情報・プロダクト・サイバーセキュリティ
基本的な考え⽅
オリンパスグループでは、情報・プロダクト・サイバーセキュリティ(以下、情報セキュリティ)リスクは、当社の事業に直接影響を与えるだけでなく、お客さまである医療機関、さらには医療そのものに深刻な影響を与えうる重要なリスクであると認識しています。加えて、適切な情報セキュリティリスクの管理とインシデント対応は、当社の持続的成⻑や製品およびサービスの競争優位性を維持・強化する観点でも、その重要性が高まっています。⼀⽅、情報セキュリティリスクへの対応については、情報セキュリティに関する⾼度な専⾨性を有する部署だけでなく、それ以外の関係各機能・部⾨も含めた全社レベルでの対応を⾏うとともに、お客さまである医療機関やビジネスパートナー、業界団体や官公庁等と積極的にコミュニケーションを取り連携していくことが重要であると考えています。
当社では、コーポレートリスクマネジメントの観点からグローバル・グループ全体で統⼀した基準でリスクを可視化し、関連する各機能のリスクマネジメントを実行しています。さらに、網羅的かつ調和のとれた新たなガバナンスモデルと戦略の実⾏を通じて、特に下記の実現に注⼒しています。
- 当社の一般的なITシステムのみならず、製品・サービス、ならびにそれらの開発環境や製造環境においてもサイバー攻撃への耐性を高める
- 製品やサービスを安定供給するため、サプライチェーンを含む製品ライフサイクル全体にわたり、製品セキュリティを継続的に保証する
- 組織全体で保護すべき情報を特定し、データを安全かつ有効に使える仕組みを整備する
情報セキュリティのガバナンス
当社は、経営全般に関するコーポレートガバナンス体制に則し、最高経営責任者(CEO)をトップとする執行機能と、その執行機能に対する監督機能である取締役会(BoD)による情報セキュリティガバナンス体制を構築しています。執行機能としては、グローバルGRCヘッドがBoDや社外ステークホルダーに対し、情報セキュリティに関する説明責任を担っています。また、その実行責任はチーフインフォメーションセキュリティオフィサー(CISO)およびその専任組織が担っており、情報セキュリティに関するグループ全体のリスク管理と戦略の策定・実⾏を統括しています。監督機能としては、経営全般に関するコーポレートガバナンスの一環としてBoDが最終的な監督責任を担うとともに、その中でも特に監査委員会は、執行役などに対する職務執行を監査する役割として監督責任を担っています。執行機能であるグローバルGRCヘッドおよびCISOは、BoDにオリンパスグループ全体の情報セキュリティの状況を定期的に報告しており、環境の変化があった場合には随時報告することとしています。また、監査委員会に対しては、より頻度を高めて定期的な報告を行っています。
情報セキュリティ推進体制としては、リスクレベルに応じてバランスの取れたセキュリティ対策を実現することを目的に、3線防御のフレームワークを導入しています。グループ全体での情報セキュリティ戦略の策定と実⾏を統括するガバナンスレイヤー、策定された戦略に基づき各機能・部⾨内での計画を⽴案し実⾏を統括する各部門のコントロールタワー、各機能・部⾨内で実⾏を担うエクセキューションレイヤーで構成されています。セキュリティ統括機能はそれぞれの専門領域ごとに実行責任を負うエンタープライズセキュリティ(一般ITシステムおよびオペレーショナルテクノロジーシステムを含む情報セキュリティ)、プロダクトセキュリティ(当社製品およびサービスの情報セキュリティ)、およびデータガバナンスの3つのドメインを定義しました。
リスク管理については、CISOとその専任組織が、社外におけるサイバー攻撃の動向や業界におけるベストプラクティスなどさまざまな外的要因を考慮し、グループ全体を対象としたリスク評価を実施しています。その評価結果を踏まえた上で、当社のビジネス戦略や顧客からの要求、法規制の動向などを考慮して中期戦略を策定します。そして各機能・部⾨が策定した戦略に基づいて、グループ全体で統⼀された基準に基づくバランスの取れたリスク低減を行っています。
情報セキュリティインシデント、特にサイバー攻撃が発生した際には、グループ全体や関連組織と連携し、迅速かつ適切な経営判断を行うための危機管理体制の整備が重要です。当社では、情報セキュリティインシデントに対する危機管理体制としてGlobal SIRT、PSIRT、Regional SIRTを設置し、定期的に訓練を実施しています。
情報セキュリティの侵害または違反の件数※1
近年、ランサムウェアとサプライチェーン攻撃が急増し、特に医療業界全体が主要な標的の一つとなっています。一般ITシステム、オペレーショナルテクノロジーシステムおよび製品の脆弱性が悪用され、システム停止や患者の安全に関わるリスクが高まっています。以下の表は、オリンパスグループにおける過去3年間のグローバルのインシデント件数を示しています。当社は、上記のガバナンスモデルに基づき、インシデントの発生防止に努めるとともに、発生時には迅速に対応し、影響の最小化を図っています。また、発生原因を分析し、得られた知見をリスク評価や再発防止策の強化に活用しています。さらに継続的な訓練を通じて、より強固なセキュリティ体制の構築に取り組んでいます。
| 項⽬ | 2023年3⽉期 | 2024年3⽉期 | 2025年3⽉期 |
|---|---|---|---|
| 情報セキュリティの侵害またはその他のサイバーセキュリティインシデントの総数 | 4 | 2 | 2 |
関連情報
- 情報・プロダクト・サイバーセキュリティ⽅針
- 個人情報の取り扱いについて
- 経営情報:事業等のリスク
- 参考情報:サイバー攻撃を想定したシミュレーション訓練への参加(医療機器サイバーセキュリティ協議会、2021年5月19日)
※1 表の数値はGRI 418-1 (2016) の開示基準に基づき記載しています。