ガバナンス情報セキュリティ
当社グループは、社内外の個人情報・営業秘密、その他多くの重要な情報を保有しています。これらの情報資産の保全・管理のために、情報セキュリティ管理規程を整備し、ITセキュリティ対策や外部のデータセンターを含む複数拠点におけるデータの保存等を実施するとともに、グループ情報セキュリティ委員会を設置して教育・啓発を実施する等、全社的な情報セキュリティの取り組みを進めています。
情報セキュリティに関する方針
当社グループは、情報資産を重要な経営資源と認識し、以下の方針に基づき情報セキュリティの確保に取り組みます。
PLAN(分析・計画)
Sawai DXの推進
当社グループは、デジタル技術を活用したビジネス変革により、人々の生活・健康の向上を目指しています。Sawai DXでは、IT活用先進企業への変革、デジタルヘルス事業への挑戦、ITインフラ強化の3つのアクションを段階的に推進しており、情報セキュリティの強化をその重要な基盤として位置づけています。
生成AI活用とガバナンス
当社グループは、業務効率化と新たな価値創出を目的に、情報システム部門が承認した生成AIツールの活用を推進しています。
明確な利用基準による安全な活用
当社グループは、生成AIツールの利用範囲を業務目的に限定するとともに、承認ツールによる入力データの機密保護(学習利用禁止・外部漏洩防止)により、社内情報資産を安心して活用できる環境を整備しています。
主な取り組み
- 利用範囲の明確化:
承認ツールのみ使用可。使用を業務目的に限定し、個人情報・著作権・秘密保持義務のある情報の取扱いルールを規定。 - 権利侵害の防止:
生成物の商用利用前に、既存の著作権・商標権・意匠権との類似性を確認するプロセスを義務化。 - 正確性の担保:
AI生成物を盲信せず、必ず根拠・裏付けを確認する運用ルールを徹底。
ガイドライン周知とコミュニティ運営
生成AIガイドラインを全従業員(派遣社員・請負作業者含む)に周知し、法令遵守事項と利用手続きを明示しています。社内に生成AIコミュニティ(生成AIポータル)を設置し、活用事例・注意点・最新の技術動向やリスク情報をタイムリーに共有することで、組織全体のリテラシー向上と安全な利用文化の定着を図り、持続可能なデジタル変革を推進しています。
情報セキュリティに関する管理体制
当社グループは、情報セキュリティに関する法令その他の規範を遵守し、保有する情報資産を保護する体制を構築しています。各部門に責任者を選任して責任と権限を付与するとともに、統括責任者、管理責任者、事務局からなる情報セキュリティ委員会を設置することで、組織的かつ継続的に情報セキュリティの確保・維持向上を図っています。
当社の情報セキュリティ管理体制図は、次のとおりです。
有事の際は、情報セキュリティ委員会が中心となってCSIRT体制を構築します。CSIRT体制図は、次のとおりです。
リスク分析
当社グループは、情報資産に対する脅威を特定するため、包括的なリスクアセスメントを実施しています。
脆弱性分析
当社グループは、情報セキュリティの脆弱性分析を適宜行い、情報資産に関するリスクを把握します。また、「リスク許容水準」を決定し、把握したリスクを「リスク許容水準」以下に抑えるための情報セキュリティ対策と、その実施計画を策定します。把握した脆弱性への対策とその実施計画の見直しを行うことで、情報システムのセキュリティを維持・強化しています。
事業継続計画(BCP)
当社グループは、自然災害やサイバー攻撃等の緊急事態発生時においても、医薬品の安定供給を含む重要業務を継続できるよう、セキュリティインシデントに対応したIT-BCP体制の強化に取り組んでおります。
DO(対策実施)
人的セキュリティ対策
当社グループは、厳格な教育と訓練を通じて、セキュリティ意識の高い企業文化を醸成しています。
セキュリティ教育
当社グループは、情報セキュリティ教育または訓練を実施することにより意識向上を図っています。全社員を対象としたeラーニング教育や標的型メール攻撃訓練を定期的に行うほか、各部署の情報セキュリティ担当者向けの教育として、外部講師によるサイバー犯罪の対策講義も開催しました。
インシデント対応
当社グループは、セキュリティインシデントの発生または不審な事態を発見した場合、当該事象を発見した社員は直ちにPCをネットワークから切断し、上司とIT部に報告するエスカレーションプロセスを定め、全社員への周知を図っています。このプロセスの実効性を高めるため、全社員を対象に標的型メール攻撃を模した疑似メールを送信し、不審メールの識別とエスカレーション対応を実践する訓練を定期的に実施しています。
技術的対策
当社グループは、サワイ版情報セキュリティマップを策定し、性悪説・性弱説※・性善説の3つの見地から、内部不正対策・不正侵入対策を計画的に実施しております。
また、働き方の多様化への対応やクラウドサービス利用の増加にも対応したゼロトラストセキュリティ化など、ビジネス・IT環境の変化にも追随する形での情報セキュリティ対策に努めております。
※性弱説(当社概念):「人は本来弱い(不完全な)存在で、誰もがヒューマンエラーを起こしうる」という前提に立ち、仕組みによってそれをカバーし、社員が意図せず情報漏洩者となることを防ぐ考え方。(例)外部宛てメールの一定時間の送信保留による情報漏洩防止など
物理的対策
当社グループは、建物・施設を物理的に保護することで、情報資産への不正アクセス・毀損・滅失等を防止します。安全領域および保護区域を定義し、許可された者のみが出入りできるよう入退館・入退室管理を実施します。また、機器・設備の適切な設置と保護対策を講じることで、物理的な情報セキュリティを維持しています。
CHECK(モニタリング)
情報セキュリティ診断
当社グループは、第三者アセスメントを定期的に実施し、PDCAサイクルを回すことにより最適化・改善を図っております。
監査実施
当社グループは、情報セキュリティの定期的な点検または外部および内部監査を実施することにより情報セキュリティ水準が維持されていることを確認しています。
外部監査
情報セキュリティ管理・対策が適切に実施されていることを確認するため、外部機関による情報セキュリティアセスメントを実施し、責任部門である情報システム部門でISMS認証(ISO27001)を取得しました。(認証機関:一般社団法人日本能率協会 審査登録センター、認証番号:JMAQA-S257、認証取得日:2022年7月1日)
内部監査
経営監査室が情報セキュリティ監査部門を務め、情報セキュリティマネジメントシステムのモニタリング活動の一環として、情報資産を取り扱う業務を対象に内部監査を定期的に実施しています。当該監査の実効性を確保するため、当社は、役職員が作成したデータ、送受信した電子メール、インターネットのアクセス記録を含む、すべての情報資産の閲覧権限を有しています。
ACT(改善)
改善策
当社グループは、モニタリングを行った際に「リスク許容水準」以下に抑えられていない残存リスクがあった場合、委員会は改善計画を策定します。改善には、各部門が実施する対策の見直しや「情報セキュリティポリシー等」の改定が含まれ、改定した文書は対象役職員へ迅速に配布します。なお、現段階で改善が困難な残存リスクについては、適用除外事項として管理します。