執行役員 CIO 須佐 秀雄様(左)
インフォメーションテクノロジー部
運用サービスグループ 茂木 謙一郎様(右)
ヤンセンファーマ様は、世界最大級のトータル・ヘルスケア・カンパニー、ジョンソン・エンド・ジョンソン(J&J)グループの製薬会社として、いまだ満たされていない医療ニーズに迅速に応え、最先端の医薬品を一刻も早く患者さんの手元に届けることができるよう取り組んでおられます。
ヤンセンファーマ様は、世界57ケ国200社以上に及ぶJ&Jグループに共通適用されるポリシーIAPP(Information Asset Protection Policy)に準拠するUSBメモリとして、「Sdcontainer 2.0」「Sdcontainer 2.0 管理者ツール」を導入されました。 その導入に至った背景、選定条件、運用状況、導入後の感想、またヤンセンファーマ様で行われているITセキュリティ対策を、執行役員 CIO 須佐秀雄様、インフォメーションテクノロジー部 運用サービスグループ 茂木謙一郎様にお聞きしました。
──ITセキュリティ対策として、セキュリティUSBメモリの導入に至った背景をお教えください。
【須佐氏】
第一には、個人情報保護です。
個人情報保護法に対して、IAPP(*1)に準拠しつつ社内でどのように対策できるかを考え、ハードディスクに対する対策から行ってきましたが、ハードディスクに関してはセキュリティ保護できる体制が確立できましたので、次はUSBメモリということで検討を始めました。
当社ではUSBメモリは全社員が使用しますが、特にMR(*2)は、必ずPCを持ち歩き、ドクターとの情報交換の際にはUSBメモリを使用します。
そのような場合に、MRは担当するドクターの個人情報も取り扱っていますので、これが万一漏えいしてしまうと大問題になります。
このため、個人情報保護という面において、USBメモリのセキュリティ対策は必須でした。
第二に、機密情報保護です。
当社では「IAPPに基づき、会社の情報資産を守る」という文化のため、その一環としてセキュアなUSBメモリを導入した、という面もあります。
製薬企業では、新薬開発の過程での治験データ、マーケティングデータ等さまざまな機密情報を取り扱っています。
これらの機密情報は、USBメモリを使ってドクターや関係者と情報交換等を行う状況がありますので、その際に情報が外部に漏れないように対策を行う必要もありました。
(*1)IAPP:Information Asset Protection Policyの頭文字をとったもので、1990年より適用されているJ&Jグループの情報資産保護方針。
(*2)MR:メディカル・リプレゼンタティブ(Medical Representative)の頭文字をとったもので、医薬品メーカーの医薬情報担当者のこと。
──セキュリティUSBメモリの選定は、どのような条件で行いましたか。
【茂木氏】
J&Jグループでは、1990年9月20日に公開され、まもなく18年目を迎えるIAPPというポリシーがあります。
このポリシーは、当社の全社員に対し毎年Eラーニングで教育を行い、社員が必然的にポリシーを覚える体制をとる等周知徹底しています。
今回のUSBメモリの選定にあたっても、このIAPPに準拠したものでなければなりませんでした。
基準としては、暗号化のレベルももちろんですが、パスワードの最低文字数、パスワードに使用する文字種、パスワード変更回数などがあります。
また、IAPP自体が毎年更新されますので、その更新に従って柔軟に変更ができるUSBメモリでなければなりません。
これらの基準をもとに、いくつかの製品を選定し比較させていただきました。
──Eラーニングでポリシー教育を行われているとは、すばらしいですね。
具体的にどのようにポリシー教育を行われているのでしょうか?
【須佐氏】
Eラーニングでのポリシー教育は、全社員が必ず受けなければならないもので、社員のその受講記録は内部監査の対象にもなっています。
また、Eラーニングでテストを行うのですが、その合格点は9割以上となっており、合格するまで再試験を行います。
Eラーニングの試験は合格するまで受けなければならないという認識が全社に徹底されているので、自然と不合格となった社員にはその上司やテスト実施担当部署から合格するまで試験を受けるようプレッシャーがかかります。
このため、社員は必然的にポリシーを覚えることになります。
一方で、Eラーニング教育を行うためには、会社として社員が学びやすい環境を整えてあげる必要がありますので、各MRの自宅にADSLを引いたり、外出時には公衆無線LANを使えるよう配慮するなど、ブロードバンド環境を整えてどこでもEラーニングができるようにしています。
大切なことは、会社として社員一人一人がポリシーを身につけられるような環境設定をすることです。
この考え方は、「我々の第二の責任は、全社員に対するものである。」という当社グループ全体の「Our Credo ― 我が信条」に基づくものです。
──なるほど、このような環境があるので御社の社員のポリシー(IAPP)に対するリテラシーは向上するわけですね。すばらしいITセキュリティ対策ですね。
最終的に「エスディコンテナ」をご導入いただいたわけですが、「エスディコンテナ」のどのような点が評価のポイントになったのでしょうか?
【茂木氏】
複数製品を比較検証しましたが、他製品のセキュアUSBメモリは、パスワードの最低文字数が当社のポリシーに合う文字数未満であり、それが変更できなかったということがありました。また、ドライバをインストールしなければうまく動作しなかったり、パスワード認証に管理者権限が必要だったりと、使用時の利便性に欠けていることもありました。
その点、「エスディコンテナ」は、パスワードの最低文字数、使用文字種、変更回数など全て細かくカスタマイズ設定が可能ということで、ポリシーに従った運用ができる非常に理想的なUSBメモリでしたので導入を決定しました。
また、当社はグローバルカンパニーですので、米国本社に長期出張や出向する者もいます。
そのような場合、出張者、出向者には本社側でPCが支給されますので当然英語OSですが、日本から持って行ったUSBメモリが本社で使えないのでは意味がありません。
したがって、「エスディコンテナ」が英語OS対応していることも導入決定の一因でした。
──「エスディコンテナ」をご導入後の感想をユーザ側、管理者側でそれぞれお聞かせください。
【茂木氏】
まずユーザ側の感想についてですが、一部の営業の者からは、「筐体が大きいのでポートが並んでいるHUBやPCの場合には隣のポートが使用できなくなる」と言われることがたまにあります。ただし、セキュリティの観点からは、ちょうどいい大きさだと思っています。筐体が小さすぎると逆に紛失する可能性がありますし、この大きさであれば意識して使用できます。
管理者としては、導入、管理しやすいように管理シリアル番号の付番、各拠点ごとへの個別発送が大変便利でした。
具体的には、御社からの納品の段階で、社員番号とシリアル番号を紐付け、さらに、受領証・マニュアル・返却指令書を各社員ごとに工場でセット梱包していただきました。
そして、それを弊社の各拠点と本社の部署ごとの計100拠点に発送していただいたので、手間がかからずに管理のための準備と導入ができました。
──今後「エスディコンテナ」に関して何か要望はございますか?
【茂木氏】
多くのOSで使えるようにしていただきたいですね。
現在、Macを使用しているドクターとのデータ交換や、UNIX系のOSを使用している開発関係の工場でのデータ移動では、例外的に「エスディコンテナ」以外のものを使用せざるを得ない場合があります。そういった場合には、「エスディコンテナ」とデータ移動専用のUSBメモリの2つを持ち、データ移動専用のUSBメモリはデータ移動のみに使用し、使用後は速やかにUSBメモリ内からデータを消去し、その後は「エスディコンテナ」を使用するという運用にしています。
もし「エスディコンテナ」がMacやUNIX系OSに対応できれば、そのような例外的な運用をなくすことができ、よりセキュアな体制を構築できます。
──最後に、ITセキュリティ対策製品全般に対して何かご要望があれば、お聞かせください。
今後の製品開発の参考にさせていただきます。
【茂木氏】
やはり記録媒体については全般的に要望があります。
SDカード等はどんどん小型化・大容量化してきています。このため、例えばmicroSDは携帯に入れられると全く分かりませんし、アダプターさえあればいつでもPCにつなげます。
そういった意味では、SDカード等のカードタイプのものを暗号化できると安心して使えます。
現在は、小さい記録メディアに関しては、社員に対する啓蒙活動と運用で使用を限定し、「こういった場合にしか使ってはいけません」という教育をしていくしかありません。
御社には、記録メディア全般をカバーしていただきたいですね。