Loading

블로그

Recent ActivityRecent Activity

医薬品製造受託機関(CMO)をセキュアに保つ

医薬品会社は、長い間、複雑なサプライチェーンに頼って製品を市場に送り出してきました。近年は、医療品有効成分(API)と完成薬剤製法(FDF)の両方で、医薬品受託製造機関(CMO)を採用する医薬品会社が増えています。

医薬品会社は、契約製造メーカを利用して、コアコンピテンシーに集中し、設備投資を抑え、製造の機動性を改善できます。しかし、今日のようにサイバーセキュリティの脅威が高まった世界では、安全防御に適切に対応していないと、製造の外注によって却ってリスクが高まってしまいます。

実際に医薬品会社はセキュリティ侵害により大きな影響を被る可能性があり、製剤処方、品質管理、知的財産、生産性などが損なわれかねないことをよく認識しています。契約製造メーカのシステムを医薬品会社のメインネットワークに統合すると、サイバーリスクは高まります。

医薬品会社にとって重大な問題は、製造を外注するとき、どのように柔軟なサプライチェーンを維持してサイバーセキュリティリスクを軽減するかです。

セキュアなサプライチェーンは自社から始まり、すべてのパートナを取り込む

もちろん、どの医薬品会社にとっても、サイバーセキュリティが万全なサプライチェーンへの第一歩は、自社のインフラおよび基幹製造施設から始まります。社内的に、サイバーセキュリティに対してリスクベースのアプローチを取り、多層防御(DiD)戦略に基づいてグローバルなベストプラクティスに従って優先順位を付け、テクノロジ、ポリシー、手順を適用する必要があります。

医薬品会社は、リスクアセスメントにより、必要なセキュリティレベルをどのような受託プロセスにも確立することもできます。

次のハードルは、受託製造を依頼しようと検討中のCMOが、サイバーセキュリティに対して医薬品会社と同じ姿勢、同じレベルの厳密さで臨んでいるかどうかを判断することです。ここでも、CMOのセキュリティに対する姿勢を評価して、この目標を達成するために、サイバーセキュリティのリスクアセスメントが重要な役割を果たします。理想的には、契約製造メーカの現場で評価を行なってから契約を結ぶ必要があります。

評価では、CMOの全体的なセキュリティに対する姿勢を見定める他にも、医薬品会社の事業資産をリスクにさらすようなギャップも特定します。次に医薬品会社は、どのようなソリューションによってそのようなリスクを軽減し、自社のシステムからCMOのシステムを適切に分離しながらも、重要なプロセスや情報を確認できるかを判断します。適切なソリューションには、ネットワークセグメンテーション、特別に構築したファイアウォール、セキュアなリモートアクセス、セキュリティゾーン、その他のテクノロジが含まれます。

セキュリティ規格によるコンプライアンスの維持

最終的に医薬品会社と契約製造メーカは、従うべきセキュリティ規格について合意する必要があります。しかし、みなさんご存じのように、規準について合意することとコンプライアンスを維持することは別物である場合があります。

このため、サプライチェーンのサイバーセキュリティに対するリスクベースのアプローチをCMOシステムの設計、配備、モニタにまで拡張し、製造資産と情報インフラの所有権にもそれを拡張する必要があります。所有権に関して言えば、関連リスクの度合いに応じて、医薬品会社には次の3つの選択肢があります。

  • CMOが製造資産と情報インフラを所有する。このアプローチでは医薬品会社の設備投資が最小になります。ただし、セキュリティに対する適切な姿勢を維持しながら見落としを最小限にするための専門知識がCMOにあることが前提となります。
  • CMOが製造資産を所有し、医薬品会社が情報インフラを所有する。CMOの既存の製造資産を利用するため、医薬品会社の設備投資は最小化されます。医薬品会社が情報インフラを所有して管理しますが、一般的にこれはセグメント化したネットワークで産業用データセンターを介して配備します。
  • 医薬品会社が製造資産と情報インフラを所有する。医薬品会社の資本コストはかさみますが、セキュリティのレベルは確実に高まります。CMOが提供するものは、生産スペースと機器を操作する人材のみです。

サービスとしてのインフラストラクチャ(IaaS)の利点

医薬品会社は、CMOのアプリケーションが多岐にわたるため、情報インフラの所有権をにぎることが賢明な選択であると判断するかもしれません。しかし、複数の契約製造施設にわたってセキュアなインフラを配備してモニタすることは困難であることが判明する場合があります。

何よりもまず、CMO管理を担当する部署では、自由に使えるリソースが限られています。社内ITに頼っても、社内ITは基幹の製造システムと企業システムに専念しているため、これは一般的に選択肢にはなりません。社内には、数十から数百におよぶ契約製造施設の管理を引き受けるだけの余力がないのです。

インフラの配備とそのモニタをサードパーティに外注することは、効率的でコスト効率の高い選択肢となる可能性があります。サービスとしてのインフラストラクチャ(IaaS)のプロバイダは、統一されたアーキテクチャ、および共通のサービスによる標準的で検証済みのシステムを世界中の複数の契約製造施設で実現できるためです。

一般的な契約には、ネットワークやインフラの停止からサイバーセキュリティ違反におよぶ問題と異常に関する四半期ごとのレポート、およびそれへの対応時間を規定するサービス品質保証契約が含まれます。

製造の外注を合理化してサイバーセキュリティリスクを軽減できるIaaSとその他の産業用ネットワークサービスについては、こちらをご覧ください。


Thomas House
Thomas House
Business Development Lead-Life Sciences, Network and Security Services, Rockwell Automation
Thomas House
Subscribe

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Recommended For You