効性のあるIDおよびパスワード等の管理ルールの設定に向けて検討を進めている。
(4)再発防止策4
- 交付金エラー解消業務の滞留を避けるため、業務フローや委託契約の見直し等の具体的方策の検討を実施する。
○対応状況
- 具体的な方策の検討を進めている。
当社といたしましては、同様の事案が発生ないよう、再発防止を徹底してまいります。
※指導の内容は、以下の3点です。
- ○
情報の適正な管理が大前提であることを、現場を含めた社内で徹底し意識改革を図るための内部統制の抜本的強化策を検討し、実施すること
- 社員等が特定関係事業者の社員等に対して法の業務に関して知り得た情報を漏洩しないよう、行為規範の策定や社員教育等有効な対策を講じること
- パスワードの定期的な変更等、適切なパスワード管理の徹底を行うこと
- 定期的な社内監査体制の構築および適切な運用を行うこと
- ○
事案の内容及び発生原因を調査し、対応策含め公表すること
- ○
本指導の対応について、令和5年5月12日までに、措置内容を報告すること
以 上