HOME10.電力・エネルギー |杜撰な個人情報管理はマイナカードだけでない。資源エネルギー庁の「再エネ管理システム」も個人情報ダダ洩れ。政府の「個人情報保護委員会」が安全管理、監査の両面で同庁に行政指導(RIEF) |

杜撰な個人情報管理はマイナカードだけでない。資源エネルギー庁の「再エネ管理システム」も個人情報ダダ洩れ。政府の「個人情報保護委員会」が安全管理、監査の両面で同庁に行政指導(RIEF)

2023-06-30 00:06:12

PPCキャプチャ

 

 政府の個人情報保護委員会(PPC)は29日、大手電力会社が傘下の送配電部門を通じて新電力の顧客情報を不正閲覧していた問題で、電力大手10社だけでなく、データを管理する立場にある経済産業省資源エネルギー庁も「個人情報の安全管理上、不備があった」として改善を求める行政指導を行った。エネ庁は、電力各社に不正利用された再エネ固定価格買取制度(FIT)のシステム管理責任を負うが、システムアカウントの管理は担当職員任せ等、安全管理、監査の両面で不十分な対応を続けていたと指摘された。日本の役所が個人情報をぞんざいに扱う習慣は、常態化しているようだ。

 

 問題となったのは、経産省資源エネ庁が運営するFITの発電事業者のデータベース「再エネ業務管理システム」への不正アクセスだ。同システムは、同庁がFITを通じて新電力各社等から再エネ発電電力を買い上げる業務を通じて、各社が抱える顧客契約情報等のデータ等の情報等を管理している。大手電力は、新電力とライバル関係にあるため、本来は、同システムにアクセスできない。

 

 ところが、電力会社傘下の送配電会社は、新電力とも送配電契約を結ぶため、同データベースへのアクセス権を認められている。そこで電力会社の営業担当者らは、電力会社の親子関係を利用し、送配電会社を通じて長年にわたり新電力の顧客データを不正に閲覧していた。

 

 内閣府の個人情報保護委員会(PPC)はこの問題で、大手電力各社による送配電会社を通じたFIT認定事業者の個人情報の取得は、個人情報保護法第20条第1項に規定する「偽りその他不正の手段」による個人情報の取得に該当する、と指摘。

 

 そうした不正な手段を使った電力各社に対して再発防止のため、「定期的な監査等で個人情報の取扱状況を適切に把握するとともに、定期的な研修・教育の実施を通じ、従業者に、個人情報の適正な取扱いを周知徹底する」との指導を行った。

 

 一方、システムを運営していた資源エネ庁に対する指摘事項と改善のための行政指導は、電力各社よりも詳細で具体的だ。まず、「安全管理措置の不備」としては、次の3点を指摘した。

 

①【アクセス制御の不備】 エネ庁は、送配電会社に対して、再エネシステムのアカウントのID・パスワードの適切な管理のための措置を行っていなかった。

②【アクセス記録の分析不備】同庁は、再エネシステムで、アクセスログを保存していたものの、その定期的な分析等は実施していなかった。

③【監査及び点検の実施】同庁は、送配電会社に付与した再エネシステムアカウント、そのID・パスワードがどのように利用されているか等について、長期間にわたり確認を行わなかった。

 

「その他の保有個人情報の安全管理措置の不備」としては、

①【アクセス制御】同庁は、再エネ業務管理システム担当課室の新エネルギー課の職員以外に、経産省の各地方経済産業局の一部職員に再エネシステムアカウントを付与していたが、そうしたアカウントのID・パスワードの管理は、当該職員任せで、定期的なパスワードの変更等の指示をしていなかった。

②【監査及び点検の実施】同庁の監査担当部署は、監査対象の同課室が実施した自己点検の内容の確認にとどまり、自ら証拠書類の確認や実地による確認を行わず、不十分な監査だった。

 

 こうした同庁の個人情報管理上の不備を具体的に指摘したうえで、改善を求める行政指導として、①今後、システムアカウントのID・パスワードについて、パスワード等の管理に関する定めを整備(その定期又は随時の見直しを含む)するとともに、定期的にパスワードを変更し、または一般送配電事業者に対し、定期的にパスワードの変更を指示すること。

 

・ 今後、同システム内の保有個人情報へのアクセス状況について、所定の手続を整備(改善を含む)した上で、アクセスログを定期的に分析すること。

・ 今後、同システム内の保有個人情報の管理状況について、定期に、及び必要に応じ随時に監査(外部監査を含む)を行うとともに、監査においては証拠書類の確認等を行うこと。等

 

 個人情報保護委員会は、個人情報保護法に基づき、2016年1月に発足した。内閣総理大臣に属する行政委員会で、内閣府の外局となっている。個人情報の有用性に配慮しつつ個人の権利利益を保護するために個人情報の適正な取扱いの確保を図ることを任務とする、としている。

 

 大手電力の不正情報取得問題で、経済産業省は4月に、関西電力等の5社に電気事業法に基づく業務改善命令を、東北電力等の6社に業務改善勧告をそれぞれ出した。だが、エネ庁自らの情報管理体制の不備については一切言及していない。https://rief-jp.org/ct5/134645?ctid=72

https://www.ppc.go.jp/news/press/2023/230629_02/