個情委、東京電力グループ3社に行政指導

個人情報保護委員会は、東京電力グループ3社に対し、個人情報保護法に基づく行政指導を行った。

個人情報保護法の違反が認められたとして、6月27日に東京電力パワーグリッド、東京電力ホールディングス、東京電力リニューアブルパワーの3社に対して指導を行ったもの。

指導の理由として、東京電力パワーグリッドではシステム上の顧客情報に対するアクセス権限を適切に設定しておらず、技術的な安全管理措置に不備があったと指摘。

2023年度内にシステムのアクセス権限などを確認することとしていたが、発覚した2024年1月まで内部監査が実施されていないなど組織的安全管理措置に問題があった。また従業員が問題ある状況を把握しながら、対応を行っていないなど人的安全管理措置の不備も指摘されている。

東京電力ホールディングスや東京電力リニューアブルパワーにおいても、非公開情報の共有を制限しておらず、従業者がシステム画面上表示されていた東京電力パワーグリッドの顧客の個人データを、業務上の目的や業務外の目的のため利用していた。

個情委では、指導における問題を踏まえ、個人情報保護法やガイドラインに基づいて適切な措置を講じ、全社的に総点検を実施して必要に応じて改善策を実施するよう求めている。

（Security NEXT - 2024/07/03 ）ツイート