情報セキュリティマネジメント体制の整備・強化
私たちは、製品の安定供給と信頼性のある情報を顧客に提供するために、情報セキュリティに関するグローバルポリシーを制定しました。さらに、情報セキュリティの管理全般に関する最終的な責任者として CDXO*1を定めるとともに、 CDXOによって任命された Head of Global Cybersecurity が第一三共グループの情報セキュリティ対策を主導することを明記しました。また、第一三共グループにおける情報セキュリティ対策を推進するために、セキュリティコミッティも設置しています。
このポリシーでは、当社グループ内の情報や資産だけでなく、取引先等のビジネスパートナーや顧客の情報を含む情報および情報が保存されるデータ、媒体、情報システム、産業システムを対象としています。グローバルでの情報セキュリティ対策を向上させるために、第一三共グループ情報セキュリティスタンダードを制定し、第一三共グループ各社のセキュリティ対策の状況を評価し、その結果に基づいて継続的な改善を行っています。セキュリティの脅威から情報資源を守るためには、全社員が情報セキュリティの重要性を理解することが不可欠です。そのため、各社の状況に応じた社員への教育活動として、サイバー攻撃の手口や対応方法の解説、標的型メール等に対する意識啓発、注意喚起を継続的に実施しています。
*1Chief Digital Transformation Officerの略
サイバーセキュリティへの対応
近年増大しているサイバー攻撃への対応機能として CSIRT*2を Head of Global Cybersecurity のリーダーシップのもとで運営しています。外部セキュリティパートナーと協力し、24時間体制でのセキュリティ監視を行い、発生したインシデントは迅速に対応できる体制を整えています。
サイバー攻撃の脅威に対しては、同業・他業種といった他組織と連携することが非常に重要です。そのため、社外の専門組織や他社CSIRT等の社外セキュリティチームと協力し、サイバーセキュリティに関わる情報を収集しています。そしてこれらの情報をもとに、当社グループとしてのセキュリティ施策を計画し、実施しています。また、社外との協力関係を構築することで、当社グループ内だけでなく社会全体のセキュリティ向上にも貢献することを目指し、CSIRTを中心として活動を続けています。
*2企業等におけるコンピュータセキュリティに関するインシデント対応を行う枠組み
Operational Technology(OT)セキュリティへの対応
当社の使命である高品質な医薬品の安定供給を果たすために、医薬品の製造プロセスに関わる制御装置やシステムへのサイバー攻撃リスクへのセキュリティ(OTセキュリティ)施策を推進しています。
具体的には、製造拠点における推奨セキュリティ技術施策を整理した標準モデルを作成し、OTセキュリティリスクを特定し管理するための評価・管理プロセス等を設計しています。これらの対策により、品質管理や安定供給におけるリスクを最小限に抑え、患者さんへの医薬品提供を支えています。
個人情報保護に関する取り組み
個人情報は、企業の事業活動に不可欠な情報ですが、その性質上、誤った取り扱いがなされると、個人に取り返しのつかない被害を及ぼすおそれがあります。当社グループでは、個人情報保護に関するグローバルな統一基準(第一三共グループプライバシーポリシー)に基づき、各国・地域の法令・規制に準拠した社内規程を整備して個人情報の安全管理を徹底するとともに、定期的に研修を行い、個人情報の適切な取り扱いの周知徹底に取り組んでいます。マイナンバーの取り扱いに関しては、定期的に委託先のマイナンバーの安全管理状況を評価し、実地監査を実施するとともに、当社及び国内グループ会社の社員が当社グループの基本方針、管理体制などを理解するためのEラーニングを実施する等、適切に対応しています。さらに、欧州のGDPR(General Data Protection Regulation)をはじめ、世界各国で個人情報に関する法令が制定されています。当社グループでは、関連する国・地域で施行される個人情報保護法制への対応を進めています。
今後も個人情報保護法違反の未然防止を図るべく、継続的にリスク低減及び課題の早期発見に取り組んでいきます。