情報セキュリティマネジメント体制の整備・強化
当社グループでは、製品の安定供給及び信頼性のある情報を顧客に提供するために、情報セキュリティに関するグローバルポリシーを制定し、ヘッド オブ グローバル インフォメーション セキュリティのリーダーシップのもと、グローバルにおける情報セキュリティ対策を整備しています。また、情報管理機能を含むデジタル領域の最高責任者かつ取締役であるCDXO*1が全体を統括し、執行に対する監督を行っています。
同ポリシーで言及している情報及びシステム資産には、当社グループ内に限らず、取引先等のビジネスパートナーや顧客の情報を含む情報及び情報が保存されるデータ、媒体、情報システム、産業システム及び紙面が包含されています。主に文書管理を中心とした情報管理においては、安全性・信頼性の確保や、適切な取扱管理策に関連する国内グループ各社共通化及び継続的な見直しを行い、情報管理の徹底を図っています。情報セキュリティにおいては、2022年度にはグローバルでのセキュリティ対策実施水準を引き上げることを目標として、第一三共グループ情報セキュリティスタンダードを制定しました。また、2023年度からは当該機能をグローバルDXに移管し、デジタル機能と共同してグループ全体の情報セキュリティをさらに強化します。セキュリティの脅威から情報資源を守るためには、全ての社員の意識啓発が重要であり、各社の状況に合わせた社員への情報セキュリティ啓発活動として、サイバー攻撃の手口の解説や標的型メール等に対する意識啓発、注意喚起を継続的に実施しています。
*1 Chief Digital Transformation Officerの略
サイバーセキュリティへの対応
近年増大しているサイバー攻撃への対応機能としてCSIRT*2をヘッド オブ グローバル インフォメーション セキュリティのリーダーシップのもとに運営し、外部セキュリティパートナーの協力のもと24時間体制でのセキュリティ監視を実施、発生したインシデントに対して迅速に対応する体制を整備しています。
サイバー攻撃の脅威に対しては、同業・他業種といった他組織と連携することが重要であり、社外の専門組織や他社CSIRT等の社外セキュリティチームと連携することにより、サイバーセキュリティに関わる情報を収集し、当社グループとしてのセキュリティ施策を立案・推進しています。また、社外との協力関係を構築することで、当社グループ内だけでなく社会全体のセキュリティ向上に貢献することを目指し、CSIRTを中心として継続的に活動しています。
*2 企業等におけるコンピュータセキュリティに関する対応を行う枠組み
個人情報保護に関する取り組み
個人情報は、企業の事業活動に不可欠な情報ですが、その性質上、誤った取り扱いがなされると、個人に取り返しのつかない被害を及ぼすおそれがあります。当社グループでは、個人情報保護に関するグローバルな統一基準(第一三共グループプライバシーポリシー)に基づき、各国・地域の法令・規制に準拠した社内規程を整備して個人情報の安全管理を徹底するとともに、定期的に研修を行い、個人情報の適切な取り扱いの周知徹底に取り組んでいます。2022年度は、当社及び国内グループ会社を対象に、改正個人情報保護法に対応した社内ルール改正の説明会ならびに、全役員及び社員を対象にEラーニングを実施しました。また、改正したルール徹底のためモニタリングを実施しました。マイナンバーの取り扱いに関しては、定期的に委託先のマイナンバーの安全管理状況を評価し、実地監査を実施するとともに、当社及び国内グループ会社の社員が当社グループの基本方針、管理体制などを理解するためのEラーニングを実施する等、適切に対応しています。さらに、欧州のGDPR(General Data Protection Regulation)をはじめ、世界各国で個人情報に関する規制が強化されています。当社グループでは、関連する国・地域で施行される個人情報保護法制への対応を進めています。
今後も個人情報保護法における重大なコンプライアンス違反の未然防止を図るべく、継続的にリスク低減及び早期発見に取り組んでいきます。