本人認証受付システムの不適切な取り扱いについて
2021年7月28日
東京電力パワーグリッド株式会社
当社は、小売電気事業者からの照会に応じて供給地点特定番号*1を提供する「本人認証受付システム:地点番号照会Web」(以下、本システム)を2019年12月より運用しておりますが、2021年5月、本システムを取り扱う部門から異動になった社員が本システムにアクセス可能な状態にあったことおよびアクセスログが適切に保存されていなかったことについて、電気事業法に抵触する可能性があることを確認し、原因および対策について取りまとめましたので、お知らせいたします。
原因としては、本システムには人事異動により所属が変更された場合にアクセス権限を無効化させる機能を備えていたものの、設定誤りにより異動後もアクセス権限が削除できていなかったこと、また、2020年4月の電気事業法の改正に伴い5年間のログ保存が必要だったものの、本システムが規制対象であるとの認識が無く、必要機能を実装しなかったことです。
本件を確認後、本システムのアクセス権限の削除機能を速やかに改修するとともに、ログ保存期間を5年間とする機能対策を講じております。
また、本システムを取り扱う部門から他のグループ会社*2へ転籍した社員2名が本システムにアクセスできる状態であったことを確認しましたが、不適切なアクセスや情報の利用がなかったことをヒアリング等により確認しております。
当社といたしましては、同様の事案が発生していることを重く受け止め、社長執行役員(法令遵守責任者)を主査、副社長執行役員(行為規制管理者)、常務執行役員(情報管理責任者)を副主査とした社内プロジェクト体制を組成し、網羅的かつ論理的なシステム総点検および抜本的な再発防止策を検討・策定してまいります。
当社は、ネットワーク運営の中立性・公平性を確保するために、引き続き取り扱う情報の厳正・的確な管理に努めてまいります。
- *1:
供給地点特定番号
電気のご使用場所を特定するために使用場所単位で設定されている番号で、一般送配電事業者と小売電気事業者等との託送契約に関する取引においては、これをもとに使用場所を識別しており、小売電気事業者がお客さまと小売供給契約を締結するうえで必要となる情報 - *2:
他のグループ会社
東京電力ホールディングス株式会社および各基幹事業会社(東京電力フュエル&パワー株式会社、東京電力リニューアブルパワー株式会社、東京電力エナジーパートナー株式会社)のこと
以 上