「再生可能エネルギー業務管理システムの不正閲覧事案に関する指導について」への報告について
2023年5月12日
東京電力パワーグリッド株式会社
当社は、経済産業省資源エネルギー庁が管理・運営する社外WEBシステム「再生可能エネルギー業務管理システム」を利用するための当社専用IDおよびパスワードを、東京電力エナジーパートナー株式会社の一部社員に提供していた事案に関する事実関係、発生原因および再発防止策等について、同庁へ報告しております。(2023年2月17日お知らせ済み)
その後、本件に関する指導※1を同庁より受領し(2023年4月17日お知らせ済み)、「内部統制体制の抜本的強化策」と「再生可能エネルギー業務管理システム不正閲覧事案に関する再発防止策」について、本日、同庁へ報告しておりますので、お知らせいたします。
報告概要は、以下のとおりです。
1.内部統制体制の抜本的強化策
当社は、情報の管理を徹底し、一般送配電事業者の中立性を確実に担保するため、内部統制システムの一層の強化を図る取り組み方針※2に基づき、内部統制システムの環境整備および運用体制の整備・強化に向け、以下5点を展開してまいります。(一部は2023年4月28日お知らせ済み)
- (1) 内部統制システム「基本方針」の改定 【お知らせ済み】
- (2) 「内部統制委員会」の新設 【お知らせ済み】
- (3) 「最高コンプライアンス責任者(CCO:Chief Compliance Officer)」の新設【お知らせ済み】
- (4) 法令等遵守に向けた体制の整備・強化 【一部新規】
「法令遵守推進委員会」の新設に加え、情報管理に関する計画やプログラムの整備、運用状況のモニタリング等を行う「情報管理部会」を設置 - (5) 行為規制遵守に向けた体制強化 (三線管理)【お知らせ済み】
また、本件に関する指導においては、本年3月31日に電力・ガス取引監視等委員会から発出された「一般送配電事業者による非公開情報の漏えい事案について(勧告)」にて示された「3.内部統制の抜本的強化策の検討にあたって求める事項・観点」を参考とすることが望ましいとされており、当該内容に対する取り組み状況については、別紙のとおりです。
2.再生可能エネルギー業務管理システム不正閲覧事案に関する再発防止策の取り組み状況
当該再発防止策に関する具体的な対応状況は、以下のとおりです。(事案の内容・発生原因・対応策:2023年2月17日お知らせ済み)
(1)再発防止策1
当社に付与された社外システムのIDおよびパスワード(以下、「ID等」)に関するユーザーアカウントの管理ルールを定め、社内の規程・マニュアルに明記する。
- ID等の社内共有時は、管理責任者を定め、利用者・利用目的等を一元的に管理する。
- ID等を用いて行う業務には、業務マニュアル上に管理および利用に関するルールを明確にし、運用状況を定期的にモニタリングする。
- 定期的なパスワード変更を徹底する。
○対応状況
関連する社内規程・マニュアルは、本年4月に以下のとおり改定実施済みであり、今後、実施・定着状況のモニタリング等を進める。
- 認証情報の適正管理として、管理体制を新たに定め、管理責任者・管理者・利用者それぞれが遵守すべき事項を明記する。
- チェックシートを新たに整備し、管理者が定期的に認証情報のセルフチェックを実施し、管理責任者がその遵守状況を確認することをルール化する。
- 定期的なパスワード変更の義務化や扱う情報の内容や人事異動などに応じて随時変更することを明記する。
(2)再発防止策2
社員等が認証情報(ID等)を適切に管理する重要性を理解し、対応を徹底するための全社教育を実施する。
- 情報の厳格な取り扱いおよび関連する規程・法令への理解を高める研修と、本事案についてのケーススタディ等を実施し、社員等一人ひとりに存在する情報セキュリティリスクを明確に認識させる。
- 定期的な教育の機会を設け一人ひとりの理解度を把握し継続的に確認することで、正しい知識・意識を定着させる。
- 業務委託先に対しても、同様の対策を展開し、再発防止を徹底していく。
○対応状況
- 今般の不適切事案の役員・社員に対する周知と注意喚起を実施済み。
- 不適切事案発生部門に所属する社員を対象に、情報の取り扱いに関わる法令への理解促進を目的とした研修・理解度確認テストを先行実施し、4月中に全員受講済み。
- 当社全社員および主な業務委託先である当社子会社の関係者に対しても研修を展開し、6月中目途に対象者全員が研修受講を完了する予定。
- 本年9月を目途に、当社全社員を対象に本事案を踏まえたケーススタディを実施するとともに、教材ツールとして継続的に活用し、本事案風化を防ぐ。
今後、これらの取り組みに関しては、新たに設置する「情報管理部会」において、その進捗・定着状況のモニタリング等を行い、情報管理のさらなる徹底を図るとともに、再発防止を確実なものにしてまいります。
当社は、情報の管理を徹底し、一般送配電事業者における中立性・信頼性を確実にするため、引き続き全力を尽くしてまいります。
- ※1 指導の内容は、以下の3点です。
○情報の適正な管理が大前提であることを、現場を含めた社内で徹底し意識改革を図るための内部統制の抜本的強化策を検討し、実施すること
・社員等が特定関係事業者の社員等に対して法の業務に関して知り得た情報を漏洩しないよう、行為規範の策定や社員教育等有効な対策を講じること
・パスワードの定期的な変更等、適切なパスワード管理の徹底を行うこと
・定期的な社内監査体制の構築および適切な運用を行うこと
○事案の内容及び発生原因を調査し、対応策含め公表すること
○本指導の対応について、令和5年5月12日までに、措置内容を報告すること - ※2 一般送配電事業者における中立性・信頼性確保に向けた当社の対応方向性と今後の取り組みについて、2023年3月17日公表済み
https://www.tepco.co.jp/pg/company/press-information/press/2023/1665017_8618.html
別 紙
以 上