Twist におけるデータ保護および情報セキュリティ

お客様とパートナー企業のデータを保護することは、Twist の重要な責任であり、最優先事項です。当社のお客様やパートナー企業からは、知的財産の基礎となりうる機密情報が託されています。Twist では、重要な顧客データを保護するために、不正アクセスやデータ侵害、サイバー脅威から機密情報を保護するための強固なセキュリティ対策を実施するとともに、暗号化、安全なストレージシステムの使用、厳格なアクセス管理を行っています。当社は、明確なデータ取扱方針を定め、セキュリティのベストプラクティスについて定期的に従業員を教育し、関連する国内外のデータ保護規制を遵守するにとどまらず、さらに先取りしています。新たな脆弱性に対処するためには、定期的なセキュリティ監査とシステムの更新が不可欠です。 

Twist の情報セキュリティプログラムは、品質、プライバシー、バイオセキュリティの各プログラムと同様、国際基準を元に構築されており、当該分野の複数の専門家によって監督され、厳格かつ継続的に精査されています。

Twist は、ISO 27001 認証（最新の 2022 年改訂版）を取得しています。認定された独立認証機関が毎年 Twist を監査し、Twist の情報セキュリティプログラムのすべての実施項目（人材、プロセス、技術）が、当該規格に適合またはそれを上回っていることを確認しています。Twist の取締役会は、当社の最上層部としてすべての取り組みを監督しています。

人材 

• 当社の全従業員が、フィッシングやソーシャルエンジニアリングを含むサイバーセキュリティ意識向上プログラムのトレーニングを受けています。このプログラムには、年一回のトレーニング、四半期ごとのテスト、週一回の情報周知活動が含まれており、デジタルセーフティに対する当社で働く人々の意識を高く保っています。
• 従業員の身元調査の実施や、役割と責任の明確化、アクセス制御への厳格な原理（必要最小限の権限）の適用を行い、職務の分離をポリシーと業務に組み入れています。
•  当社は、コンプライアンス専門家、ペネトレーションテスト担当者、セキュリティオペレーションセンターチーム、サイバーセキュリティ専門の法律事務所、そして Center for Internet Security（CIS、米国インターネットセキュリティセンター）、MITRE、United States Computer Emergency Readiness Team（米国コンピュータ緊急対応チーム、US-CERT）、Cybersecurity and Infrastructure Security Agency（米国サイバーセキュリティインフラストラクチャセキュリティ局、CISA）、Federal Bureau of Investigation（米国連邦捜査局、FBI）などの国家機関や国際機関と連携しています。
• 当社の経営陣（ELT）、監査委員会（AC）、製品承認委員会（PAC）はすべて、当社のサイバーセキュリティ態勢について定期的に説明を受け、戦略と優先事項に関するガイダンスを提供しています。
• 取締役会は、半年に一度、サイバーセキュリティの状況とロードマップの成熟度について説明を受けます。

プロセス

• データ保護の実践が適用法およびサイバーセキュリティのベストプラクティスに確実に準拠するようにするための ISO 27001 の年次監査および再認証。
• 情報セキュリティチームが毎年実施し、CIO が後援するリスク評価。
• 第三者認定機関による年次ペネトレーションテスト。
• 当社のプログラムおよびサービスの両方における継続的な脆弱性検査および脆弱性緩和措置。
• すべての重要なアプリケーションに対する四半期ごとのアクセス管理レビュー。
• サイバーセキュリティインシデントや自然災害に対処するためのインシデントレスポンス、事業継続、災害復旧のポリシーおよび手順。
• ベンダー選択セキュリティ評価およびベンダー評価によるサプライチェーン管理。
• 適用される個人情報保護法および規制に沿った会社のプライバシーポリシーおよびプライバシー慣行。

テクノロジー

• AWS の SOC 監査を受けたデータセンターに収容された生産インフラ
• AI によるエンドポイント保護およびゲートウェイセキュリティ
• ID のライフサイクル管理
• シングルサインオン、多要素認証、VPN
• 機密情報管理・特権アクセス管理
• KMS を用いた静止時および転送時の暗号化
• 次世代ファイアウォール技術、セグメント化されたネットワーク、証明書ベース認証

Twist Bioscience のバイオセキュリティ

Twist Bioscience は、グローバルに業界をリードする合成 DNA プロバイダーであり、提供する製品の責任ある使用を推進することに全力を注いでいます。そのため、包括的なバイオセキュリティプログラムを開発し、継続的に改善するために多くのリソースを投資してきました。このプログラムには、特定の DNA 配列やタンパク質配列によってもたらされる可能性のある生物学的リスクを評価するために研究者が使用するアルゴリズム、メタデータおよびツールを強化する国内外の取り組みへの参加が含まれています。

Twist は、コアテクノロジープロバイダーとしてバイオセキュリティを推進することを重要視しており、安全なバイオテクノロジー環境への貢献に努めています。一貫したバイオセキュリティのベストプラクティスを開発するため、政府、学術機関、国際的な非政府組織、その他の DNA 合成プロバイダーと共に協働してきました。バイオテクノロジーと合成生物学分野が進化し続ける中、 Twist は常に適切な安全策が確実に講じられよう、バイオセキュリティ戦略の構築に積極的に取り組み続けています。

国家の規制および国際的規制

米国政府のすべてのガイダンスと規制を遵守するため、Twist Bioscience は厳密なバイオセキュリティ対策や輸出管理スクリーニング対策を行っており、すべての注文が適切に行われるよう確保しています。これらの対策には、米国政府が 2023 年に発表した Screening Framework Guidance for Providers and Users of Synthetic Nucleic Acids（人工核酸のプロバイダーおよび使用者向けスクリーニングフレームワークガイダンス）と、国際遺伝子合成コンソーシアム（IGSC）により確立された Harmonized Screening Protocol の遵守が含まれます。米国内の特定の合成 DNA 配列の管理について規定する主要な規制フレームワークは、米国 Federal Select Agent Program（FSAP）です。さらに、Twist Bioscience は製品をすべて米国（オレゴン州ウィルソンヴィル、カリフォルニア州サウス・サンフランシスコ）で製造しているため、合成 DNA の販売は、特定の核酸配列の輸出前のライセンス取得を義務付ける、米国財務省が管理する米国輸出規制（EAR）を遵守する必要があります。

これらの規制フレームワークを遵守することで、Twist Bioscience は誤用された場合に大変なリスクとなりかねない DNA 配列が合成されたり、責任を持って使用しないおそれのある組織に出荷されたりすることが決してないよう確保しています。

配列およびお客様に関するスクリーニング調査

潜在的に危険性のある配列の合成を避けるため、 Twist Bioscience は包括的なスクリーニングプログラムを実施しています。 

注文された二本鎖 DNA 配列はすべて、国内外でその保有が規制されている生物または毒素に由来するかどうかを確認するためスクリーニングされます。規制対象の生物または毒素には、variora（天然痘を引き起こす）、鳥インフルエンザの危険な株、および動物、植物もしくは人間の健康に重大な脅威をもたらすその他の病原体などがあります。規制対象の生物および毒素については厳格に取り締まりが行われ、その保有は制限されています。

スクリーニングにおいて規制対象の配列（またはその一部）が検出された場合、Twist Bioscience はお客様に連絡し、お客様の身元、配列の使用目的、同様の研究に関する過去の文献記録を確認し、出荷前に必要なライセンスが発行されていることを確認します。

さらに、Twist Bioscience は、米国財務省の特別指定国民リスト、米国国務省の取引禁止業者リスト、米国商務省のエンティティリストなど政府の各種リストを用いて各顧客をスクリーニングし、合成 DNA が潜在的に危険な個人または組織に決して販売されないようにします。これに加えて、Twist は販売先の各組織の正当性を確認し、お客様が特定の契約に基づくライセンスを取得していない限り、Twist Bioscience が製造した合成 DNA を再販しないことへの同意を求めます。Twist Bioscience は合成 DNA を有効な企業所在地にのみ発送し、個人の住所や私書箱には発送しません。

人材配置

Twist Bioscience は、その従業員がバイオセキュリティプログラムの一部であるすべてのポリシーおよび手順を遵守し、懸念が生じた場合はそれに確実に対処できるよう、人材を配置します。このチームには、取引コンプライアンスマネージャー、スクリーニングマネージャー、バイオセキュリティ対応チームが含まれます。

報告

Twist Bioscience は、バイオセキュリティに関する懸念に対処するために、さまざまな管轄組織や業界組織と連携しています。この組織には、連邦捜査局（FBI）、疾病対策予防センター（CDC）、アメリカ合衆国商務省産業安全保障局、米国農務省（USDA）動植物検疫所などがあります。さらに、Twist は、世界トップの合成 DNA 製造業者 25 社以上から成り立つ業界団体である国際遺伝子合成コンソーシアム（IGSC）の一員であり、現在は議長を務めています。IGSC の構成企業は、疑わしい注文を受けた際に既存のメカニズムを使って互いに通知し合うことができ、他のベンダーからの危険な DNA 配列の注文を防いでいます。

記録管理

Twist Bioscience では、注文を受けた DNA 配列の各バイオセキュリティスクリーニングの文書保管に関して、2023 年アメリカ合衆国保健福祉省 Screening Framework Guidance for Providers and Users of Synthetic Nucleic Acids（人工核酸プロバイダーおよび使用者向けスクリーニングフレームワークガイダンス）に定められた推奨事項を満たすか、それを上回る社内ポリシーを実施しています。Twist は、この文書を最低 8 年間保管しています。

レッドチーム演習

Twist Bioscience は、熟練コンサルタントの力を借りてセキュリティ対策の突破を試みることで、バイオセキュリティプログラムの有効性確認にチャレンジしました。これはサイバーセキュリティの分野では、レッドチーム演習としてよく知られている手法です。コンサルタントは、スクリーニングプロセスを欺く目的で実際の注文を出します。専門家が難読化手法を使用してこのような試みをした結果、どれも成功しませんでした。これはつまり、Twist Bioscience が実施しているバイオセキュリティプログラムが非常に堅牢であることを示しています。

弊社は、バイオセキュリティが常に進化する分野であることを認識しており、常にベストプラクティスを最新化し、新たな問題に対処するよう努めています。当社は、ライフサイエンス研究には公衆衛生や緊急事態への備えを改善する可能性があると信じています。そのため、新たな情報や変化する動向に対応するための柔軟なガバナンスを推進しています。

当社のスクリーニングプロトコルがベストプラクティスを満たすか、それを上回るよう確保するために、業界を代表する専門家と積極的に連携し、Intelligence Advanced Research Projects Activity Functional Genomic and Computational Assessment of Threats プログラムなどに参加し、International Biosecurity & Biosafety Initiative for Science（IBBIS）をサポートしています。

これらのポリシーや手順を実施するには時間やリソースの投資が求められますが、社会に利益をもたらす科学研究を推進することに引き続き全力を尽くしてまいります。合成生物学は、人類の健康と環境を改善する可能性を秘めています。私たちは、公共の安全を確保する厳格なバイオセキュリティスクリーニングを維持しつつ、高品質な合成 DNA を誇りを持って提供しています。