事故から学ぶ

システム障害続報 通知誤りによりお客さまの個人情報が漏えい 九州電力株式会社

事故概要

業種 九州電力
発生時期 2020/05/8
漏えい人数 400人
事故概要

本年1月に発生したシステム障害解消に向け、託送料金計算システムと関連システム間のデータ差異を確認する中で、小売電気事業者さまに対して、一部のお客さまデータを誤って通知したことによる個人情報の漏えいが判明しました。
なお、誤って通知した個人情報については、当該小売電気事業者さまにデータの削除をお願いしております。
今後は、厳正な業務処理手順の徹底やチェック機能体制の強化を実施し、再発防止に努めてまいります。
1 経緯
託送料金計算システムと関連システム間の総チェックを行う中で、一部の小売電気事業者さまの契約データが、システム間において差異があることを確認したことから、再チェックを実施 〔4月21日公表済〕
再チェックにおいて、システム連係されなかったデータの手作業による登録処理を誤っていたことなどにより、一部のお客さまデータ(個人情報含む)を切替前の小売電気事業者さまに通知していたことが判明したため、調査を開始
〔4月28日〕
調査により誤った契約データを確認次第、正しい契約データに修正中
2 漏えいした個人情報
需要者(発電者)名、住所、供給(受電)地点特定番号、契約電力、30分電力量
3 件数
約400件(精査中)
(注) 小売電気事業者さまへの託送料金の誤請求が発生している場合は、速やかに精算を行います。

引用元 九州電力

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-9(第20条)安全管理措置 作業ルールの徹底(システム管理)

チェックリストにある要求ルール:

社内で使用するシステムが正常に作動しているか、毎日確認をし不審な動きがあればすぐに対応できる体制を整えていますか?
不審な動作に対し警告出る仕組みを導入していますか?
新しいパッチを適用したり、システムの改修を行ったときは、セキュリティー対策面からのテストと確認を実施していますか?
システム回収後に再投入したデータに誤りが無いことを確認しましたか?
ホームページの不正改ざんに備え、監視強化やセキュリティパッチの更新を実施していますか?

■ 推奨対策

対策:

本番稼働前に行うシステムテスト不備での個人情報漏えい事故である。
システム面から考えると、当然行うべきテストが甘かった、という「ありがち」なミスとして整理されるが、システム会社としては絶対に起こしてはならない事故である。

具体例:

システムリスクの最大の敵は、時間と費用の制約である。テストをやればやるほど時間も費用も増加するため、妥協点を見つけて誓約負けしてシステムを本番稼働させるのが普通である。しかし、実際に漏えい事故を起こすと、そのリカバリーコストは当初の制約をはるかに超えた額になる。
このジレンマを解消するマジックは存在しないが、他人の失敗から学び、他人と同じミスは犯さないことである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。