リスクマネジメント

当社は、予測不可能な不確実性を含む様々なリスクに対して、情報管理・モニタリング体制を構築し、発生を予防し、的確に対処します。

リスク管理とアセスメント

当社は、危機管理に係る規程に基づき、事業活動遂行上想定される主要な損失の危険に的確に対処するため、各事業法人・組織において平時から損失の危険の把握と管理に努め、方針・対応策の策定や情報収集を行う体制を構築して損失の危険の回避・最小化に努めています。重大な危機に発展する可能性のある事象が発生または報告された場合には、CEOを委員長とする「危機管理委員会」を設置し、対応と事態の収拾に努めるとともに再発防止策を実施します。
また、経営に影響を及ぼす可能性がある多様なリスクに対応するため、チーフ リスク オフィサーの下、リスク管理活動の強化を図るとともに、経営に重大な影響を及ぼす可能性があるリスクを明確にし、重要リスクに対する予防策を策定、協議する継続的なリスク管理活動を進めています。
内部監査室は、その独立した立場において、業務監査を通じてリスク管理状況を検証しています。
2020年に社外の調査会社と協働で実施したアセスメントでは、重大なコンプライアンス違反や不正の事実はなく、それらを防止するための企業風土や環境は概ね良好であることを確認しています。

情報セキュリティ

効果的な情報セキュリティ対策により、当社およびステークホルダーの重要な資産を安全に守り、個人のプライバシーやシステムとインフラストラクチャを完全に保護することができます。Santenは、情報セキュリティをグローバル社会の進化にとって不可欠な要素と考え、戦略的優先事項と捉えています。
当社は、ISO/IEC27001に基づく情報セキュリティマネジメントシステムを導入し、継続的に取り組んでいます。このシステムの主な目的は、日常業務、規則および戦略的優位性の継続に必要な情報の機密性、完全性、可用性を保証することです。これに基づき、以下の取り組みを実施しています。

  • 明確で包括的なセキュリティビジョンを策定し、ビジネス成果に関連する指標を導入
  • 効果的かつ効率的な情報セキュリティ管理手法により、プロセスに影響を与えるリスクを排除または軽減し、情報セキュリティリスクを許容レベルまで軽減することで、貴重な資産の不確実性に対処し、望ましいビジネス成果につなげる従業員、請負業者および取引先に情報セキュリティに関する役割と責任を認識させるため、意識向上トレーニングなどの教育を定期的に実施
  • 非常時の事業継続を確実にするために、枠組み、計画、システムを開発・維持する
  • 適用されるすべての情報セキュリティ関連の法律、市場規制、契約上の義務、業界標準、およびその他の関連する内部および外部の要件を遵守し、継続的に改善
  • 情報セキュリティポリシー違反を管理・防止するための適切な措置
  • セキュリティ管理目標を設定し、定期的に内部監査とギャップ評価を実施することにより、本マネジメントシステムを継続的に改善
  • すべての従業員が本マネジメントシステムのポリシー、詳細な規則および管理を確実に遵守

情報セキュリティガバナンス

情報セキュリティを確実にするためには、トップマネジメントのサポート、コミットメント、説明責任が不可欠です。
Santenでは、チーフ デジタル & インフォメーション オフィサー(以下CDIO)が最高情報セキュリティ責任者(CISO)を務め、グローバルな情報セキュリティ戦略とその実行を担い、CEOと取締役会へ直接報告する体制を整えています。
CDIOは、「情報セキュリティ規程」に明記されている通り、セキュリティガバナンス フレームワークの維持に責任を持ち、情報と事業のリスクに焦点を当て、重要な事業プロセスとアプリケーションの保護に注力しています。また、機密情報の管理、情報セキュリティ体制の維持発展に責任を負い、情報システムの開発においては定められた方針を順守します。
CDIOは、情報セキュリティのグローバル責任者が議長を務め、重要な利害関係者で構成されるマネジメントシステム委員会とともに活動しています。マネジメントシステム委員会は定期的に開催され、戦略的意思決定を行う他、以下の重要な責任を果たしています。また、特定されたリスクや決定事項はCDIOとCEO、取締役会へ報告しています。

  • 企業の情報セキュリティに影響を与える全社的重要事項の承認
  • ビジネスのあらゆる側面で無意識に情報セキュリティに対応できる企業文化の醸成
  • 情報セキュリティの脅威にさらされている状況を監視し、取締役会に勧告することにより、情報リスクに関する迅速な意思決定を促進
  • タイムリーで正確な情報によりセキュリティパフォーマンスを監視(重要業績評価指標および重要リスク評価指標)
  • 特定されたリスクと情報セキュリティ関連のプロジェクトなどの進捗状況について利害関係者に報告

セキュリティ意識向上トレーニング 情報テクノロジー(IT)およびオペレーショナルテクノロジー(OT)

当社では、新入社員全員に情報セキュリティ方針や詳細のルールを教育しています。
2021年度のオンラインITセキュリティ研修の終了率は96%でした。研修では、以下項目などについて説明しています。

  • 「情報セキュリティ」の重要性
  • セキュリティの脅威と情報セキュリティ事象を防ぐ方法
  • 従業員の責任
  • 従業員の日常活動を支援する具体的な情報セキュリティ対策
  • モバイルデバイスのリスク
  • マルウェア対策
  • 電子メールおよびインターネットの許容される使用法
  • 情報の分類と取り扱い

2021年度のオンラインOTセキュリティ研修の終了率は98%でした。研修では、以下の項目などについて説明しています。

  • 情報セキュリティの重要性とOTとITの違い
  • セキュリティの脅威と情報セキュリティ事象を防ぐ方法
  • 事業継続
  • 物理的および環境的セキュリティ
  • ネットワークの分離とアクセス制御
  • 変更管理
  • 第三者のリスクと管理

ゲーム感覚で学ぶフィッシング対策

フィッシングはサイバー犯罪者が使用する最も効果的で普及している手法の1つです。そこで、人的要素のリスクを軽減する従業員の行動に基づいた、より安全な企業文化を推進するための新しいフィッシング対策教育の方法を開発しました。
グローバルの従業員を対象に、継続的にゲーム感覚でフィッシング対策を学ぶ体験を開始し、事例対応プロセスの一部であることを確認しながら、魅力的で遊び心のある方法でより安全な電子メールの使い方の学習を促しました。

セキュリティ規程と手順書

当社は、業界のベストプラクティスを適用し、セキュリティ脅威の状況変化に見合った戦略に投資することを目指しています。日常業務において従業員にガイダンスを提供する規程と手順には以下があります。全てグローバルが対象です。

  • 情報セキュリティ規程
  • 情報セキュリティ細則
  • セキュリティインシデント管理手順
  • 重大なセキュリティインシデント管理手順
  • データの分類と取り扱いに関するポリシー
  • 暗号化手順
  • バックアップと復元手順
  • モバイルデバイス管理手順
  • データ転送手順
  • ログ管理手順
  • 情報セキュリティリスク管理手順

第三者セキュリティリスク管理

Santenでは、第三者が提供するサービスについても、当社のマネジメントシステムの延長として取り扱います。情報セキュリティ規程や手順書は、関連する取引先にも適応されます。取引開始前には、リスク評価を実施しています。第三者のセキュリティリスクは常に進化しており、定期的に継続的なモニタリングが不可欠です。導入から終了まで取引先とのライフサイクル全体を通じて、成熟度レベル評価やサイバーリスクスコアカードなど様々なツールやプロセスを使ってリスクを監視しています。

新型コロナ感染症への対策

新型コロナウィルスの感染が世界的に拡大し、各国各都市においてロックダウンの措置が講じられるなどの非常事態においても、Santenは基本理念に基づき、製品を安定的に供給し、眼科治療薬などを世界中の患者さんにお届けし続けることが我々の使命であると考えています。また、社会に貢献するライフサイエンス企業の一員として、ウイルス拡散に繋がる活動を自粛すること、そしてこのような非常事態においても、将来の眼科医療のイノベーションに向けた取り組みを継続することを大切にしています。対策として、2020年1月より社長を委員長とした危機管理委員会を組織し、日本および世界各拠点の状況をモニタリングし、対応の検討・指示を実施するなど、様々な取り組みを行っています。