５．情報セキュリティの推進

「情報セキュリティ基本方針」および「個人情報保護基本方針」の制定

IT（情報技術）や通信サービスの高度化に伴い、大量の情報の保存や移動が可能となるなど利便性が大幅に向上した半面、ネットワークを通じた不正アクセス等により大量の情報が瞬時に流失してしまう可能性が高まるなど、情報セキュリティ対策が喫緊の課題となった。
また、個人情報の保護に関して、国民の権利利益の侵害に対する不安の高まりから、2003年５月に「個人情報の保護に関する法律」が制定（2005年４月施行）された。
このような背景を踏まえ、CSR（企業の社会的責任）やコンプライアンス（法令遵守）の観点から、九州電力は2005年１月、「情報セキュリティ基本方針」及び「個人情報保護基本方針」を制定し、情報セキュリティマネジメント体制を整備した。

情報セキュリティマネジメント体制は、情報セキュリティ基本方針の下、社長を総括責任者とし、本店各部・各事業所、各グループに責任者を配置し、社内情報や個人情報など情報管理の徹底を図った。また、「情報セキュリティ推進委員会」やグループ会社の「情報セキュリティ責任者会議」を開催することにより、全社、各部門、各事業所、各グループにおけるPDCAサイクルを推進するとともに、情報セキュリティの確保や個人情報の保護に取り組んだ。

情報セキュリティ対策

2005年以降、PDCAサイクルから抽出した課題への対策を確実に実施し、情報セキュリティの向上を図っている。
組織的対策としては、①社内規定類の整備②規定類の理解浸透のための事業所訪問や各職場での自主点検③グループ会社における情報セキュリティマネジメントの推進に向けた支援・フォロー④委託先における九州電力保有の個人情報取扱状況の調査・指導を実施した。
人的対策としては、全従業員を対象とした集合教育やeラーニング教育を、物理的対策としてはICカード対応のセキュリティゲートを導入するなど、執務室や建物への入室制限や施錠管理の徹底に必要な設備対策をおこなった。
さらに技術的対策では、①パソコン利用環境の拡大にともない、ICカードによる個人認証、パソコン利用記録の取得、電子データの暗号化など情報漏洩防止に向けたシステム対策②インターネットの業務利用拡大にともない、ウイルス対策、迷惑メール対策、不正アクセス監視など外部ネットワークからの脅威に向けた対策を実施した。

2016年４月には、日々高度化・巧妙化するサイバー攻撃に対し、経営層のリーダーシップの下、全社横断的な情報セキュリティ推進体制及び平常時からのセキュリティ事故対応体制の確立を目的として、「サイバーセキュリティ対策室」を設置した。
情報セキュリティ推進体制については、情報セキュリティ基本方針の下、九州電力㈱社長、情報セキュリティ総括責任者（情報通信本部長）、情報セキュリティ推進責任者（情報通信本部サイバーセキュリティ対策室長）等からなる情報セキュリティ推進体制を構築し、本店各部・各事業所に責任者及び各グループに管理者を配置し、情報セキュリティの管理徹底を図った。また、「サイバーセキュリティ推進委員会」や「グループ会社情報セキュリティ連絡責任者会議」を開催することにより、グループ全体のPDCAサイクルを継続的に推進するとともに各種の情報セキュリティ対策に取り組んできた。
情報セキュリティ対策については、サイバーセキュリティ対策室を中核として組織的・人的・物理的・技術的対策を全方位的に推進し、グループ全体の情報セキュリティレベルの維持・向上を図ってきた。

個人情報保護対策

個人情報保護の情勢については、近年の消費者・事業者を取り巻く環境の変化を受け、「個人情報の保護に関する法律」（個人情報保護法）が2017年５月に改正され、人種、信条、社会的身分など特に配慮を要する情報を要配慮個人情報と定義されたことや、第三者提供する場合の取扱いの厳格化が行われた。
また、2015年10月に施行された「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」（マイナンバー法）により、2016年１月から、社会保障・税・災害対策の分野に限り、その行政手続きにおいて申告書や法定調書等にマイナンバーの記載が必要となった。
これらの関係法令の趣旨・要求事項等を踏まえ、個人情報保護基本方針をはじめとする社内の規定類を見直すとともに、マイナンバーの取扱いについては、厳格な情報の管理や保護措置などの対応が求められたため、セキュリティ確保の実効性や運用面の効率化などの観点から、人材活性化本部が全社一元的に管理することとなった。