リスク管理Navi
リスク管理Naviは、リスクマネジメント(Risk Management)に関しての情報サイトです。
JCRファーマ 様
お客様 |
内部統制推進部 専門部長 川崎 俊一 様 法務部 係長 守屋 明 様 |
---|---|
ニュートン・コンサルティング |
エグゼクティブコンサルタント 星野 靖 チーフコンサルタント 大津 卓人 コンサルタント 近藤 駿輔 コンサルタント 千葉 悠椰 |
JCRファーマ様は、バイオ技術を用いて希少疾病を対象とした医薬品を開発・製造販売されています。国内の製薬会社の中では、早期から細胞構築や培養技術を利用したバイオ医薬品の開発に取り組んできた実績などもあり、1975年の創業以来、業界をリードし続けています。
この度、「EU一般データ保護規則(GDPR)対応サービス」を導入いただいた経緯と成果について、内部統制推進部の川崎 俊一 様、法務部の守屋 明 様にお話をうかがいました。
川崎:当社は、成長ホルモン分泌不全やライソゾーム病など、希少疾病に特化した薬品を中心に開発・製造販売を行う製薬会社です。また、再生医療等製品の事業にも取り組んでいます。例として、急性移植片対宿主病(骨髄移植後に生じる合併症のひとつ)を抑えるための薬剤は間葉系幹細胞を培養して製造しており、日本で初めて再生医療等製品として承認されたものです。そのほか、バイオシミラー(特許の切れた先行バイオ医薬品と同等の品質、安全性をもつ医薬品)の製造販売も行っています。
このようにニッチな領域に取り組んでいる当社は、アメリカ、ブラジル、オランダ、ルクセンブルクに子会社を設立し、グローバル展開を積極的に進めています。
守屋:2022年、ヨーロッパの開発拠点として、新たにオランダに子会社「JCR Europe B.V.」を立ち上げました。EU在住の患者様の治験データおよびヨーロッパ拠点の従業員情報を取り扱うようになったことを機に、本格的にGDPR準拠対応を開始しました。
製薬業界では、治験の承認を申請する際には、データのインテグリティが厳密に求められるなど、厳格な情報管理が徹底されていますので、情報の管理体制などはGDPRに準拠できていると考えていました。
ただ、ヨーロッパでの事業が広がるにつれて、治験データのみならず、管理する従業員情報も増えていきました。また、IT部門や人事部門など、情報を取り扱う部門も全社に広がったことで、こうしたバックオフィス部門の意識改革および体制整備も必要になってきたわけです。そこで、GDPR準拠の準備として、まずはどこに何の情報があるのかというデータマッピングを実施しました。
その次に「整理したデータをこれからどのように全社的に管理していくか」ということを考える段階になり、協力してもらえるコンサルティング会社を探すことにしました。
川崎:私は社内のERMも担当しており、リスクマネジメントのコンサルティングサービスについて導入を検討していた時期があったのですが、その頃からニュートンさんのことは知っていて、コンサルタントの方とのコミュニケーションの中で「豊富な知見があるのはもちろんのこと、プロジェクトの進行マネジメントもしっかりしている会社だな」という印象を受けていました。そういったやりとりの中でニュートンさんがGDPRに関する支援サービスも対応していることを知り、今回のコンサルティングをお願いすることにしました。
ニュートンさんが示してくれた工数や見積もりの内容は非常にクリアだったので、当社でどのような作業が必要になってくるのかが分かりやすく、安心感がありましたね。
川崎:当社は、すでに終えていたデータマッピングの結果をふまえて、GDPRへの準拠を強化するにあたって対応が必要な項目を洗い出しました。例えば、個人データの保管期間の設定や、ヨーロッパ拠点の従業員の個人情報取得に関する同意取得などが挙げられます。今回のプロジェクトでは、GDPR準拠やプライバシー保護に関するコンサルティング経験を多数もつニュートンさんと共に、対応のためにどのような作業が必要なのかを検討。その上で、GDPR運用やインシデント対応に関するマニュアル案の作成や、社内規程改訂原案、公式サイトのクッキー情報の取り扱いが適切かどうかの確認、そのほか体制の見直しなど、具体的なタスクを進めていきました。
半年間のプロジェクトでは、ニュートンさんとの定例会を週に一度のペースで行い、進捗確認やディスカッション、簡易演習を実施しました。結果として、GDPR対応の大半部分を完了することができました。
守屋:個人データの保持期間を検討する作業には苦労しました。GDPR上では、保持期間はデータ処理の目的に応じて定める必要があると記載されていますが、具体的な期間は定められていないので、どこまで対応したらよいか、落としどころを考えるのが難しいのです。日本企業では「また使うかもしれないから」と、念のために情報を長期間保持する傾向がありますよね。しかし、保持期間が長いほど漏えいのリスクが高まることから、合理的な理由がなければ目的完了後、速やかに削除することがGDPR当局より求められています。実際に情報漏洩がなくともGDPR当局より制裁金を科された事例もあるのです。こうした事情をふまえ、ニュートンさんからも「保持期間は最大でも3年までが限界なのでは」と目安をアドバイスいただきましたが、その感覚を社員たちに理解してもらうのがこれからの課題です。
川崎:成果は何と言っても、GDPR運用マニュアル案やインシデント対応マニュアル案、そして新たな社内規程原案など、かねてより必要だと感じていたドキュメント類が完成したことです。内容も現実に即したもので使いやすいですね。トレーニング資料も作っていただいたので、今後の全社訓練やグローバル研修にも役立ちそうです。
また、プロジェクトを通して「“リスクベース”の考え方で問題ない」ということを学びました。全てのリスクをなくそうとすると時間とお金が膨大にかかりますし、どれが一番大切なのかも分からなくなってしまいます。今回のプロジェクトでは、ニュートンの大津さんが私たちと一緒にリスクの優先度をつけて洗い出してくださったので、重要なことが明確になり、なおかつプロジェクトもスムーズに進みました。
川崎:多くのタスクがあったのにもかかわらず、スケジュール通りにプロジェクトを終えることができて、とても満足しています。オンライン定例会議が毎週必ずあったのは少し大変でしたが(笑)、話し合う場がコンスタントにあったからこそ、次の会議に向けてニュートンさんも当社もタスクに着々と取り組むことができ、プロジェクトが前進していったのだと思います。
また、プロジェクトを開始するにあたっては、当社のチーフコンプライアンスオフィサーがニュートンさんからトップインタビューを受けたことで、経営層が抱いている課題をニュートンさんに理解していただけただけでなく、経営層におけるGDPRに対する意識も一層高まりました。
守屋:GDPRなどに関する社内の研修・教育は、これまでにも実施してきましたが、今回のプロジェクトでできあがったドキュメントを活用して、さらに個人データを適切に処理するカルチャーを育てていきたいと思っています。また、海外子会社には直接訪問して、調査や評価、フィードバック、トレーニングも実施することも検討中です。
順調に事業が成長すれば、今後は治験にとどまらず、海外で製品を販売する予定です。そうなれば、医師や患者様、そして患者様のご家族の情報をさらに多く取り扱うことになるでしょう。その場合にも、今回のプロジェクトで完成した規程類などをふまえ、情報を適切に処理していけるかと思います。
また、GDPR対象外の拠点(米国、ブラジルなど)においても、それぞれの国・地域における法規制の動向を注視し、各子会社とのコミュニケーションをふまえ個人データの管理を強化していきます。
※インタビュー内容および所属先は取材当時のものです。
名称 | JCRファーマ株式会社 |
---|---|
所在地 | 兵庫県芦屋市春日町3番19号 |
設立 | 1975年9月 |
事業内容 | 医療用医薬品、再生医療等製品の製造・販売 |
利用サービス | EU一般データ保護規則(GDPR)対応サービス |
チーフコンサルタント
大津 卓人
世界中で厳格化する個人データ保護
その最先端をいくGDPRへの対応
デジタル化が進む現代において、世界中で個人データの取り扱いも厳しくなってきています。その中でもGDPRは適用範囲の広さや罰則の厳しさから、世界で最も厳格な個人情報保護法と言われています。日本の個人情報保護法も徐々にGDPRと同様の水準が求められてきています。つまり、GDPRは個人情報保護法の最先端となっているのです。
一方で、GDPRへの対応はどこまで行えば準拠することができるのか判断が難しくなっています。せっかく対応を進めても無理が生じて、社内に浸透しない結果になってしまっては意味がありません。そのため今回の支援においては、GDPRをただ進めるのではなく、GDPRへの準拠とお客様社内での実効性とのバランスに焦点を当てました。また、規程類の作成においてもただ作るのではなく、お客様の現状に合わせて改善案を提示し、現在の運用に合わせた整備を心掛けました。
JCRファーマ様では、医薬品を通じて希少疾患をはじめ多くの皆さんの健康を支えてくださっています。今回の活動がJCRファーマ様のコンプライアンス意識の向上につながり、お客様を通じて「社会の役に立つ」ことができますと幸いです。