SHIONOGIグループ情報セキュリティポリシー

1. 目的

 SHIONOGIグループ(以下、SHIONOGI)は、ヘルスケアプロバイダーとして新たな価値を社会に提供するうえで、四大経営資源(ヒト・モノ・カネ・情報)の一つである情報は重要な資産(以下、情報資産)であると考えます。

 また、SHIONOGIは、情報資産のライフサイクルを通じて機密性・完全性・可用性を確保し、ステークホルダーの信頼を維持するために、情報セキュリティの強化は最優先事項のひとつであると位置付けます。

 SHIONOGIにおける情報セキュリティの基本的な方針を定め、情報資産の保護と情報セキュリティリスクへの適切な対応を行うために、本ポリシーを定めます。

2. 適用範囲

 本ポリシーは、SHIONOGIで働くすべての役員・従業員(以下、従業員等)に適用されます。また、業務委託先などSHIONOGIの情報資産を取り扱うパートナーにも、本ポリシーに準拠することを求めます。

 本ポリシーにおいて情報資産とは、SHIONOGIおよびステークホルダーに価値を生み出しうる情報を指し、媒体を問わず、機密情報、個人情報、データ、文書類、などを含みます。また、ステークホルダーからお預かりして保管責任を負う情報も含みます。

3. 責任

 情報セキュリティの確保は従業員等が負っている責任であり、各自が適切な行動をとります。

 経営者は、情報セキュリティの重要性を理解し、適切なリソース配分と指導を行います。

4. 情報セキュリティ目標

 SHIONOGIの情報セキュリティ活動は、以下を目標とします。

  • 医薬品の創製・安定供給およびヘルスケアサービスとしての価値提供に重要な情報資産を保護し、漏えいや改ざん・毀損を防止し、適切に活用する。
  • 個人が自身の生活や健康に影響する可能性のある必要な情報を知る権利に配慮すると共に、公共医療の改善などの社会課題の共同的な解決を目指すため、ステークホルダーとの情報共有を行う。その際は、ELSI(Ethical, Legal and Social Issues:倫理的・法的・社会的課題)、規制への対応や機密保全を含め、必要な措置を講じる。
  • 法令・規制および契約義務を遵守する。
  • サイバー攻撃および情報セキュリティインシデントのリスクを低減する。
  • インシデント発生時は迅速に対応し、業務の継続性を維持する。

5. 情報セキュリティ管理体制の構築・規程整備

 SHIONOGIは、本ポリシーに従い情報セキュリティを実施するためのガバナンス体制を構築します。また、本ポリシーに基づいた社内規程を整備し、その実施、監視、評価を行い、情報セキュリティの維持および改善を行います。

6. 情報セキュリティリスク管理・対策の実施

 SHIONOGIは、情報セキュリティリスクを評価し、組織的・人的・物理的・技術的対策を適切に行います。

7. 情報セキュリティ教育の実施

 SHIONOGIは、従業員等が情報セキュリティの重要性を理解し、適切な行動をとれるよう、導入および継続教育を実施します。

8. 委託先管理の実施

 SHIONOGIは、業務委託先などSHIONOGIの情報資産を取り扱うパートナーに、適切な情報セキュリティレベルの維持を要請し、評価、監督します。

9. 監査と改善

 SHIONOGIは、定期的に情報セキュリティ監査を実施し、環境変化に応じた情報セキュリティ対策の継続的改善を行います。

10. インシデント対応

 SHIONOGIは、情報セキュリティインシデントに迅速かつ適切に対応し、事業継続を確保するための体制を整備します。インシデント発生時には、原因を調査し、再発防止策を講じます。

 従業員等は、情報セキュリティインシデントを発見した場合、社内規程に従い速やかに報告します。

11. コンプライアンス

 SHIONOGIは、関連する法令や規制、倫理規範を遵守します。

 従業員等は、本ポリシーおよび社内規程を遵守します。違反が確認された場合は、社内規程に基づき必要な措置を講じます。

 

2026年4月1日制定