再生可能エネルギー電気の利用の促進に関する特別措置法に基づく報告徴収への報告について
2023年2月17日
東京電力パワーグリッド株式会社
当社は、2月2日、経済産業省資源エネルギー庁が管理・運営する社外WEBシステム「再エネ業務管理システム」(以下、「当該システム」)を利用するための当社専用IDおよびパスワード(以下、「ID等」)を、東京電力エナジーパートナー株式会社(以下、「東電EP」)の一部社員に提供していたことを確認し、2月10日に同庁から報告徴収※を受領しました。(2023年2月10日お知らせ済み)
本報告徴収に基づき、本事案に関する事実関係、発生原因および再発防止策等について取りまとめ、本日、同庁へ報告しておりますので、お知らせいたします。
1.調査結果
今回、関係者へのヒアリングやアンケート、当該システムへのアクセスログ解析等の調査を実施した結果、本事案の他に、当社社員および当社100%子会社であるテプコ・ソリューション・アドバンス株式会社(以下、「TSA」)社員において、当社の管理体制で認められない第三者へのID等の提供を新たに確認しております。
本事案および調査結果を通じて判明した事案は、別紙のとおりです。具体的には、当社社員等5名(当社社員3名、TSA社員(当社受託部門)2名)が東電EP等の第三者12名(東電EP社員11名、TSA社員(東電EP受託部門)1名)に対し、当該システムのID等を提供した事実を確認しました。
2.主な発生原因および再発防止対策
(1)発生原因
- ○
事案1「東電EPによる非課税事業者の確認を目的にID等を提供した事案」
- ・
当該システムの当社専用ID等を、組織共用フォルダ等で周知しており、当該ID等を適切に管理する意識が欠如していた。
- ・
ID等を利用する当社担当者は、東電EPが当社専用ID等を利用して当該システムにアクセスする行為自体が不適切な利用にあたるという認識が欠如していた。
- ○
事案2「東電EP側の交付金申請エラーの確認を目的にID等を提供した事案」
- ・
当該システムの閲覧に必要なパスワードを定期的に変更する運用を行っていなかったため、ID等を知り得る立場にあった当社担当者が、東京電力グループ内の他社や社内の他部署に異動した場合でも、ID等が変更されるまで当該システムを一定期間利用できる環境にあった。
- ・
ID等を利用する担当者は、当該システムは小売電気事業者も閲覧可能という誤った認識をしていた。
- ・
当社は、当社受託部門との間における委託契約に基づき、委託先に提供されるID等を含む業務上必要な情報の適切な管理ができていなかった。
(2)再発防止対策
①社内規程・マニュアルでのルールを明文化する
当社に付与されたIDおよびパスワードに関するユーザーアカウントの管理ルールを定め、社内の規程・マニュアルに明記する。
- ・
IDおよびパスワードを社内で共有する際は、管理責任者を定め、利用者・利用目的等を一元的に管理する
- ・
IDおよびパスワードを利用して行う業務においては、業務マニュアル上に管理および利用に関するルール等を明確にしたうえで、適切に運用が行われているかどうかを定期的にモニタリングする
- ・
定期的なパスワード変更を徹底する
②社員等への全社教育の実施
社員等が認証情報(IDおよびパスワード等)を適切に管理する重要性を理解し、対応を徹底するための全社教育を実施する。
- ・
情報の厳格な取り扱いおよび関連する規程・法令への理解を高める研修、本事案についてのケーススタディ等を実施することで、社員等一人ひとりに存在する情報セキュリティリスクを明確に認識させる
- ・
定期的な教育の機会を設け一人ひとりの理解度を把握し継続的に確認することで、正しい知識・意識を定着させる
- ・
業務委託先に対しても、同様の対策を展開し、再発防止を徹底していく
当社といたしましては、本件を重く受け止め、ID等の適正な管理と運用を改めて実施し、再発防止に全力を尽くしてまいります。
※報告徴収の内容は以下の7項目である。
- ①当該システムの情報閲覧にあたり、経済産業省から付与されたID等の管理体制および管理状況。また、当社におけるID等の使用に関する業務マニュアルや業務フローの位置づけ。
- ②再生可能エネルギー電気の利用の促進に関する特別措置法(以下、「同法」)に基づく業務に関し、当該システムを閲覧する必要のある業務目的および閲覧項目。
- ③当該システムのID等を感知している社員などの一覧(本年2月6日までの直近1年間)
- ④当該システムにアクセスした事象のすべて(本年2月6日までの直近1年間)
- ⑤当社社員など当該システムにアクセスする際に使用するサーバーIPアドレス一覧(本年2月6日までの直近1年間)
- ⑥当社社員等が当該システム向け当社専用ID等を第三者に提供しているかどうかの事実確認。
- ⑦当該システムの当社専用ID等を第三者提供した調査結果と再発防止策。
別紙:
以 上