BCP（事業継続計画）

メディパルグループは、平時はもとより、震災などの大規模災害やパンデミック発生時においても、商品の安定供給に支障を来さないことを目的に、さまざまなリスクを想定し、事業特性に応じた実効性のあるBCP（事業継続計画）を策定しています。社会インフラを担う企業として、その責任を果たしていきます。

メディパルグループでは、自然災害発生時の被害想定や事前対策、業務・組織体制などを具体的に示した「災害対策マニュアル（自然災害編）」に基づき、震度6弱以上の地震が発生した場合、事務局長からの災害の発生または切迫の報告を受けて、当社グループ災害対策本部長が災害対策本部の設置の有無を判断します。本部は、被災地域におけるグループ各社の従業員とその家族の安否、建屋・システム、ライフライン、商品供給体制などの状況を速やかに確認し、事業継続に向けた各種対応を主導します。
また、感染症の発生・流行時には、「災害対策マニュアル（感染症編）」に基づいて災害対策本部事務局を立ち上げ、WHO（世界保健機関）や日本政府などからの感染症情報を収集します。国内での感染発生後に拡大の可能性がある場合には、同様に事務局長からの報告を受け、災害対策本部長が本部の設置の有無を判断します。
お得意様や従業員の安全を確保しつつ、医薬品などの安定供給を継続するため、政府および各地域の動向に関する情報を一元的に集約し、さまざまな事態を想定した対策を迅速かつ柔軟に進めていきます。

（株）メディセオにおける災害対策本部設置例（東日本大震災）

大規模災害などにより、医療用医薬品等卸売事業の1つのセンターが供給できない状況でも、他のセンターから配送を補完するバックアップ体制を整えています。

阪神・淡路大震災、東日本大震災および熊本地震での被災経験などから、災害時にも止まらない物流をめざして、さまざまな取り組みを重ねています。自然災害とは切り離せないこの国だからこそ、あらゆるシナリオに対し、万全の準備をしています。

震災による商品の落下や損壊、物流設備の故障を防ぐため、物流センターをはじめとする主要拠点において、建屋の耐震・免震化を進めています。

本社・物流センターなど主要な拠点に非常用自家発電装置を設置しています。

震災時のガソリン不足の経験を踏まえ、主要な物流センターに自家給油設備を設置しています。

公共交通機関や交通網が寸断された場合に備え、物流センターなどに緊急配送用バイクを配備し、車両の通行が困難な場所に薬を届ける重要な配送手段となっています。
さらに、大規模災害時の通行規制に対し、災害対策基本法に基づき緊急車両の通行許可標章を受ける当該車両の事前届出を行っています。

大規模な災害の発生に備え、各自治体と「災害時医薬品供給協定」を締結し、各自治体の地域防災計画において重要な役割を担っています。
また自衛隊と「大規模災害時における医薬品等の供給に関する協定」を締結しています。

緊急通信時の衛星通信用携帯電話や災害用備品をグループ各社の主要施設に常備しています。

メディパルグループが有するシステムおよび各拠点のネットワークは基本的に二重化しており、一方が壊れても業務を継続することができます。また、主要システムの機器は災害に強い構造（免震）で、万全の電源・空調設備、高度なセキュリティ対策を施したデータセンターに設置しており、このセンターにおいて二重化を図っています。

非常時に従業員やその家族の安否を確認できるシステムを導入し、定期的に安否確認訓練を実施しています。

安否確認システム（画面イメージ）

納品箱に貼付されたラベルを無線端末でスキャンするだけで検品でき、納品時における人と人との接触時間を短縮できます。

メディパルグループでは、顧客情報をはじめ、さまざまな情報を保有しており、これらを適切に管理・保全することは、当社グループに課せられた重要な社会的責任であると認識しています。近年、ランサムウェアやサプライチェーン攻撃といったサイバーセキュリティ上の脅威が増大していることを受け、当社ではシステムなどのハード面の対策に加え、情報を取り扱う従業員に対する教育など、ソフト面の強化にも注力しています。こうしたハードとソフトの両面から対策を講じることで、情報管理の徹底に努めています。

メディパルグループでは、情報管理の基準として共通の「情報セキュリティ・ポリシー」を策定しています。情報管理を徹底するため、情報管理最高責任者（代表取締役社長）を頂点とする情報管理委員会を設置し、サイバーセキュリティ対応の強化をはじめとする施策について検討を進めています。
あわせて、各社・各部署に管理者および担当者を配置し、社内全体での情報管理体制を整備しています。

メディパルグループでは、情報管理において最も重要なのは、情報を取り扱う従業員一人一人の意識であると考えています。この考えに基づき、情報管理に対する注意喚起とセキュリティ意識の向上を目的として、年2回のeラーニングによる情報セキュリティ研修を実施しています。加えて、階層別研修においては、新入社員や管理職を対象に、社内ルールに基づいた情報の適切な取り扱いを促す研修を行っています。さらに、情報セキュリティに関する情報収集の強化やリスク分析にも取り組み、必要に応じて標的型メールなどへの注意喚起を実施することで、各職場における情報セキュリティ意識の徹底を図っています。

組織内部における意図しない操作や過失、不正行為による情報漏洩・データ改ざんを防止するため、アクセス権限の最小化を徹底し、PCログイン時には2要素認証を導入することで、不正利用やなりすましの防止に努めています。
PCについては、操作履歴を記録して不審な操作を追跡できるようにするとともに、不審サイトへのアクセス遮断や、不正デバイスの使用検知と自動排除を実施しています。モバイル端末に対しては、生体認証と保存データの暗号化により、情報の安全性を確保しています。さらに、メール誤送信対策としては、送信内容の自動検査に加え、特定条件下では上長承認を必要とする設定を行い、誤送信の防止を徹底しています。

サイバー攻撃、不正アクセス、マルウェア感染などの外部脅威から情報資産を保護するため、ファイアウォールの設置や接続元PCを限定した安全なリモートアクセスにより不正侵入を防御しています。
また、全てのPCおよびサーバーにはマルウェア対策としてEDR^※1を導入し、攻撃初期段階における不審なシステム挙動をリアルタイムで監視・検知することで、迅速な対応を可能とし、加えて、不審メールのフィルタリング体制も強化しています。
さらに、外部SOC^※2と連携し、24時間体制での監視を実施し、攻撃の兆候をいち早く把握するとともに、インシデント発生時には影響範囲の特定や、PC隔離などの初動対応を迅速に行い、被害の最小化と早期復旧に努めています。

※1 PCやサーバー（エンドポイント）の状況、通信内容などを監視し、異常や不審な挙動があれば管理者に通知するとともに、ブロックを行うセキュリティ技術

※2 企業や組織のネットワークやシステムを24時間、365日体制で監視し、ログ収集と分析、インシデントが発生した際の対応策の提案・実行支援を行う専門チーム