Job Description

職務概要： 日本事業の情報リスクガバナンス強化に向け、ITリスクマネジメントのスペシャリストを募集します。日本のIT部門および事業部門と連携し、情報リスクの特

定・優先順位付け・低減を推進します。社内ポリシーや外部規制の遵守を確保し、重要な取り組みにセキュリティ・バイ・デザインを組み込みます。本ポジションは、ITRMS の日本の Business Information Risk Officer に報告し、シンガポール拠点のリージョナル ITRMS チームと密接に協働します。

会社概要： 当社は、がん、ワクチン（予防医療）、高血圧・糖尿病などの慢性疾患を中心とするグローバル・ヘルスケア企業です。アルツハイマー病、糖尿病、がんなど、世界で多くの人々に影響する疾患の研究開発に注力し、医薬品・ワクチンへのアクセス向上にも取り組んでいます。

募集背景（役割の意義）： サイバー脅威は高度化・多様化が進み、規制要件もグローバル全体で強化されています。ITトランスフォーメーションの一環として、ITRMS はセキュリティガバナンスを中核に集約し、日本を含む主要マーケットにおける体制を強化しています。本ポジションは、事業の優先課題を具体的なリスク低減施策へつなぐ要の役割です。

主な職務内容：

• ガバナンス／コンプライアンス：社内ポリシー、手順、適用規制への遵守をステークホルダーに指南し、ITセキュリティおよびコンプライアンスのSME（社内有識者）として支援する。

• セキュアSDLC／アーキテクチャ：当社のSDLC（システム開発ライフサイクル）への準拠を推進し、コントロールのギャップ評価を支援。リスクに基づく是正策を提案・追跡する。

• リスク／コントロール：主要プロジェクトやイニシアティブにおける情報リスクを特定・優先順位付けし、実行可能な是正策を助言。投資・リソース配分の意思決定にリスクベースのインプットを提供し、全社的なリスク管理プログラムに貢献する。

• レジリエンス：重要システムおよび業務プロセスに対するBCP（事業継続計画）が整備・維持され、定期的にテストされるよう確保する。サイバーインシデント発生時は、日本のビジネスチームおよび ITRMS のサイバーインシデント対応チームと連携し、効果的な解決に導く。

• 研修・意識向上：従業員、サービスプロバイダー、ベンダーを対象にセキュリティ意識を高め、ベストプラクティスの浸透を促進する。

• 監査／アシュアランス：監査・査察対応を支援し、回答の取りまとめと是正策の迅速なクローズを推進する。

• ステークホルダー・エンゲージメント：日本のIT／事業部門、ならびにリージョナル／グローバルの各チームと、マトリクス型組織で効果的に協働する。

必須の経験・スキル

• サイバーセキュリティまたはITリスクマネジメントでの実務経験 2～3年以上（IT業務全体で4～5年以上が望ましい）

• 日本語：ネイティブレベル、英語：ビジネスレベル

■日本語：社内の事業部門・ビジネスステークホルダーとのやり取り

■英語：リージョナル／グローバルチームとの協業

• 高い協働力とコミュニケーション力、マトリクス型組織での実行力

• 情報セキュリティのマネジメント／ガバナンスに関する知識

• 好奇心と適応力、People／Process／Technology をつないで考えるエンドツーエンド志向

• 業界動向・技術動向への理解（製薬業界の知見があれば尚可）

• 多文化・多様なステークホルダーとの効果的な協働能力

歓迎する経験・スキル

• 情報／サイバーセキュリティの主要フレームワークの知識・導入経験（例：ISO 27001/27002、NIST CSF/800-53）

• 資格：CISSP、CISA、CISM、CRISC、GIAC など

• 規制業界におけるITインフラまたはエンタープライズアプリケーションの管理経験

• セキュリティツールに関する実務経験（例：脆弱性管理、EDR、IAM、DLP）

• 規制環境でのSDLCを用いたシステム導入経験

• 自律的に業務を遂行し、バーチャルチームでも成果を出せる能力

• 新技術・コンセプト（例：ゼロトラスト）への理解、そしてスピード感のある環境下での自律・協働の両立能力

学歴

学士号（情報技術、コンピュータサイエンス、工学、経営学、または関連分野が望ましい）

Required Skills:

Business Continuity Management (BCM), Compliance Policies, Cybersecurity, Information Security, Information Technology (IT) Risk Management, IS Audit, Operation Risk Management, Regulatory Compliance, Risk Control Self Assessment, Risk Management and Mitigation, Risk Mitigation Strategies

Preferred Skills:

Current Employees apply HERE

Current Contingent Workers apply HERE

Secondary Language(s) Job Description:

Brief Description of Position: We are hiring an IT Risk Management professional to strengthen information risk governance for our Japan business. You will partner with Japan IT and business leaders to identify, prioritize, and mitigate information risks; ensure compliance with internal policies and external regulations; and embed security-by-design across critical initiatives. The role reports to the Japan Business Information Risk Officer (within ITRMS) and collaborates closely with the regional ITRMS team in Singapore.

About the Company: We are an innovative, global healthcare leader focused on oncology, vaccines (preventive medicine), and chronic diseases such as hypertension and diabetes. We invest in research on conditions affecting millions of people—including Alzheimer’s, diabetes, and cancer—and we are committed to expanding access to medicines and vaccines worldwide.

Why this role: Cyber threats are expanding in scale and sophistication, and regulatory expectations are rising globally. As part of our IT transformation, ITRMS has centralized key security governance and is enhancing capabilities to support critical markets, including Japan. This role is pivotal in translating business priorities into actionable risk reduction.

Primary Activities/ Responsibilities:

• Governance & Compliance: Guide stakeholders on compliance with company policies, procedures, and applicable regulations; serve as SME on IT security and compliance.

• Secure SDLC & Architecture: Drive adherence to the corporate System Development Life Cycle (SDLC); assist in control gap assessments; recommend and track risk-based remediation.

• Risk & Controls: Identify and prioritize information risks for key projects and initiatives; provide actionable remediation guidance; deliver risk-based input to investment and resourcing decisions; and contribute to enterprise-wide risk mitigation programs.

• Resilience: Ensure Business Continuity Plans exist for critical systems and business processes, are maintained, and are regularly tested; collaborate with Japan business teams and the ITRMS cyber incident response team to lead effective resolution of cybersecurity incidents.

• Awareness & Culture: Elevate security awareness across employees, service providers, and vendors; promote best practices.

• Audit & Assurance: Support audits and inspections; coordinate responses and drive timely remediation.

• Stakeholder Engagement: Collaborate effectively across Japan IT/business and regional/global teams in a matrixed environment.

Required Experience and Skills:

• 2–3+ years in cybersecurity and/or IT risk management; 4–5+ years total IT experience preferred.

• Japanese (native-level) and English (business-level).

■Japanese with business stakeholders;

■English with regional/global teams.

• Strong collaboration and communication skills; effective in a matrix organization.

• Knowledge of information security management and governance.

• Curiosity and adaptability; end-to-end mindset connecting people, process, and technology.

• Awareness of industry and technology trends (pharma a plus).

• Ability to work effectively across cultures and stakeholder groups.

Preferred Experience and Skills:

• Experience with risk/cyber frameworks and tools (e.g., ISO 27001/2, NIST CSF/800-53)

• Certifications such as CISSP, CISA, CISM, CRISC, GIAC.

• Background in infrastructure or enterprise applications in regulated environments.

• Hands-on with security tools (e.g., vulnerability management, EDR, IAM, DLP).

• Experience implementing systems using SDLC in regulated environments.

• Ability to work independently and in virtual teams.

• Familiarity with emerging technologies and concepts (e.g., zero trust), and a demonstrated ability to work independently as well as within virtual teams in a fast-paced environment.

Education:

• Bachelor’s degree. (Preferred fields: Information Technology, Computer Science, Engineering, Business, or related field)

Search Firm Representatives Please Read Carefully
Merck & Co., Inc., Rahway, NJ, USA, also known as Merck Sharp & Dohme LLC, Rahway, NJ, USA, does not accept unsolicited assistance from search firms for employment opportunities. All CVs / resumes submitted by search firms to any employee at our company without a valid written search agreement in place for this position will be deemed the sole property of our company. No fee will be paid in the event a candidate is hired by our company as a result of an agency referral where no pre-existing agreement is in place. Where agency agreements are in place, introductions are position specific. Please, no phone calls or emails.

Employee Status:

Regular

Relocation:

VISA Sponsorship:

Travel Requirements:

Flexible Work Arrangements:

Hybrid

Shift:

Valid Driving License:

Hazardous Material(s):

Job Posting End Date:

03/31/2026

*A job posting is effective until 11:59:59PM on the day BEFORE the listed job posting end date. Please ensure you apply to a job posting no later than the day BEFORE the job posting end date.