
ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
2021-03-08
サプライチェーンをセキュリティインシデントから守るため、自動車業界をはじめ、サプライヤーに対するセキュリティ強化の要請が、これまでになく強まっています。個別調査からセキュリティ認証規格の取得、独自のセキュリティ要求事項への準拠……。サプライヤーはこうした要求事項に対して適切かつ効果的に対応するために、どのような取り組みを行っているのでしょうか。日本精工(以下、NSK)で執行役 ICT本部長を務める継本 浩之氏にお話を伺いました。(本文敬称略)
*本対談はPwC’s Digital Trust Forum 2021におけるセッションの内容を再編集したものです。
対談者
継本 浩之 氏
日本精工株式会社 執行役 ICT本部長
外村 慶
PwCコンサルティング合同会社 パートナー
(左から)外村 慶、継本 浩之 氏
日本精工株式会社 執行役 ICT本部長 継本 浩之 氏
外村:
最初にNSKの事業内容と、継本さんが部長を務められているICT本部の役割を教えてください。
継本:
NSKは主に軸受や直動製品、自動車部品、精密機器を構成する製品などを製造しています。現在は30カ国に拠点を設けており、売上の約7割は、自動車産業向け製品です。ICT本部はバックオフィス業務を中心に、NSKの社内ITをグローバルに統括する役割を担っています。「事業と経営とを効率よく支える安全で安心なIT環境を整えること」が私たちの使命です。2019年に中期3カ年経営計画を発表したのですが、ICT本部は「デジタルワークプレイスへの対応」「さらなるデータ活用を意識したグローバルなシステム展開」「ガバナンス&セキュリティの強化」を掲げました。現在はこの3つを柱に、セキュアなIT環境の構築に取り組んでいます。
外村:
中期3カ年経営計画の2年目である2020年、新型コロナウイルス感染症(COVID-19)が猛威を振るいました。多くの企業が働き方の変更を余儀なくされる中、NSKならびにICT部門ではどのような課題に直面しましたか。
継本:
以前からNSKでは「コンパクトでスリムなITインフラのシステム運用」を心掛け、バックオフィス業務ではシンクライアントを導入していました。ほとんどの処理をサーバーに集中させ、各従業員の端末に情報を残さない仕組みにしていたため、リモートワークへの移行はスムーズだったと自負しています。
今後の課題は、ネットワークインフラの強化です。リモートワーク導入では、VPN(Virtual Private Network)の増強やネットワーク渋滞の解消に取り組む必要がありました。今後、オンライン会議のようなネットワーク負荷の高いシステムを多用するようになれば、「コンパクトでスリムなITインフラ構成」では限界があります。クラウドサービスの活用などを含め、インフラの在り方を再考する必要があると考えています。COVID-19をきっかけに、中期3カ年経営計画の3本柱の実現に向けた動きがいわば「前倒し」され、次なる課題が見えたと言えますね。
外村:
自動車メーカーや精密機器メーカーは、セキュリティインシデントから自社のサプライチェーンを守るため、サプライヤーに対して独自のセキュリティ基準準拠や、セキュリティ認証規格の取得を要求しているという話をよく耳にします。NSKは自動車部品や精密機器部品を製造していますが、こうした要求にはどのように対応していますか。
継本:
自動車関連メーカー各社が自動運転車開発やコネクテッドサービスを本格化させる中、セキュリティに対する要請は強くなっていると感じています。こうした傾向は産業機械業界も同様であり、セキュリティに関する質問も年々増加しています。NSKの場合、情報セキュリティマネジメントシステム(ISMS:Information Security Management System)をベースに、顧客の要請内容と私たちが実施している対策をすり合わせ、そのギャップを確認することから対応を始めています。
NSKは2015年、ISMS構築・運用の強化を目的とした専門チームを設立しました。従来から実施しているITシステムのセキュリティ対策や物理的な防御施策だけでなく、全従業員にセキュリティを意識した仕事のやり方を定着させることが狙いでした。チーム設立直後、経営陣に対して運営方針を説明する機会があったのですが、経営トップからは「単にISMSに準拠するだけでなく、公的な認証も取得するように」との指示がありました。こうした経緯からNSKではJIS Q 27001(ISO/IEC 27001)認証取得に向けたルールを策定し、訓練や教育を通して社内のセキュリティ意識向上と定着を進めてきました。そうして迎えた2020年末、一部の部門で認証を取得することができました。これは、私たちが続けてきた地道な取り組みが結実したものだと捉えています。
外村:
素晴らしいですね。一方、さまざまなセキュリティ施策を実施すれば、セキュリティ担当者の管理工数は増加し、作業負担が増加してはいないのでしょうか。
継本:
確かに、規程整備をはじめ、認証取得やセキュリティ施策実施においてはセキュリティ担当者の負担は増えています。ただし、これは一時的なものだと思っています。ある程度体制を整備すれば、その後はマネジメントサイクルに合わせて定期的に規定を見直せばよいだけです。ですから、セキュリティ担当者の負荷は深刻な課題とは捉えていません。
直近の課題は脆弱性管理です。リモートワークが当たり前になり、サプライチェーンをたどった攻撃が実際に報告されている環境下、自社内の脆弱性だけでなく、社外や取引先の脆弱性も意識しなければなりません。コロナ禍で多くのビジネスパートナーがリモートワークを導入していますが、リモート環境が攻撃者のターゲットになってしまっているケースは少なくありません。実際、脆弱性管理の対象は、コロナ禍以前とは比較にならないほど拡大しています。人手で追い切れなくなってしまえば、どうしても綻びが生じてしまう。解決策としては、セキュリティインシデント情報や既知の脆弱性情報を効率的に収集し、素早くシステムに適用することです。現在はさまざまな技術を組み合わせて、自動化・省力化を狙った取り組みを始めています。とはいえ「言うは易く行うは難し」ですね。試行錯誤の毎日です。
PwCコンサルティング合同会社 パートナー 外村 慶
外村:
先ほどおっしゃられたとおり、NSKは世界30カ国に拠点を設けています。セキュリティのグローバルガバナンスを実現するためには、どのような体制を構築しているのでしょうか。
継本:
地域ごとに分割して体制を構築しています。そして、各地域のIT担当者とグローバル会議や社内SNSなどを活用して情報共有を促進し、同じ方を向くように調整を図っています。以前はオンサイトでの連携がメインでしたが、コロナ禍ではオンラインでこうしたコミュニケーションを継続できており、グローバル規模で連携できていると実感しています。
近年では、ITガバナンスやセキュリティのアセスメントを定期的に実施し、課題が発見された場合には即座に対応して次回のアセスメントで評価するサイクルを構築しています。この取り組みは始まったばかりですが、上手く機能すれば、ガバナンスとセキュリティはより強固になると思っています。
外村:
地域ごとに特色がある中、グローバル規模で一定水準のセキュリティを達成するために克服すべき一番のハードルは何でしょうか。
継本:
やはり「従業員のセキュリティ意識定着」ですね。それぞれの地域や組織には意識の差がありますし、文化の違いもあります。そうした差異を考慮しながら、実際のセキュリティインシデントを例に継続的な啓発活動や教育を実施し、段階的にセキュリティレベルを上げていくことが重要だと思います。
外村:
文化の違いを認識し、その差異をどのように克服するかは大きな課題ですね。
継本:
はい。今後はセキュリティ要請も国や地域によって異なることを念頭に、対策を講じる必要があると考えています。これまで私たちは、国際標準化機構(ISO)で示されたISMS活動を軸として取り組みを進めてきました。しかし、今後は各国独自の規制も念頭に置いて、セキュリティ強化を図る必要があると感じています。特に欧米と中国とで規制に対する考え方が異なってくるのであれば、実務面でより複雑な対応が求められるのではないかと危惧しています。
最後に外村さんに伺いたいのですが、今後、グローバル規模でのセキュリティ要請はどのような方向に向かい、私たちはどのように対応するべきとお考えですか。
外村:
おっしゃるとおり、米国と欧州、そして中国では規制に対する考え方が異なります。米国は、国全体での規制を持っていません。自由競争をするべきという概念が根底にあるので、規制は最小限に留めることが望ましいという考え方です。州ごとに規制やガイドラインが異なりますから、今後は各州がどのような規制を設けるのか、その違いも個別に注視していく必要があります。
欧州の場合はEU内で一定のルールを制定し、規制によって人権や倫理、ブランドを守るという考え方です。今後はEU全体で「サイバーセキュリティ規制」が確立されるでしょう。
一方、中国は「国家の強力な支援で国家全体を発展させる」という思想に立脚し、規制をかけています。ですから今後は、外国製品への規制がさらに強化されるでしょう。
特に自社のビジネスと関わりの深い地域の動向を注視しながら、重要な変更が生じる際には逐一、対応を検討することが望ましいと考えています。
継本:
ありがとうございます。たいへん参考になりました。
外村:
こちらこそ、本日はありがとうございました。
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
NISTが公表した「NIST IR 8011 v1r1 (Automation Support for Security Control Assessments)」ドラフトを解説するとともに、ISMAPにおける外部評価の一部自動化と、リアルタイム評価・継続的モニタリングを組み合わせたハイブリッド評価の可能性について考察します。
営業秘密は企業の競争優位性を支える重要な知的資産です。本シリーズでは、営業秘密を取り巻く法制度や保護体制の構築プロセスだけでなく、営業秘密を活かした戦略的な利活用方法についても解説します。企業が持つ情報をどのように保護し、ビジネスの成長や競争力強化につなげるかを考察し、実践的なアプローチを提供します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。