診断用医薬品のサイバーセキュリティーに関する声明

原則の声明

 

A. ロシュ・ダイアグノスティックスは、効果的なサイバーセキュリティープログラムが、製品の設計、開発、生産、流通、配備、保守、廃棄など、製品のライフサイクル全体およびそれらに関連するデータに対処しなければならないことを認識しています。

B. これを受け、ロシュのサイバーセキュリティーのアプローチは5つの基本原則に基づいて成り立っています。

1. セキュリティーは当社の優先事項の一つ。ロシュ・ダイアグノスティックスは、セキュリティー原則を当社の製品に組み込むよう努めています。新製品の開発に際しては、当社の製品開発におけるデザインで、今後もセキュリティーを評価し続けます。その際、使用目的、ユーザー環境やその他の重要な要素が、必要なサイバーセキュリティーの種類やレベルに影響することを認識したリスクベースアプローチをとります。

2. ライフサイクルアプローチ。ロシュ・ダイアグノスティックスは、製品のライフサイクルを通してセキュリティーリスクを特定し、軽減するため、脆弱性、インシデント、その他のサイバーセキュリティーの脅威に関する情報を監視します。その際、当社製品の使用目的、安全性や有効性あるいは関連データの可能性や完全性に与えるあらゆる影響を軽減する方法で、当該製品に対するセキュリティー更新を適時行うよう努めています。

3. 責任の共有。ロシュは、サイバーセキュリティーがヘルスケアエコシステムに関わるすべてのメンバー間で共有する共通の責任であると認識しています。そのことを考慮して、当社は業界標準団体、顧客、機関、学者、セキュリティー研究者、ベンダー、規制当局、その他の利害関係者と密に連携し、最新の基準、傾向、リスク、技術などについての情報を入手いたします。

4. パートナーの管理。ロシュは、当社のパートナーおよびベンダーに対しても、当社と同じ基準を有しています。

5. 開かれたコミュニケーションおよび情報開示。当社は、セキュリティー研究者をはじめ、当社のあらゆる製品に関わる潜在的な脆弱性やインシデントを発見された方に、当社の「脆弱性およびインシデントへの対応に関する開示」の声明に記載されているように、当社まで連絡していただくことを奨励しています。必要な場合には、お客様や影響のある利害関係者に対して、当社製品の安全性やセキュリティーに影響を及ぼす可能性のある脆弱性やインシデントなどの情報を通知しています。