情報・プロダクト・サイバーセキュリティ⽅針

第1条 目的

オリンパスは、世界の人々の健康と安心、心の豊かさの実現のため、医療サービスに不可欠な製品とサービスの提供に全力を尽くします。
その実現のために、オリンパスは、製品・サービスのライフサイクルを通じたサイバーレジリエンシーと企業システムをはじめとする事業運営のサイバーレジリエンシーを強化します。
「情報・プロダクト・サイバーセキュリティ方針」(以下、「本方針」)は、オリンパス株式会社および連結子会社(以下、「オリンパス」という)が、これらを実行するための原則を明確にします。

第2条 適用範囲

本方針は、オリンパスの情報・プロダクト・サイバーセキュリティを対象とします。 本方針は、オリンパスのすべての製品、サービス、情報セキュリティに関連するすべてのインフォメーションアセット、およびオリンパスのシステムやデータへのアクセスを許可されたすべてのユーザー(従業員、請負業者、下請業者、その他の第三者を含むが、これらに限定されない)に適用されます。

第3条 用語の定義

用語 定義
1 サイバーレジリエンシー サイバー資源を有するシステムに対する悪条件、ストレス、攻撃、または侵害を予測し、それに耐え、回復し、適応する能力
2 インフォメーションアセット オリンパスにとって価値のあるシステム、プログラム、データ、その他の知識
例:プロセス、企業秘密、開発・製造に使用するデータ、顧客情報、個人情報など、オリンパスが事業活動において作成した、または事業活動に関わる第三者から受領した情報

第4条 経営の情報・プロダクト・サイバーセキュリティリスク認識とリーダーシップ

オリンパスは、情報・プロダクト・サイバーセキュリティリスクを、当社の事業、および当社の製品とサービスが関与している医療サービスに深刻な影響を与え得る重要なリスクの一つとして位置づけます。

第5条 情報・プロダクト・サイバーセキュリティリスクの管理体制

オリンパスは、企業戦略に基づき、当社グループ内における他機能のリスク管理体制等と整合された、情報・プロダクト・サイバーセキュリティリスク管理体制を構築します。
オリンパスは、業界のベストプラクティスに従い、情報・プロダクト・サイバーセキュリティのレベルを継続的に改善します。

第6条 情報・プロダクト・サイバーセキュリティマネジメント

オリンパスは、情報・プロダクト・サイバーセキュリティリスクアセスメントを実施し、特定されたセキュリティリスクの低減計画の立案・実施状況のモニタリング・計画・改善するための管理プロセスを整備し、実行します。
すべての従業員は、オリンパスグループのインフォメーションアセットを守るため、情報・プロダクト・サイバーセキュリティに関する知識を身につけ、適切に行動します。

第7条 サプライチェーンセキュリティ

オリンパスは、医療サービスが止まることがないよう、サプライチェーンにおける情報・プロダクト・サイバーセキュリティリスクを明確にし、サプライチェーンパートナーと協力してセキュリティリスクマネジメントを実行します。

第8条 インシデントに備えた体制と対応

オリンパスは、当社の製品とサービスにおける脆弱性を予防的に検知するための体制と管理プロセスを整備します。
オリンパスは、当社の製品とサービスに脆弱性が発見された場合の適時適切な是正策・緩和策の提供と情報開示を行う管理体制を整備します。
オリンパスは、インシデント発生に備えた緊急対応体制を整備します。
オリンパスは、迅速な業務復旧を行うための復旧計画および対応プロセスを策定し、演習によってその有効性の確認と見直しを行います。

第9条 医療業界とのコミュニケーション

オリンパスは、サイバー脅威に対する抵抗力を強化するために、お客様である医療機関やビジネスパートナー、また業界団体や官公庁と協調して、積極的な情報開示・共有および訓練を実施します。