製薬企業における内部不正による機密情報漏洩リスクと対策を支援する Microsoft コンプライアンスソリューション
Executive Summary
1. リモートワークやハイブリッドワークが増加し、内部不正が起きやすい環境となっていることに懸念が高まっています。
2. 製薬業界は世界中に生産拠点と市場があるため、特許で保護されていないドラッグデザインの盗用は容易になっており、これは製薬会社に大きな損失をもたらします。
3. 内部不正による情報漏えい対策について、企業のルール、人/教育、ツールのサイクルを実施することが重要です。IT サービスで実現可能な情報漏洩対策には、予防、防止、発見の 3 つのポイントがあり、マイクロソフトのコンプライアンスソリューションではこれらの対策を実現できます。
1. 内部不正による情報漏洩リスクの動向
COVID-19 のパンデミックは、世界中のワークライフを劇的に変化させました。リモートで働く従業員の割合が飛躍的に増加し、従業員がいつどこで働き、どのように会社のネットワークにアクセスするかを根本的に変化させました。マイクロソフトの Work Trend Index 2022 では、ハイブリッドワークが 38% に増加し、53% の人が今後 1 年間にハイブリッドへの移行を検討する可能性があるとしています[1]。この 10 年間で、個人がオフィスや遠隔地を越えてコラボレーションすることがより容易になりました。一方で、リモートワークやハイブリッドワークの増加により、内部不正が起きやすい環境となっていること対する懸念が高まっています。IPA (独立行政法人 情報処理推進機構) のプレス発表「情報セキュリティ 10 大脅威 2023」では 2022 年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、「内部不正による情報漏えい」(4 位)、「不注意による情報漏えい等の被害」(9 位)が 2023 年の脅威候補と報告しています[2]。また、経済産業省の秘密情報保護ハンドブックでは、企業の秘密情報は退職者によるものが非常に多いという調査結果も発表されています[3]。このような調査結果から、グローバル規模、且つ業界横断で内部不正リスク対策が求められています。
2. 製薬会社における内部不正による情報漏洩リスク
一般的には一つの新薬の開発には数百億円から数千億円という莫大な研究開発費が必要と言われています。米国医師会が発行する「JAMA」誌に掲載された論文によれば、2008 年~2019 年にアメリカで承認された新薬一剤当たりの研究開発費の平均は 1,400 億円でした[4]。金額面だけでなく、新薬の開発には 10 年以上の長い年月がかかるうえ、2016~2020 年度のデータによると新薬開発の成功率は新薬発売の成功確率は 21,963 分の 1 と極め低いです[5]。このような状況下で、新薬候補、中でもまだ特許で保護されていないもののドラッグデザインを盗み出せば、その価値は莫大です。非倫理的な競合企業にとっては、知的財産の盗用は開発リスクや費用を回避し、新薬上市による利益を得るための近道となります。生産過程が複雑で高度な技術を要する非製薬業界では、盗用した知的財産を開発しようという企業は限られますが、一方で製薬業界は世界中に生産拠点と市場があることとハイブリッドワークを推進している企業も多く存在することから、盗用した知的財産の開発を進めるのは至極簡単なことと言えます[6]。このような状況から、製薬会社でも内部リスクとして機密性の高い情報は内部のユーザであっても信頼せずに対策を図るゼロトラスの観点が必要であり、社員もその認識の下での行動が求められています。
3. 情報漏洩が発生しにくい組織作りの実現に向けてのポイント
前述しました通り、内部不正による情報漏えい対策は製薬企業にとって重要な経営課題と言っても過言ではないでしょう。内部不正を発生しにくくする組織を作るためには、IPA でガイドラインを公開しており、以下図にまとめました[7]。 ご覧いただけますように「企業のルール」、「人/教育」、「ツール」のサイクルを実施することが内部不正の発生しにくい組織作りに必要です。
情報保護の対策全体像は以下となります。黄色でハイライト箇所を IT サービスでの対応が可能な領域となります。
上図から IT サービスで実現可能な情報漏洩対策をまとめると、 3 つのポイント”予防”、”防止”、”発見”があります。IT サービスでは 3 つのポイントを多層での効率的な対策ができると考えられます。それでは、マイクロソフトのコンプライアンスソリューションではどのようにこれら対策を実現可能か次の章でご説明いたします。
4. 内部不正リスク対策を強固とする Microsoft Purview
Microsoft の提供する企業向けサービスとして、Microsoft 365 E5 Compliance を提供しおり、内部リスクと規制対策を強化します。Microsoft 365 E5 Compliance はコンプライアンス管理やリスク管理において効率化を促してくれるメリットを持ち、保護体制を強化したい企業には最適なソリューションです。Microsoft 365 E5 Compliance では Microsoft Purview というソリューションを提供し内部リスクと規制対応の機能を提供しています。上述した情報漏洩対策の為の 3 つのポイント、”予防”、”防止”、”発見”に関して、Microsoft Purview でどのように支援可能かご紹介させていただきます。
予防コントロールは Information Protection 機能を活用します。機密情報の検出/分類と保護 (暗号化) を提供し、情報に対して許可された操作を実施できる人物は誰であるかを決めるサービスです。機密情報の種類はマイナンバーなど日本固有のものを含む 250 種類以上を設定でき且つ企業様固有の機密情報の種類も定義することができます。また、秘密度ラベルを設定することでアクセス権の管理 (暗号化) をファイル単位出来きます。
続いて発見コントロールは Insider Risk Management (IRM) 機能を活用します。組織内の不審なアクティビティを検出、調査、および操作できるようにすることで、内部リスクを最小限に抑えるのに役立つコンプライアンスソリューションです。 必要に応じて、組織内で識別および検出するリスクの種類を定義することで「機密データの流出」を含めた広範な内部リスクを特定し、調査および対処することに役立ちます。
最後に防止コントロールは Data Loss Prevention (DLP) 機能を活用します。あらかじめ設定されたポリシーに基づき、アクティビティ中の機密情報を検出し、次のアクションを決定することにより、制御と保護の自動化を実現することで機密情報の外部への流出の検知・制御することができます。様々な SaaS アプリやファイルサーバ、デバイス上でも動作します。
上記以外にも、Microsoft 365 E5 Complianceでは組織のリスクを管理し、機密データの保護とガバナンスを行い、規制要件に対応する為の様々なソリューションを取り揃えております。
5. Microsoft コンプライアンスソリューションを活用した事例と見込める経済効果
最後に、MS コンプライアンスソリューションを活用し情報セキュリティ強化を実現したお客様と Forrester 社調査による Microsoft Purview 導入の経済効果に関する調査結果をご紹介させていただきます。
NTT コミュニケーションズ株式会社様では近年発生するインシデントの傾向からサイバー攻撃だけではなく内部不正に対する対策も重要性が増していることから、情報資産の保護や監視についても取り組みを開始しています。リモートワークの環境下でも内部に侵入してしまった攻撃者や内部リスクをいち早く特定できるように、Microsoft 365 E5 Compliance を活用して社内の情報セキュリティの内部リスクを透明化しました。結果、社員に余計な負担をかけることなく、安心して重要情報を取り扱うことができる OA 環境を整えることで、「働きやすさ」と「安心・安全」の両立を実現しています[8]。
Forrester 社のレポートによりますと、Microsoft Purview を導入した年商 3,400 億から 30 兆円規模のエネルギー・天然資源 3 社、サービス系・リテール 3 社、ヘルスケア 1 社の 7 社の意思決定者へのインタビューから得られた情報を元に経済効果を算出したところ、3 年間で約 2.8 億円の経済効果が見込める結果となりました (内訳:3 年間の経済的導入効果 8.7 億円 – 想定される 3 年間のコスト 5.9 億円)。[9]
以上から、マイクロソフトのコンプライアンスソリューションをご活用いただくことで、機微な情報を取り扱う製薬企業のコンプライアンス対策をご支援し、製薬企業の発展をご支援できると考えております。
より詳細な Microsoft E5 コンプライアンスソリューションの情報に関しまして、以下のオンデマンド動画がございます。マイクロソフトのコンプライアンスソリューションをより詳細に分かりやすくご紹介する内容となっておりますので、是非ご覧いただき、貴社の今後のコンプライアンス対策の一助となりましたら幸いです。
【マイクロソフト コンプライアンスソリューションのご紹介動画】
- Microsoft 365 E5 Complianceで実現する情報保護と内部不正対策
- 社内の個人情報の管理とデータ主体からの要求を迅速に処理する新しいソリューション Privacy Management (microsoft.com)
6. 関連製品
[1] Microsoft E5 Compliance, Microsoft 365 E5 Compliance | Microsoft Security
[2] Microsoft Purview, Microsoft Purview – データ保護のソリューション | Microsoft Security
7. 参考文献
[1] Work Trend Index Annual Report, Great Expectations: Making Hybrid Work Work (microsoft.com)
[2] IPA (独立行政法人 情報処理推進機構)「情報セキュリティ 10 大脅威 2023」, 情報セキュリティ 10 大脅威 2023:IPA 独立行政法人 情報処理推進機構
[3] 経済産業省 秘密情報の保護ハンドブック, 1706blueppt.pdf (meti.go.jp)
[4] 治験業界で働きたい看護師さんの応援サイト, 製薬企業における新薬開発の流れ:莫大な研究開発費と期間が必要です (cro-japan.com)
[5] 製薬協「てきすとぶっく 製薬産業 2020-2021」, 2022_2023.pdf (jpma.or.jp)
[6] 製薬業界におけるサイバーリスクとインサイダーリスク, 製薬業界におけるサイバーリスクとインサイダーリスク|インダストリー:ライフサイエンス・ヘルスケア/ライフサイエンス|デロイト トーマツ グループ|Deloitte
[7] IPA 組織における内部不正防止ガイドライン, 組織における内部不正防止ガイドライン:IPA 独立行政法人 情報処理推進機構
[8] Microsoft Customer Story, Microsoft Customer Story-インサイダーリスクも想定したセキュリティの実現へ。Microsoft 365 E5 Compliance を活用して成りすまし攻撃者と内部リスクへの備えを強固に
[9] 2021/6 A Forrester Total Economic Impact Study The Total Economic Impact of Microsoft 365 E5 Compliance, RWOblF (microsoft.com)