情報セキュリティマネジメント体制の整備・強化
私たちは、製品の安定供給と信頼性のある情報を顧客に提供するために、情報セキュリティに関するグローバルポリシーを制定し、Head of Global Information Securityを設置し、そのリーダーシップのもと、グローバルにおける情報セキュリティ対策を行っています。また、情報管理機能を含むデジタル領域の最高責任者であるCDXO*1が全体を統括し、執行に対する監督を行っています。
同ポリシーで言及している情報およびシステム資産には、当社グループ内に限らず、取引先等のビジネスパートナーや顧客の情報を含む情報および情報が保存されるデータ、媒体、情報システム、産業システムが包含されています。また、国内グループ会社間で取扱管理策を共通化し、継続的な見直しを行い、情報管理の徹底を図っています。一方、情報セキュリティにおいては、グローバルでのセキュリティ対策の実施水準を高めることを目指しています。そのために、私たちは第一三共グループ情報セキュリティスタンダードを制定し、その遵守状況を評価しています。そして、その結果に基づいて継続的な改善を行っています。また、2023年度からは当該機能をDX推進部門に移管し、デジタル機能と共同してグループ全体の情報セキュリティをさらに強化しています。セキュリティの脅威から情報資源を守るためには、全ての社員の意識啓発が重要であり、各社の状況に合わせた社員への情報セキュリティ啓発活動として、サイバー攻撃の手口の解説や標的型メール等に対する意識啓発、注意喚起を継続的に実施しています。
*1 Chief Digital Transformation Officerの略
サイバーセキュリティへの対応
近年増大しているサイバー攻撃への対応機能としてCSIRT*2をHead of Global Information Securityのリーダーシップのもとに運営し、外部セキュリティパートナーの協力のもと24時間体制でのセキュリティ監視を実施、発生したインシデントに対して迅速に対応する体制を整備しています。
サイバー攻撃の脅威に対しては、同業・他業種といった他組織と連携することが重要であり、社外の専門組織や他社CSIRT等の社外セキュリティチームと連携することにより、サイバーセキュリティに関わる情報を収集し、当社グループとしてのセキュリティ施策を立案・推進しています。また、社外との協力関係を構築することで、当社グループ内だけでなく社会全体のセキュリティ向上に貢献することを目指し、CSIRTを中心として継続的に活動しています。
*2 企業等におけるコンピュータセキュリティに関するインシデント対応を行う枠組み
Operational Technology(OT)セキュリティへの対応
当社の使命である高品質な医薬品の安定供給を果たすために、医薬品の製造プロセスに関わる制御装置やシステムへのサイバー攻撃リスクへのセキュリティ(OTセキュリティ)施策を推進しています。
具体的には、製造拠点における推奨セキュリティ技術施策を整理した標準モデルやOTセキュリティリスクを特定し管理するための評価・管理プロセス等を設計し、セキュリティ対策を推進しています。これらの対策により、品質管理や安定供給におけるリスクを最小限にし、患者さんへの医薬品提供に貢献しています。
個人情報保護に関する取り組み
個人情報は、企業の事業活動に不可欠な情報ですが、その性質上、誤った取り扱いがなされると、個人に取り返しのつかない被害を及ぼすおそれがあります。当社グループでは、個人情報保護に関するグローバルな統一基準(第一三共グループプライバシーポリシー)に基づき、各国・地域の法令・規制に準拠した社内規程を整備して個人情報の安全管理を徹底するとともに、定期的に研修を行い、個人情報の適切な取り扱いの周知徹底に取り組んでいます。マイナンバーの取り扱いに関しては、定期的に委託先のマイナンバーの安全管理状況を評価し、実地監査を実施するとともに、当社及び国内グループ会社の社員が当社グループの基本方針、管理体制などを理解するためのEラーニングを実施する等、適切に対応しています。さらに、欧州のGDPR(General Data Protection Regulation)をはじめ、世界各国で個人情報に関する規制が強化されています。当社グループでは、関連する国・地域で施行される個人情報保護法制への対応を進めています。
今後も個人情報保護法違反の未然防止を図るべく、継続的にリスク低減及び課題の早期発見に取り組んでいきます。