
ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
2022-05-30
日本を牽引する企業・組織のセキュリティ責任者などをお招きし、サイバーセキュリティとプライバシーをめぐる最新の取り組みを伺った「Digital Trust Forum 2022」。本シリーズでは各セッションをダイジェストで紹介します。
AGCグループは、1907年に創立。祖業である板ガラス生産から始まり、時代の変化に合わせて、世の中で必要とされる素材・ソリューションを提供してきた。現在では30を超える国と地域において、ガラス、電子、化学、セラミックスなど幅広い分野で事業を展開する。同社は過去5年間でセキュリティ体制を大きく変革しました。サイバー脅威の拡大やウィズコロナ時代への対応など、企業を取り巻く環境は変化しています。そのようなビジネス環境に適したIT基盤を構築し、堅牢なセキュリティを実現するためには、どのような取り組みが必要なのでしょうか。AGCグループのITセキュリティ領域をリードする伊藤肇氏をお招きし、セキュリティの変革とその成功要因について伺いました。(本文敬称略)
登壇者
AGC株式会社
情報システム部長
伊藤 肇 氏
PwCコンサルティング合同会社
ディレクター
上村 益永
(左から)上村、伊藤 氏
上村:
最初に、AGCが過去5年間でセキュリティ体制をどのように変革してきたのかを教えてください。5年前の2017年当時、AGCではセキュリティをどのように捉えていたのでしょうか。
伊藤:
当時、社内には「情報セキュリティ」という考えが十分に浸透していなかったと記憶しています。その背景には「情報セキュリティ=情報漏洩を防止する」というイメージがあり、BtoB(企業間取引)を柱とした製造業であるAGCではセキュリティリスクは高くないと捉えられていたからです。しかし、その後の5年間で私たちはセキュリティ管理体制を大幅に見直したのですが、その背景にはさまざまな変化がありました。
上村:
具体的にはどのような変化があったのでしょうか。
伊藤:
大きく分けて外部要因と内部要因の2つの変化が挙げられます。外部要因は、これまでとは違うリスクの顕在化です。ランサムウェアに代表されるような、ビジネス活動そのものを停止させ、甚大な被害をもたらす脅威が台頭してきました。実際、同じ製造業でWannaCry(ワナクライ)の被害が報告されたこともあり、社内でサイバー脅威に対する危機感が醸成されました。
一方、内部要因としては経営戦略のアップデートです。私たちは2018年に「旭硝子株式会社」から「AGC株式会社」に社名を変更しました。その背景には経営戦略の意思として、既存事業を盤石にしつつ、新事業にもチャレンジしていくという「両利きの経営」を実現したいとの想いがあります。そのためには経営インフラであるIT基盤をアップデートし、柔軟かつ堅牢なIT基盤を構築しなければならないという使命感がありました。
AGC株式会社 情報システム部長 伊藤 肇 氏
PwCコンサルティング合同会社 ディレクター 上村 益永
上村:
伊藤さんはAGCのグローバルITリーダーであり、セキュリティ責任者も兼任しています。IT基盤のアップデートとセキュリティの強化は、どのようなプロセスで推進されたのですか。最初にユーザーのニーズに合わせてIT基盤をアップデートし、次にセキュリティの変革に着手されたのでしょうか。
伊藤:
その2つは同時並行で進めました。IT基盤の構築にセキュリティを組み込むことは必須であり、両者を切り離して考えることはできません。ですからIT基盤のアップデートをしながら、セキュリティも強化していった格好です。
上村:
なるほど。とはいえ、セキュリティを強化すれば、IT基盤に機能的な制約が生じることもあり、両者をバランスよく進めるには難しい判断が多かったと拝察します。この課題はどのように克服されたのでしょうか。
伊藤:
キーワードは「グローバル化」です。AGCがグローバル素材企業へと変革を遂げる中で、それまで各国・地域に分散していたIT基盤をグローバル全体での活動を意識したものにする必要がありました。そのためには、迅速に情報伝達できるよう、情報セキュリティレベルもグローバル全体で高めていかなければいけないと強く考えるようになったのです。
上村:
グローバル化は日本企業にとって重要なテーマであり、難しい課題です。AGCを支援させていただく中で私が感じたのは、グローバルでの意思疎通が非常にスムーズであることです。この成功要因は何であると分析されますか。
伊藤:
さまざまな試行錯誤を重ねたことが、結果的にグローバルでの意識統一につながったと考えています。基本的なことですが、大切なのは密にコミュニケーションをすること。IT基盤とセキュリティ対策の両面でグローバル化を推進する際には、グローバルのメンバーにその趣旨を理解してもらい、メンバー全員が目標を共有できるよう務めました。
もちろん、最初は時間がかかりましたが、経営が目指している方向性やAGCグループ全体として避けなければいけないリスクなどを議題に上げ、さまざまなレベルや各国のメンバーとディスカッションを重ねました。そして最終的には、「セキュリティレベルを保ちながら、ビジネスに貢献できるIT基盤を構築していく」という方向性と目標を、グローバルで共有できたと考えています。
上村:
「同じ目標に向かって歩を進める」という社内の雰囲気を醸成するために工夫されたことはありますか。個人的な印象ですが、支援させていただく中で「AGCの皆さんは難題があっても正面からぶつかる姿勢を持っている」ということを感じました。
伊藤:
ありがとうございます。それはAGCの創業者である岩崎俊弥の「易きになじまず難きにつく」という言葉が社員に受け継がれ、共通認識になっているからだと自負しています。難題であってもストレートに議論を進め、1歩ずつ苦境を乗り越えていくという精神が行動の源泉にあると考えています。
上村:
先ほど、過去5年間で社内外の環境が大きく変化したとのご指摘がありました。外部環境の変化はAGCの取り組みにどのような影響を与えましたか。
伊藤:
この5年間で情報セキュリティの枠組みは拡大しています。たとえば、GDPR(EU一般データ保護規則)に代表されるように、欧州では個人情報の取り扱いの厳格化が進み、その他の各国でもデータ保護に関する法律が次々と制定されています。また、これまでITシステムが標的だったサイバー攻撃は、OT(運用制御技術)システムも標的とするようになりました。
そのような状況下で私たちは、「情報セキュリティのためのセキュリティ」ではなく「ビジネスを守るためのセキュリティ」という視点を持ち、プロアクティブに情報発信をしていくように心がけています。
例えば、工場の設備管理部門とIT部門とで緊密な協力体制をとり、サイバー攻撃を受けるとどのような被害が発生するのかを想定した上で、攻撃される可能性がある脆弱性の解消などに取り組んでいます。また、個人情報を取り扱う部門に対しては、IT部門の立場から「どのように個人情報を扱えばよいか」を説明し、適切な管理体制を構築するために一緒に取り組んでいます。
上村:
経営層に対してはどのような働きかけをされているのでしょうか。
伊藤:
経営層にサイバー脅威を理解してもらうには、IT視点だけではなくビジネス視点でリスクを説明することが大切です。「○○の脅威はビジネスにどのようなリスクを与えるか」という視点で丁寧に説明し、経営層やビジネス部門から理解を得るようにしました。
上村:
これまでAGCのセキュリティ対策は、必要なことを網羅的に実施するという「ベースラインのアプローチ」を採用していました。しかし現在はその方針を変更し、最新の脅威に対応する「リスクベースのアプローチ」を採用していますよね。方針を転換された理由を教えてください。
伊藤:
セキュリティのあり方が大きく変わる中で、「情報セキュリティレベルを上げる」「ビジネスリスクを最低限にする」というアプローチをくり返してきました。その際に実感したのは、新たなセキュリティ管理手法の必要性です。私自身、最初はテクニカルベースのセキュリティに主眼を置いていた部分がありました。しかし、さまざまなセキュリティ強化活動を進めるうえで大事なのは、「ビジネスに対して脅威がどのような影響を及ぼすか」を想定し、その深刻度に合わせて対策の優先順位を決めることだと考えるようになりました。
そうした優先順位は、IT部門だけでは決定できません。情報セキュリティ担当者や複数のビジネス部門と議論を重ねながら継続的に軌道修正し、アジャイル的なアプローチでセキュリティ対策のPDCAを回していくことが重要です。実際、このアプローチはある程度軌道に乗せることができたと自負しています。
上村:
AGCでは必要に応じて常にPDCAを回し、対策に取り組んでいますよね。このアプローチはアジリティの高い理想的なセキュリティ管理の姿です。こうした「To be像」は、最初から目指していたのでしょうか。
伊藤:
最初から明確な理想像を描いていたわけではなく、結果的に実現できたものです。新たな脅威が登場する現状では、1年に1回のPDCAサイクルでは対策が後手に回ってしまいます。サイバー脅威の現状を踏まえると、「想定外を想定する」必要があります。防御を破られて侵入された場合を想定し、「万が一の被害を最小限にする施策」も講じる必要があります。被害の可能性をゼロと考えることはできません。大事なのは、有事が発生した時に「どれだけ早く回復できるか」というレジリエンス(復元力)であり、その能力を社内で確実に持てるようにすることです。
上村:
次に、セキュリティ人材の確保・育成について教えてください。新たなセキュリティ管理のあり方を実践される中で、人材の確保・育成にはどのように取り組んでいらっしゃいますか。
伊藤:
今、セキュリティ人材の数は圧倒的に不足しており、外部からの人材採用は容易ではありません。私たちはセキュリティに関連している社内のメンバーに対して、我々とのコラボレーションを通してセキュリティ分野の知識やリテラシーを高めてもらうように積極的に働きかけています。また、先述したグローバル化の一環として、AGCグループ各社にいる外国籍のメンバーにセキュリティチームのメンバーとしてご活躍いただく施策も実行しています。
上村:
グループ会社の外国籍のメンバーと本社の日本人メンバーが同じチームの一員として協働するのは、難易度が高い部分もあるのではないでしょうか。
伊藤:
文化や考え方の違いは当然ありますが、“そこそこうまくいっている”という状況です。しっかりとコミュニケーションを取って相互理解を深めていけば、乗り越えられない課題はありません。特にセキュリティの場合、「サイバー攻撃から自社を守る」という目指すゴールは共通ですから、(セキュリティ担当者が)日本人であることにこだわる必要はありません。
上村:
最後に、デジタルトランスフォーメーション(DX)推進に伴うセキュリティリスクについて、どのような対策を講じているのか教えてください。
伊藤:
DX推進は私たちの企業価値を高めるうえで必須です。当然、DXの推進と同時並行でセキュリティの確保にも取り組まなければなりません。その際に重要なのが他部門との連携です。DXを推進するには、IT部門とビジネス部門などがワンチームとなり、DXから得られる価値を共有しつつ、セキュリティリスクを考えなければなりません。部門によって視点や立場は異なりますが、AGCがやるべきベストな方法を探り、着実に歩を進めていきたいと考えています。
上村:
グローバル化の次なる挑戦は、部門間でのオープンかつ建設的なコラボレーションなのですね。本日はありがとうございました。
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。