ライフサイエンス 第11回:ライフサイエンス関連企業における不正・コンプライアンスリスクと最近の動向

EY新日本有限責任監査法人 ライフサイエンスセクター
米国公認会計士/公認不正検査士 井上 祐輝(Forensics)

1. 医薬品業界の不正・コンプライアンスリスク

医薬品業は「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」(以下、「薬機法」)をはじめとした法令のほか、薬機法に付随する省令やガイドライン、公正競争規約や日本製薬工業協会(以下、「製薬協」)が発行する各種自主基準など、多くの規則類を遵守することが求められています。

上記の法令などを遵守する社内体制がたとえ整備されていても、ひとたび不正が発生した、あるいはその兆候が見られた場合、各部門で個々に対応するだけでは潜んでいる真の課題が見えにくく、対応が不十分になる可能性があります。また一般的に、不正が開始され発覚するまでの期間が長いほど、財務上の損失額は大きくなる傾向があります。そのため、真の課題への対応が遅れるほど、結果的に社会的な信用や信頼を大きく失いかねない点に留意する必要があります。従って、まず自社の不正・コンプライアンスリスクを整理したうえで、不正発生を未然に防止するために全社をあげて取り組み、ビジネスの継続に向けたリスク低減を図っていくことが肝要です。

以上のことから本稿では、医薬品業に見られる主な不正・コンプライアンスリスクを整理し、以下について解説をします。

  • プロモーション活動の贈収賄リスクと、ガイドラインやコード違反リスク
  • 第三者取引先管理責任と、それに係る米国の視点
  • 品質不正問題の要因と、Integrityの視点
  • データ利活用の拡大に伴う情報セキュリティリスク
     

2. 不適切なプロモーション活動

医薬品に係るプロモーションは、薬機法やそれぞれの公正競争規約などに則したものが求められます。特に医療用医薬品は過去の臨床研究データの不正利用の反省から、厚生労働省が販売情報提供活動監視事業を実施しており、MR自身の理解を伴った行動及び企業の適切な対応がより必要となります。一方で、企業が自社社員へ制限を必要以上に課すことで活動が委縮し、かえって医療従事者(以下、「HCP」)に対する的確な対応が困難となっている現状が指摘されています。これを受けて今後、厚生労働省と製薬協で販売情報提供活動ガイドラインのQ&Aが策定される方向であるものの、現時点におけるプロモーション活動における主な不正・コンプライアンスリスクを2点紹介します。

(1) 贈収賄リスク

講演謝金、原稿執筆料や監修料、コンサルティングなどの業務委託費、PMS(Post Marketing Surveillance)謝金は、HCPが果たした役務への対価として企業側がHCPへ支払うことのできるものの一例です。年々、HCPに金銭を支払える(業者側が金銭的負担のできる)ケースは限定的になっています。ところが、本来は純粋に学術的活動として運用されることが想定されるこれらの活動を抜け道にしてHCPに金銭を提供し、売上や処方の増加を期待するMRや企業の事案が散見されます。

最近では医療機器メーカーがPMSを利用して、HCPの業務実態がないにも関わらずHCPへ謝礼を提供していた事案が発生しました。具体的には、製品の安全性や操作性に関するPMS上のチェック項目を同社社員が代行しており、HCPは署名しただけでした。同社内では「みなしPMS」と呼ばれ、社長も承認していたとされています。関わったHCPは収賄容疑、医療機器メーカーは贈賄容疑で起訴されています。また、大学病院を舞台に、奨学寄附金をめぐる一連のやりとりが贈収賄として起訴された事案も記憶に新しいところです。


(2) ガイドライン・コード違反リスク

前述のとおり、プロモーション活動は様々な制約のなかで展開されます。そのためMRなどは制約上自ら伝達することのできない情報を、HCPに代弁してもらう意図を持つことがあります。具体的には、HCPに講演を依頼し、彼らが使用するスライドに、日本では承認されていない情報(オフラベル)を含めてもらうこと、またはスライドに含めずとも、HCPに直接その情報について語ってもらうこともあります。これらはグローバルで展開する医薬品などにおいて、国内外で適応症や用法用量などに差異が見られる場合に特に見受けられます。また、まだ公開されていない臨床試験の中身に触れることで、当該製品への期待を高め、処方の獲得に繋げようとすることも考えられます。他に、MR自身が製品資材(紙、パワーポイントなど)に加筆や強調などの加工をする例もあります。いずれの行為も、場合によっては医療用医薬品の販売情報提供活動に関するガイドラインや製薬協のコード・オブ・プラクティスなどに違反します。

3. 不十分な第三者取引先管理

既存のビジネス効率化のために外部企業を活用することに加え、既存ビジネスへの付加価値あるいは企業の新たな価値創出のために、協業や連携を通じた新規事業展開を図るなど、第三者取引先との関わりは増加しています。しかしながら、GMP(医薬品の製造管理及び品質管理の基準)違反により医薬品製造業者が業務停止に追い込まれたり、医薬品卸売業者が独占禁止法に違反したりするなど、第三者取引先の不祥事が相次いでいます。このことは、自社のビジネス継続、とりわけ医薬品のライフサイクルを通じた一連のバリューチェーンに影響を及ぼしかねない状況にあります。

ビジネスリスクと法令や規則などの要求を整理し、自社のビジネスの性質や、第三者取引先の規模・種類などに応じた第三者取引先管理を通じ、リスク低減を図っていく必要があります。
 

ビジネスリスクと法令や規則


(1) GQP(製造販売品質管理の基準)上の第三者取引先管理責任

実際に医薬品の製造を行う企業は、自社の風土や品質管理態勢の維持・改善活動が常に必要です。一方で、近年問われている視点は製造販売業の在り方です。製造販売業者の許可要件として、GQP第2条第1項には、市場への出荷の管理や製造業者等に対する適正な製造管理及び品質管理の確保のために、製造販売業者の管理監督責任が明記されています。高品質で安全な製品を当事者に届ける医薬品業全体の責務からして、製造販売業者もGQPを根拠に当該責任を問われる可能性があります。


(2) 米国当局見解・基準の最近の流れ

米国司法省(DOJ)は、企業犯罪の取り締まりやそれに関与した個人に対する責任追及を強化しており、ガイドラインや基準などの策定・改訂が相次いでいます。社会的な要請も背景に、企業のコンプライアンス態勢や、その実効性に対する期待は急速に高まっています。例えば2023年3月に発出された「Evaluation of Corporate Compliance Programs(U.S. Department of Justice Criminal Division)」では、第三者取引先管理や継続的モニタリングの重要性が指摘されています。

【企業のコンプライアンス・プログラムに関する評価基準】
 

【企業のコンプライアンス・プログラムに関する評価基準】

出典:www.justice.gov/media/1160391/dl?inline(2023年10月31日アクセス)をもとにEY作成

米当局は米国内企業のみならず、海外腐敗行為防止法(FCPA)やカルテル規制の域外適用を積極的に行っています。FCPAは米国子会社や米国の銀行を通じた資金のやりとりなどがあれば適用対象となり、カルテル規制も米国内の市場に影響すると見なされれば適用の対象となり得ます。つまり、グローバルに活動する日本企業をはじめ、あらゆる企業は米国法の域外適用の対象になる可能性が常に高い状態にあるため、国内法令などだけでなく国外の情勢も踏まえた対応を取ることが最適なリスク低減に繋がります。


(3) ロイヤルティ支払いに係る不正・誤謬

プロモーション活動におけるコ・プロモーション先やライセンスアウトした企業からのロイヤルティ支払いに係る不正が発見される場合があります。自社製品を展開するに当たり、コ・プロモーションあるいは委託の形態はごく一般的に活用されています。当事者間の契約内容は様々ですが、売上に対して一定の係数を乗じた金額をライセンサーに支払う場合や、プロモーション活動の数値目標(HCPへの宣伝活動回数など)をもとにペナルティーを定め、違反時にはライセンシーに支払う場合などがあります。ロイヤルティの支払いは契約書に取り決めのある事項に基づき主に自己申告によるため、その性質上、不正や誤謬を生みやすい取引と言え、意図せず本来あるはずの収益を確保できない、もしくは、コストを余計に要するといったおそれがあります。

4. 品質不正

先に触れたとおり、GMP違反による製造業者の行政処分が相次いでいます。不正の背景には、急速な後発医薬品の使用拡大による弊害が指摘されています。政府の後押しもあり、後発医薬品の製造業者は事業拡大の機会を得たものの、現場が規制上の要求水準に必ずしも対応しきれず、過大な負担が生じていました。品質確保と安定供給は、医薬品業界の大きな課題となっており、官民あげて対策が講じられつつあります。


(1) 企業風土・ガバナンスの課題

品質確保のため、2000年代に入り米国食品医薬品局(FDA)によってQuality Culture(以下、QC)という概念が提唱されました。また、医薬品査察協定及び医薬品査察共同スキーム(PIC/S)でもQCは重視されています。いずれも、QCの醸成は経営者の責務である、あるいは関与が求められている点で一貫しています。これらを受け、改正GMP省令(2021年)では上級経営陣の責任ある関与が求められることとなりました。しかしながら、近年相次いでいる医薬品業における品質不正は、企業風土やガバナンスに問題があったことが調査報告書で認められています。医薬品業に限らず品質不正は、企業や部署で慣習的・集団的に行われている場合が多く、通常のモニタリングなどでは発見が容易ではありません。


(2) 不正のトライアングルと第4の視点

不正を実行する要因として、よく知られている概念である「不正のトライアングル」(機会、動機、正当化)がその説明に用いられます。

不正のトライアングルと第4の視点

品質マネジメントシステムが形骸化しているような場合は「機会」を生み出していると考えられます。その他に、品質不正を意図的に実行する心理的な要因として「動機」「正当化」が挙げられますが、それ自体を想像することは難くありません。ここで注目したい要素は「無知」です。これは「不正のトライアングル」の要素では本来ありません。しかしながら、無知により意図せず不正・不適切行為に及んでしまうリスクがあります。例えば、規制や社内手順に対する無理解や理解不足、あるいはそれらが適切に周知されていなかった、正規の規定以外の文書を正と思いこんでいるなどがあります。ひとたび間違えれば製品を使用する当事者の健康被害など取り返しのつかない事態を引き起こしかねず、違反行為であることを知らなかったでは済まされない事態も想定されます。


(3) Integrityの確保と再発防止の実効性

調査報告書で指摘される企業風土やガバナンスの問題は、誠実性(Integrity)の問題とも言い換えられます。経営者の姿勢に対する従業員の認識や、組織が有する慣行・価値基準、内部通報制度の信頼性、人事考課や懲罰に対する従業員の意識、教育研修の実態、統制活動の運用状況など、これら一つひとつが企業風土やガバナンス、引いてはIntegrityを作り上げていくことになります。

厚生労働省は、近年の薬機法違反事例を以下の2点に類型化しています。

  • 違法状態にあることを役員が認識しながら、その改善を怠り、漫然と違法行為を継続する類型
  • 適切な業務運営体制や管理・監督体制が構築されていないことにより、違法行為を防止、発見又は改善できない類型

(引用:薬生発0129第5号 令和3年1月29日「製造販売業者及び製造業者の法令遵守に関するガイドライン」について)

現場の当事者はもとより、経営者が組織的課題やリスク、従業員一人ひとりのIntegrityに対する意識などを常に把握し、QCをいかに自ら醸成していけるかが注目されます。また、不正を経験した企業は講じられた再発防止策がその後有効に機能しているかどうか、適時に確認し必要である場合には更なる改善を図っていくことも重要です。

5. 情報セキュリティリスク

医薬品業においても、サイバーインシデントは重大なリスクとして認識されています。開発品の機密情報に加え、RWD(リアルワールドデータ)の質量ともに、その利活用が深まるにつれて、扱われる機微情報や個人データの管理態勢は非常に高度なものが要求されます。特に医薬品業界は他の業界と比較し、エコシステムが複雑化しており、縦横に張り巡らされたつながりを管理するに足る高度なセキュリティ対策が必要となります。このことは第三者取引先管理においても重要な視点となります。

特に新型コロナウイルス感染症(COVID-19)の世界的な感染拡大以降、製薬企業ではサイバーインシデントが多数発生しています。
 

【製薬企業におけるインシデント(国内)概要】

公表時期

インシデント概要

2022年9月

社内サーバーが不正アクセスを受け、個人情報が流出

2023年5月

海外法人に所属する従業員のアカウントが不正アクセスを受け、グループクラウドプラットフォームに記録されていた社内情報が流出

2023年6月

複数サーバーがランサムウェアに感染

2023年8月

クラウドストレージ製品の脆弱性に起因した不正アクセスにより、個人情報を含むデータが流出

製薬企業各社の公表内容をもとにEY作成

(1) データプライバシー

日本の個人情報保護法をはじめとした各国・地域のプライバシー保護関連法の規制強化により、個人データの漏洩による監督当局への報告やデータ主体への速やかな通知が求められる事例が年々増加しています。前述のとおり、医薬品業界はエコシステムが複雑化していることから、不正アクセスやマルウェアの感染などにより大量のデータが漏洩した恐れがある場合、法律等の定める期限内に自組織のリソースだけで漏洩した個人データの特定作業を行うことは困難な状況があります。


(2) 情報セキュリティ

サイバー攻撃による機密情報の漏洩は競争力の低下をもたらします。サイバー犯罪市場の活発化に伴い、「窃取情報の売買」や「脆弱なシステムの情報交換」などがダークウェブで行われるようになり、企業が気づきにくい場所でサイバー攻撃が進行していることがあります。グローバルに展開している企業は世界中に工場や拠点が存在する一方で、セキュリティ対策が統一されていない場合があります。医薬品業者は価値ある情報資産を持つため、セキュリティが手薄な工場や拠点は攻撃者に狙われやすくなります。また、サイバー攻撃だけでなく、インサイダーや退職者などによる企業機密の漏洩についても、情報資産の保護の観点から留意が必要です。





企業会計ナビ

会計・監査や経営にまつわる最新情報、解説記事などを発信しています。


EY Japan Assurance Hub

時代とともに進化する財務・経理に携わり、財務情報のみならず、非財務情報も統合し、企業の持続的成長のかじ取りに貢献するバリュークリエーターの皆さまにお届けする情報ページ