基本的な考え方

昨今、高度なサイバー攻撃の急増や各国の関連法令強化等、情報管理に係る社会の変化は激しく、企業経営に影響を及ぼす重大なリスクとなっています。加えて他社との協業機会の増加等により、当社グループは重要情報が広く社内外に存在する状況であり、個人情報、顧客情報ならびに自社・他社の機密情報を適正に管理・保護することは、企業として当然の責務であり、信頼の基盤です。また当社グループは、事業戦略としてデジタルトランスフォーメーション(DX)を強力に推進しており、情報セキュリティに対する一層の取り組み強化が求められています。
こういった状況を踏まえ、当社グループは第一三共グループ企業行動憲章第6条で「適切な情報管理」について明示する等、情報管理に関するリスクへの対応を企業活動における重要事項の一つとして捉えています。

情報管理ガバナンス体制

当社グループでは情報管理の最高責任者としてCISO*を設置し、情報セキュリティに関するグローバルポリシーを制定しています。このポリシーで言及している情報とは、電子情報だけではなく、紙に記録された情報や、口頭・伝聞情報を含む全ての情報を指し、また当社グループ内だけでなく、取引先等のビジネスパートナーやお客様の情報も対象となります。
そして、情報の安全性・信頼性の確保、有効活用により企業価値を高めることを目的とした関連規程の国内グループ各社共通化や継続的な見直し等、適切な情報管理の推進/情報セキュリティの強化を図っています。 2021年4月には、規程類を補完するための社員向けの実運用指針として「情報セキュリティガイドライン」と「情報取扱ガイドライン」の改正を行い、社員一人ひとりが情報を適切に取り扱うことができる企業風土の醸成に取り組んでいます。
*Chief Information Security Officerの略。情報管理最高責任者。

 

情報(サイバー)セキュリティへの対応

当社グループでは、安定した製品および情報をお客様に提供するために、情報セキュリティへの取組みを進めており、ISO/IEC27001を基本としたセキュリティマネジメントシステムの確立をグループ各社で取り組んでいます。
また、近年増大しているサイバーの脅威に対して適切な対応を行うことを活動目的としたCSIRT*をCISOのリーダーシップのもとに運営しています。
当社のCSIRTでは国内外グループ会社、他社CSIRTなどの社外セキュリティチームと連携しサイバーセキュリティに関わる情報を収集し、そこで得た情報をもとに当社グループとしてのセキュリティ施策を立案しています。当社はサイバーの脅威に対し、同業・他業種の他組織と連携することが重要だと考えています。社外との協力関係により、社内だけでなく社会のセキュリティ向上に貢献することを目指しCSIRTを中心として継続的に活動しています。

ITシステムへのサイバー攻撃等への対策としては、防御機能、侵害の検知・対処機能等の情報セキュリティ基盤の強化、運用の改善を推進し、グローバルでの対策強化を図っています。
*シーサート (CSIRT: Computer Security Incident Response Team) またはサート (CERT: Computer Emergency Response Team) :企業等におけるコンピュータセキュリティに関する対応を行う枠組み

 

情報セキュリティ意識啓発の取組み

当社グループは、情報セキュリティ対応・情報資源を守るためには、すべての社員の意識が重要であると考えています。社員への情報セキュリティ啓発活動として、情報セキュリティ・情報取り扱いの研修や標的型メール等に対する意識啓発、注意喚起を継続的に実施しています。このように定期的な社員教育を実施することで、社員一人ひとりの情報リテラシー・活用モラルを向上させ、情報セキュリティ・情報取り扱いを正しく理解できる人材として育成しています。

個人情報保護法、マイナンバー法、各国の個人情報保護法への対応

個人情報は、企業の事業活動に不可欠な情報ですが、その性質上、誤った取り扱いがなされると、個人に取り返しのつかない被害を及ぼすおそれがあることから、当社グループでは、個人情報保護に関するグローバルな統一基準を明確にするため「第一三共グループプライバシーポリシー」を2020年10月1日に制定しました。グループ各社においては、各国・地域の法令・規制に準拠した個人情報保護に関する社内規程を整備し、個人情報の安全管理を徹底しています。また、当社グループでは、個人情報保護の重要性の理解・促進のため、定期的に研修を行い、個人情報の適切な取扱いの周知徹底に取り組んでいます。
また、2015年10月に施行された、いわゆる「マイナンバー法」に対しては、定期的に委託先のマイナンバーの安全管理状況を評価し、実地監査を実施するとともに、当社及び国内グループ会社の社員が当社グループの基本方針、管理体制などを理解するためのeラーニングを実施する等、適切に対応しています。
さらに、欧州のGDPR(General Data Protection Regulation)をはじめ、世界各国で個人情報に関する規制が強化されています。当社グループでは、関連する国・地域で施行される個人情報保護法制への対応を進めています。

to Page Top