情報セキュリティ

川崎重工グループは事業者向け、官公庁向け、一般消費者向け、防衛関連といった幅広い分野で製品・サービスを提供しています。情報漏洩などが発生した場合は信用やブランド価値にも影響を及ぼすなど経営の根底をゆるがしかねないことから、情報セキュリティ（機密性・完全性・可用性）の確保が重要な経営課題であると認識しています。そうした経営リスクからビジネスを守るために、お客様やお取引先に関わる情報および会社の事業に関わる情報などの重要な情報資産を適切に管理、保護し、社会的責任として情報セキュリティを確保するとともに、その維持と向上に取り組んでいます。

情報セキュリティへの取り組みとしては、次の4つの観点から取り組むことを基本的な考えとしており、この基本的な考えを基に「川崎重工グループ情報セキュリティ方針」を定めているほか、NIST CSF^※などの世界標準のフレームワークに倣い、情報システムの利用や導入／開発など運営のための情報セキュリティに関する各種方針を定めています。また、当社グループ全体を統制する各種方針に基づき、社則およびガイドラインを整備しています。

1. ①グループ全体の連携を強化する体制構築
2. ②重要な情報などの情報資産の把握と管理
3. ③サイバー攻撃に対する識別・防御・検知・対応・復旧を実現する適切な施策の計画と展開
4. ④全役職員の情報セキュリティ知識の習得と意識の向上

• ※NIST CSF(Cybersecurity Framework)：米国国立標準技術研究所が発行する重要インフラのサイバーセキュリティを向上させるためのフレームワーク

DX戦略を担当する取締役がCISOとしての役割を担っており、CISOを委員長として各事業組織の情報セキュリティ責任者が参画する情報セキュリティ委員会を組織し、経営層・取締役会からの指示に基づいた情報セキュリティに関する方針、計画、情報セキュリティリスクに対する各種施策などについて各事業部門、関係会社、関連組織に共有・展開を行っています。併せて情報セキュリティ委員会は、サイバー脅威、情報セキュリティのリスク、課題の共有およびインシデント対応状況等を経営会議に上程するとともに、重要度に応じて取締役会へ報告しています。

また、情報セキュリティを所管する担当執行役員のもとに情報セキュリティに関する戦略の策定、情報セキュリティリスクの特定、施策の企画・立案・実施、監査、情報セキュリティインシデントの検知・対応・復旧を担う、情報セキュリティ統括部門を設置しています。

併せて、情報セキュリティ委員会からの指示に基づいて、情報セキュリティ統括部門を中心に各事業組織、関係会社、関連部門が互いに連携し、時々刻々と変化する情報セキュリティリスクに対して「技術対策」「教育・訓練」「ルール」の３つの視点から情報セキュリティの確保・維持・向上を体系的に整備し推進しています。

DX戦略担当役員（CISO）： 代表取締役副社長執行役員　中谷 浩
情報セキュリティ担当執行役員： DX戦略本部長 執行役員　占部 博信

取締役会・情報セキュリティ委員会

川崎重工グループでは、情報セキュリティに関する第三者評価・認証取得を推進しており、情報セキュリティに関する認証を取得した組織は以下の通りです。

• 川崎重工業株式会社（社長直轄プロジェクト本部　プロジェクト推進部）
• ベニックソリューション株式会社（デジタル基盤本部　基盤サービス設計部・運用サービス部）

• ベニックソリューション株式会社
• 株式会社ケイキャリアパートナーズ

• 川崎重工業株式会社（精密機械・ロボットカンパニー　ロボットディビジョン）

情報セキュリティリスクを低減させる取り組みとして、当社グループとして護るべき情報資産を特定するとともに、高度化するサイバー脅威を的確に捉えるため、情報処理推進機構（IPA）やJPCERT/CCなどの専門機関、セキュリティベンダー、セキュリティアナリストなどから発信された情報を日々収集しています。収集した脅威情報から想定される攻撃者、攻撃手法、攻撃シナリオなどの分析、脆弱性の特定を行っています。その上で、分析・特定した脅威や脆弱性から適切に情報資産が護られているかについて定期的にアセスメントを実施し、リスクの評価を行います。
また、内部監査等を通じて、リスク評価結果に対する対策の実施状況や方針・規程類に基づく管理・運用状況を定期的に点検・評価します。

当社グループのサプライチェーンリスクに対応するにあたり、リスクの識別、分析、優先順位付けおよび評価に関するプロセスを整備しています。
具体的には、「川崎重工グループお取引先様情報セキュリティガイドライン」を2022年度に制定し、お取引先に対して情報セキュリティ対策への取り組みを促し、それぞれの特性に応じた対策を進められるよう取り組んでいます。また、サプライチェーンマネジメントの一環として国内外のお取引先を対象に実施しているアンケート調査において、2024年度より情報セキュリティに関する設問を設けました。お取引先の情報セキュリティの状況を確認し、サプライチェーンにおけるリスクの低減に取り組んでいます。

高度化、深刻化しているサイバー脅威からお客様やお取引先に関わる情報および当社グループの情報資産を護るため、サイバー脅威の状況を捉え、インシデントに対して迅速に対応するために必要となる体制を整備しています。情報セキュリティ総括部門内にサイバーディフェンスセンター（CSIRT^※）を設置しており、以下の3つの機能から構成されています。

インテリジェンス機能

• サイバー脅威を調査、分析し、インシデント対応をサポートします。

検知・分析機能

• サイバー攻撃を常に監視し、異常を検知し、分析します。

レスポンス機能

• 攻撃を検知後、直ちに関係者と連携し迅速に対策を講じて被害を最小限に抑えます。

なお、インシデントが検知され、分析の結果侵害されていると判断された場合は、インシデントの重要度を判断し、さらなる侵害を阻止するために、通信ネットワークの遮断、情報機器の隔離などを実施します。また、事業活動への影響や侵害範囲などを踏まえて関係者と協力し、侵害を受けた原因の調査、証拠保全を実施するとともに事業活動を平常稼働に戻すための復旧作業を実施します。
重大なインシデントが発生した場合には、速やかに定められたルートに従い経営層に報告するとともに、リスク管理部門や広報部門などの関連部門と連携しながら、お取引先や関係省庁および関係機関に速やかな報告を行います。

• ※CSIRT(Computer Security Incident Response Team): 企業の情報システムや通信ネットワークでセキュリティ上の脅威となる現象や行為（インシデント）が発生した際に、いち早く発生を検知し、組織内の対応窓口となって被害の拡大防止や関連情報の収集・告知、再発防止策の策定などの活動を行う。

当社グループの従業員に対して、定期的に情報セキュリティの教育と訓練を実施しています。
教育は、法律やマナー、会社のルール、事故事例などについて、新入社員、一般従業員、幹部職員のそれぞれの立場にあった教育コースを実施しています。教育・訓練では従業員が日常業務でサイバー攻撃やネット犯罪などの被害に遭わないようにすることを目的としています。不審なメールを受信したときには被害を拡大させないために、添付ファイルやリンクをクリックせず速やかに通報窓口に連絡するとともに当該メールを削除するよう指導し、定期的に標的型疑似攻撃メールによる訓練演習を実施しています。
2024年度においては、情報セキュリティ教育を20,274名が受講し、標的型疑似攻撃メールによる訓練を24回、計10,560名に対して実施しています。

2024年度の情報セキュリティに関する違反はありませんでした。また、情報セキュリティ侵害の発生件数は、４件でした。

川崎重工グループの製品はネットワークやクラウドに接続し、より高度な機能やサービスを提供できるよう進化を続けています。一方でデジタル化の進展によりサイバー攻撃を受けるなどのサイバー脅威にさらされるリスクも増えており、お客様やお客様の事業を守るための製品品質の一つとして製品セキュリティを位置づけ、品質の維持と向上に取り組んでいます。
国内外の法令、規格およびお客様との契約の遵守に加え、サイバー攻撃による侵害を防ぐことで安全・安心な製品・サービスを提供するためのポリシーとして「川崎重工グループ製品セキュリティ方針」を定めているほか、製品・サービスの企画、設計、製造から運用に至る製品ライフサイクル全般の活動において、適切なセキュリティを確保するための規定やガイドラインなどを整備しています。また、製品セキュリティ方針に基づき、安全・安心な製品を設計・開発するためのプロセス（SDLC^※）の整備をすすめており、ロボット事業では国際標準規格である「IEC 62443-4-1」認証を取得して運用を開始しています。加えてお客様にご採用いただいた製品を安全に安心してご利用いただくための活動全般を統括する専門組織（PSIRT^※）を構築しています。その活動の一つとして脅威や脆弱性に関する情報を収集し、対応の状況について公開しています。さらに当社が提供するサービスに対して情報セキュリティインシデントの発生をいち早く検知するための監視体制を構築して運用を開始しています。

• ※SDLC（Secure Development Life Cycle）：開発する製品がセキュアで」あることを担保することを目的とする開発ライフサイクルであり、プロセスの上流から全体においてセキュリティ対策を実施する。
• ※PSIRT（Product Security Incident Response Team）：製品に含まれる脆弱性の発見、問題の分析や深刻さ、影響などの調査、改修や修正版の提供、顧客や一般への案内や周知、情報提供、問い合わせ対応、外部からの通報の受付、協業先や関連機関との連絡調整などの活動を行う。

当社グループでは、製品のサイバーセキュリティ品質向上のため、製品の脆弱性に関する情報の継続的な収集を目的に、脆弱性通報窓口を設置しています。

当社グループ製品について確認された新規の脆弱性については、リスク低減の観点からお客様が適切な対策を講じることを可能とするために、必要に応じ情報提供を行っています。

「川崎重工グループ　情報セキュリティ報告書2025」を発行しました。
本報告では経済産業省の「サイバーセキュリティ経営ガイドライン Ver3.0」に基づき、お客様やお取引様の皆様に川崎重工グループの情報セキュリティに関する取り組みを適切に開示し、ご理解いただくことを目的としています。

川崎重工は、個人情報の保護に関する基本方針である「個人情報の取扱いに関する方針」を定め公表しています。また、個人情報保護管理責任者を置くとともに、社則として「個人情報保護規則」などを制定し、従業員向けにはルールを分かりやすく説明した「個人情報保護マニュアル」を発行し、これらに基づいて個人情報の管理を行っています。2020年には「川崎重工グループ個人情報保護方針」を制定し、川崎重工グループ全体での適切な個人情報の取り扱いを定めています。
2022年4月に個人情報保護法の改正が施行されたことに伴い、関連社則、「個人情報の取扱いに関する方針」、および「個人情報保護マニュアル」の改正を行いました。
個人情報の管理としては、各部門で保有する個人情報の取り扱い状況を一覧できる個人データ取扱い台帳を作成し、定期的にアップデートを行うほか、部門単位で保有する各個人情報の安全管理措置体制を構築しています。 なお、当社の保有する個人情報に関し、本人から開示や利用停止などの請求があれば、遅滞なく対応する体制を整備しています。

当社は、欧州連合（EU）および英国が定めた「一般データ保護規則」（GDPR）を遵守することを内容とする社則を制定し、対象となる個人情報の適正な取り扱いを定めています。