理念
フラットアイアンヘルス株式会社は、プライバシーを第一に考えた理念のもと事業を行っています。フラットアイアン株式会社は、Flatiron Health, Inc. (“フラットアイアンヘルス”)の一部であり、フラットアイアンヘルスのグローバルデータセキュリティプログラムに参加しています。
取締役、役員及び従業員を含む、情報資産を取り扱う全ての従業員は、本方針を遵守し、情報資産の機密性、完全性及び可用性を含む情報セキュリティを維持するための活動を実施する必要があります。
ポリシー
-
フラットアイアンヘルスには、機密データの安全で一貫した使用を保証するグローバルなデータセキュリティプログラムがあります。このプログラムには、現在のデータ活用事例やワークフローの文書化、データ活用をめぐる適切かつ十分なベストプラクティスやコントロールの開発、これらの遵守を確認するための社内作業などのプロセスが含まれます。これらの技術的な安全策に加えて、フラットアイアンヘルスは物理的(例:オフィスやサーバーの場所への制限された安全なアクセス)及び管理上(例:研修、災害復旧計画)の保護措置を講じています。また個人情報の保管及び閲覧は制限されており、モニタリングされています。
-
フラットアイアンヘルスのサイバーセキュリティプログラムには、アプリケーションセキュリティ、インフラストラクチャーセキュリティ、インシデント検出/対応が含まれています。アプリケーションセキュリティプロセスは、研究用アプリケーションの開発ライフサイクルに統合されています。フラットアイアンヘルスのセキュリティチームは、設計レビュー、脅威モデリング、コードレビュー、自動セキュリティスキャン、脆弱性トリアージを実施します。必要に応じて、フラットアイアンヘルスは、社内審査を補完するため、第三者を雇用してアプリケーションの侵入テストを実施します。
-
インフラストラクチャーセキュリティプロセスには、フラットアイアンヘルスのシステムとネットワークの自動セキュリティスキャン、及びインフラストラクチャに対する高リスクの変更のレビューが含まれます。フラットアイアンヘルスのチームには、個人情報を危険にさらすようなインフラの変更を検出するためのツールもあります。複数のシステムレベル及びネットワークレベルの制御(例:ファイアウォール、仮想プライベートネットワーク、分離)により、データの安全性を確保することができます。
-
フラットアイアンヘルスは、攻撃者の能力と攻撃対象領域を理解することで、環境全体で悪意のあるコンピュータ活動を検出します。直接観察した活動だけでなく、幅広い情報チャネルから攻撃者の能力に関する情報を調達します。アプリケーションとインフラの攻撃対象領域を定期的に分析します。また事後対応的な検出に加え、その情報に基づく予防的な調査やハンティング訓練を行うことによって補完しています。
-
インシデントへの対応は、標準化されたセキュリティインシデント対応プロセスに従って処理されます。このプロセスでは、役割と責任、並びに悪意のある活動が特定された場合の優先順位が示されています。フラットアイアンヘルスのシステムの機密性や完全性に影響を及ぼす可能性があると特定されたセキュリティインシデントは、調査、必要に応じた戦術的対策、包括的分析、及び可能な限り迅速かつ効果的なリスク緩和を確保する改善のため、フラットアイアンヘルス・セキュリティチームの経験豊富なメンバーによって、自動的に24時間x7日/週のオンコール責任者に上申され共有されます。
上記の方針に加えて、フラットアイアンヘルス株式会社は、当社の情報セキュリティ理念を継続的に向上し、具現化しつづけるため、定期的なリスク評価、セキュリティ管理の調整、従業員教育からなる継続的な情報セキュリティ管理システムを構築しています。
2023年3月20日制定
ジェネラルマネージャー ローレン ブラウン(Lauren Brown)
フラットアイアンヘルス株式会社
