情報・プロダクト・サイバーセキュリティ
基本的な考え⽅
オリンパスグループでは、情報・プロダクト・サイバーセキュリティ(以下、情報セキュリティ)リスクは、当社の事業に直接影響を与えるだけでなく、お客さまである医療機関、さらには医療そのものに深刻な影響を与えうる重要なリスクであると認識しています。加えて、適切な情報セキュリティリスクの管理とインシデント対応は、当社の持続的成⻑や製品およびサービスの競争優位性を維持し⾼める観点でも重要性が増しています。⼀⽅、情報セキュリティリスクへの対策については、情報セキュリティに関する⾼度な専⾨性を有する部署だけではなく、それ以外の関係各機能・部⾨も含めた全社レベルでの対応を⾏うと共に、お客さまである医療機関やビジネスパートナー、業界団体や官公庁等と積極的にコミュニケーションを取り連携していくことが重要であると考えています。
当社では、コーポレートリスクマネジメントの観点からグローバル・グループ全体で統⼀した基準でリスクを可視化し、関連する各機能のリスクマネジメントを実行しています。さらに、網羅的かつ調和のとれた新たなガバナンスモデルと戦略の実⾏を通じて、特に下記の実現に注⼒しています。
- 当社の一般的なITシステムのみならず、製品やサービス、それらの開発環境や製造環境においてもサイバー攻撃への耐性を高める
- 製品やサービスを安定供給するため、サプライチェーンを含む製品ライフサイクル全体にわたり、製品セキュリティを継続的に保証する
- 各国・地域の最新動向や法規制に基づき更にプライバシー保護を強化すると共に、様々な種類や機密度に応じてデータを保護・管理し安全に利活用する
情報セキュリティのガバナンス
当社は、経営全般に関するコーポレートガバナンス体制に則し、最高経営責任者(CEO)をトップとした執行機能と、その執行機能に対する監督機能である取締役会(BoD)による情報セキュリティガバナンス体制を構築しています。執行機能としては、CEOがBoDや社外ステークホルダーに対し、情報セキュリティに関する説明責任を担っています。また、その実行責任はCEOの管掌下にあるチーフインフォメーションセキュリティオフィサー(CISO)およびその専任組織が担っており、情報セキュリティに関するグループ全体のリスク管理と戦略の策定・実⾏を統括しています。監督機能としては、経営全般に関するコーポレートガバナンスの一環としてBoDが最終的な監督責任を担うとともに、その中でも特に監査委員会が執行役などに対する職務執行監査の一環として監督責任を担っています。執行機能であるCEOおよびCISOは、BoDにオリンパスグループ全体の情報セキュリティの状況を定期的に報告しており、環境の変化があった場合も随時報告することとしています。また、監査委員会に対しては、より頻度を高めて定期的な報告を行っています。
より詳しい執⾏体制としては、グループ全体での情報セキュリティ戦略の策定と実⾏を統括するガバナンスレイヤー、策定された戦略に基づき各機能・部⾨内での計画を⽴案し実⾏を統括するマネジメント/CoEレイヤー、各機能・部⾨内で実⾏を担うエクセキューションレイヤーの3階層ごとに必要となるセキュリティ機能を定め、全社的に効果的・効率的な体制強化を進めます。
また⼀般的なITシステムやデータガバナンスを含む情報セキュリティ(エンタープライズセキュリティ)、当社製品・サービスに対する情報セキュリティ(プロダクトセキュリティ)それぞれのドメインごとに最適化したセキュリティ体制の構築を進めています。なお、個⼈情報保護に係る重要法令や社内規 程の理解促進と遵守徹底(プライバシーコンプライアンス)は、チーフコンプライアンスオフィサー(CCO)のもと体制の強化を推進しています。(コンプライアンスについてはこちらのページに記載されています)
リスク管理については、CISOとその専任組織が、社外におけるサイバー攻撃の動向や業界におけるベストプラクティスなど様々な外的要因を考慮してグループ全体を対象としたリスク評価を⾏い、そのリスク評価を踏まえた上で、当社のビジネス戦略や顧客からの要求、法規制の動向などを考慮して中期戦略を策定します。そして各機能・部⾨が策定された戦略に基づいてリスク低減策を実⾏することにより、グループ全体で統⼀された基準に基づくバランスの取れたリスク低減が⾏われます。
サイバー攻撃を受けた際等の危機管理体制については、迅速な対応、グループ全体や関係各機関との連携、経営陣による意思決定の3つが重要であるため、インシデントの迅速な抑え込みや復旧を担う各地域のIT-SIRTやPSIRTに加えて、地域間や各機能・部⾨間の連携および関係各機関との調整を⾏い経営層の意思決定をサポートするGlobal SIRT体制の構築に取り組んでいます。
情報セキュリティの侵害または違反の件数※1
過去3年間のグローバルのインシデントおよび違反の件数は表のとおりです。2022年3月期にはEMEA(ヨーロッパ、中東、アフリカ)における一部地域および米州(米国、カナダ、ラテンアメリカ)地域のITシステムが不正アクセスの対象となりました。影響を受けた地域でインシデントレスポンスを実行するとともに、当該インシデントの解析結果に基づき、各種セキュリティの強化を行っています。EMEA地域における不正アクセスでは当社のデータの損失、不正使用ならびに漏洩の痕跡は確認されませんでしたが、米州地域においては一部のデータが流出した可能性があり、影響を受けた可能性のある方々に対して通知を行いました。
| 項⽬ | 2022年3⽉期 | 2023年3⽉期 | 2024年3⽉期 |
|---|---|---|---|
| 情報セキュリティの侵害またはその他のサイバーセキュリティインシデントの総数 | 4 | 4 | 2 |
関連情報
- 情報・プロダクト・サイバーセキュリティ⽅針
- オリンパスグループ個人情報保護方針
- 経営情報:事業等のリスク
- 参考情報:サイバー攻撃を想定したシミュレーション訓練への参加(医療機器サイバーセキュリティ協議会、2021年5月19日)
※1 表の数値はGRI 418-1 (2016) の開示基準に基づき記載しています。インシデントの影響調査やモニタリングの継続等により確定した数値の開示が困難な場合は「-」で表します。