2022年4月、特定卸供給事業者制度(以下、「アグリゲーター制度」)が開始されました。特定卸供給事業者は、サイバーセキュリティ確保に関する要件の遵守及びその証跡の提出が求められます。
本稿では、アグリゲーター制度の概要、同制度にて求められるセキュリティ要件について解説します。
アグリゲーター制度とは
東日本大震災以降、分散エネルギーリソースや需要家側エネルギーリソースは、国内電力市場において重要な電力の供給源となっています。一方で、分散エネルギーや需要家側エネルギーリソースは、再生可能エネルギーを多く含むことから、その発電能力が天候に左右されるなど、電源としては不安定な要素があります。そのため、分散エネルギーや需要家側エネルギーリソースを一括で制御することで、安定的な電力の供給源となります。
エネルギーリソースを一括で制御する役割を担うのがアグリゲーターと呼ばれる事業者で、分散エネルギーリソースや需要家側エネルギーリソースに対して、発電または放電の指示をすることで、小規模な電源を束ねて調整し、小売電気事業者や一般配電事業者に対して電気を供給する仲介の役割は果たしています。これまで、アグリゲーターは、我が国の電気事業に直接関与するにもかかわらず、電気事業法における位置づけが不明確でした。そのため、改正電気事業法において、分散エネルギーリソースや需要家側エネルギーリソースの制御/取引を行うアグリゲーターは「特定卸供給事業者」と新たに位置付けられ、2022年4月より、アグリゲーター制度が開始されました。
アグリゲーター制度は、特定卸供給事業者の一定の秩序やモラル、セキュリティ基準を保つためのライセンス制度となり、特定卸供給事業を行うアグリゲーターに対し、その事業開始前に、システム等のサイバーセキュリティ確保状況や供給能力等を経済産業省へ届出ることを求めています。経済産業省は、各アグリゲーターの届出に基づき、アグリゲーターの供給能力や、アグリゲータービジネスに利用されるシステム等のサイバーセキュリティが適切に確保されているか等の審査を行います。審査の結果、届出内容に不備があれば、アグリゲーターは届出内容についての変更または中止を求められ、その対応を完了するまで事業開始が許可されません。
アグリゲーター制度におけるサイバーセキュリティ要件
アグリゲーター制度において特定卸供給事業者が遵守すべきセキュリティ要件は、経済産業省発行の「特定卸供給事業に係るサイバーセキュリティ確保の指針」(表1参照)に纏められています。
本セキュリティ要件のポイントは、セキュリティ体制の構築から、運用及び技術的なセキュリティ対策の実施まで、幅広いセキュリティ態勢の構築を求めていることです。また、特定卸供給事業者は、アグリゲーションビジネスで利用するシステム等が、これらセキュリティ要件に準拠していることを示す証跡(セキュリティ文書等)を提出する必要があります。
本セキュリティ要件は、一般送配電事業者等の電気事業者が遵守を求められる「電力制御システムセキュリティガイドライン」の記載内容を基に作成されています。加えて、アグリゲーターが利用するシステムは、多様なシステムとの相互接続やIoTの活用という特徴があるため、アグリゲーションビジネスに参画する事業者が遵守を求められる「エネルギー・リソース・アグリゲーション・ビジネスに関するサイバーセキュリティガイドライン」より、通信のセキュリティやアクセス制御といった項目が追加されています。
【表1:「特定卸供給事業に係るサイバーセキュリティ確保の指針」にて要求されるセキュリティ要件】
(1) 組織
| 体制 | ・経営層の責任の明確化 ・管理組織の設置 ・目的の明確化 |
|---|---|
| 役割 | ・責任者の設置 ・役割の明確化 ・委託先等及び供給先の対応 |
| セキュリティ教育 | ・教育の計画・実施 ・教育効果の確認 |
(2) 文書化
| 文書管理 | ・文書化 ・文書の管理 |
|---|
(3) セキュリティ管理の計画策定と実施
| セキュリティ管理 | ・対策の計画策定 ・対策の実施 ・対策の点検・報告 |
|---|---|
| 実施状況の報告 | ・教育の計画・実施 ・教育効果の確認 |
(4) 設備・システムのセキュリティ
| 外部ネットワークとの分離 | - |
|---|---|
| 他ネットワークとの接続 | ・接続点の防御・最小化 ・相互接続の中止 |
| 通信のセキュリティ | ・認証・暗号化 ・データ等の改ざん対策 |
| マルウェア対策 | - |
| なりすまし対策 | - |
(5) 運用・管理のセキュリティ
| セキュリティ仕様の明確化 | - |
|---|---|
| データの管理 | - |
(6)セキュリティ事故の対応
| 情報の収集 | - |
|---|---|
| セキュリティ事故の対応 | ・責任と手順 ・セキュリティ事故の対応 |
| セキュリティ事故の報告と情報共有 | ・セキュリティ事故の報告 |
| 周知と訓練 | ・情報の教育 |
上記のセキュリティ要件遵守の証跡として、経済産業省へ提出する必要があるセキュリティ関連文書の例を以下に示します(表2参照)。
証跡として提出するセキュリティ関連文書は、届出を行う特定卸供給事業者だけでなく、同事業者に対して電気の供給能力を有する者(下位のアグリゲーター)のセキュリティ対策状況についても考慮が必要となります。
【表2:アグリゲーター制度において必要となるセキュリティ関連文書(例)】
| 文書名 | 記載内容 |
|---|---|
| セキュリティ基本方針 | アグリゲーター事業を開始する事業者のセキュリティ全般の基本方針を纏めた文書 |
| セキュリティ管理基準 | アグリゲーター事業を開始する事業者のセキュリティ管理に必要な基準が記載された文書 |
| 情報管理基準 | アグリゲーター事業を開始する事業者の情報管理のルール(資産の重要度ごとの取扱い)や、各事業者間の情報共有に関する体制が記載された文書 |
| 脆弱性管理基準 | アグリゲーター事業にかかるシステムの脆弱性情報の収集、対応に関するルールや、各事業者間でアグリゲーター事業にかかるシステムの脆弱性・脅威情報の共有に関するルールおよび協力体制が記載された文書 |
| 外部委託管理基準 | アグリゲーター事業にかかるシステムの開発・運用の外部委託に関して、外部組織に準拠させるシステムセキュリティ要件、責任範囲、開発・運用ルールが記載された文書 |
| インシデント対応計画/インシデント対応体制図 | アグリゲーター事業にかかるシステムで発生するインシデントへの事業者の対応体制及びインシデント対応計画が記載された文書 |
| セキュリティ教育計画書/セキュリティ訓練計画書 | アグリゲーター事業にかかるシステムの関係者に対するセキュリティ教育及び訓練の計画が記載された文書 |
KPMGでは、特定卸供給事業者制度におけるセキュリティ要件を遵守のためのセキュリティ体制構築、規程整備等を支援しております。
お気軽にお問い合わせください。
