【日本】個人情報保護委員会、大手電力4社で新たな個人情報漏洩事案認定。顧客情報入手

　個人情報保護委員会は3月6日、関西電力と関西電力送配電、北陸電力と北陸電力送配電、中国電力と中国電力ネットワーク、九州電力と九州電力送配電の間で、個人情報の不適切な取扱いがあったと新たに認定した。また、資源エネルギー庁に出された行政指導についても進捗状況が公表された。

【参考】【日本】東北電力、新電力の顧客情報を不正に閲覧発覚。関西電力も。当局は緊急点検要求（2023年1月15日）

　今回の事案は、小売電気事業者が、同グループの一般送配電事業者が保有している顧客情報（個人情報）を利用し、顧客開拓に活用していたというもの。すでに2023年6月に今回の4社グループに加え、東北電力と東北電力ネットワーク、中部電力ミライズと中部電力パワーグリッド、四国電力と四国電力送配電の3社グループに対し、同事案で行政指導が発出しており、全社的な総点検と改善策の実施が命じられていた。

　今回の発表は、総点検の結果、新たに4社グループから合計23件の不適切事案が同委員会に報告されたというもの。同委員会は、すでに行政指導が発出されており、追加の指導は行わないとしたものの、状況を引き続き注視していくとした。

　同委員会は、2020年に電力会社一般送配電事業と小売電気事業が法律に基づき分社化されたタイミングで、システムが切り離されていなかったことが根本の原因とみている。また両社間では人事異動も頻繁に発生している。関西電力については、業務システム及び情報共有基盤に関する調査が継続中のため、調査結果を踏まえて今後の対応を検討する。

　2023年6月に同時に発出された資源エネルギー庁への行政指導では、同庁が保有する「再生可能エネルギー業務管理システム」内の保有個人情報の漏洩が事案となっていた。当該事案では、「再生可能エネルギー業務管理システム」で一般送配電事業者に付与されたアカウントを、小売電気事業者が使用している実態が発生していたにもかかわらず、同庁がアクセスログの定期的分析や、ID及びパスワードの利用実態を長期的に確認しなかったことが追及された。

　今回の発表では、ID及びパスワードの発行状況について、所属を確認することや、人事異動が生じた場合、当該利用者のアカウントを停止し、6ヶ月以上利用がないアカウントも自動的に停止することとした。

【参照ページ】一般送配電事業者及び関係小売電気事業者による新電力顧客の個人情報の不適切な取扱い事案における再発防止策の実施状況及び全社的総点検の結果について 【参照ページ】資源エネルギー庁が保有する「再生可能エネルギー業務管理システム」内の保有個人情報の漏えい等事案における再発防止策の実施状況について

株式会社ニューラル サステナビリティ研究所