【入門】TISAXとは?自動車業界の情報セキュリティ基準を徹底解説
- TISAXとは、ドイツ自動車工業会(VDA)が策定した自動車業界における情報セキュリティ評価基準のこと
- TISAXのENXプラットフォームを利用することで、自動車メーカーや取引先が、各メーカーの情報セキュリティレベルを確認できる
近年、自動車業界ではサプライチェーン全体における情報セキュリティの確保が求められるようになっており、その中心となる審査基準として注目されているのが「TISAX(Trusted Information Security Assessment Exchange)」です。
特に、欧州の自動車産業において海外取引を行う部品メーカーやITベンダーにとっては避けて通れない存在となってきています。しかし、「TISAXはどのような概要・仕組みなのか」「TISAXで求めているものは何か」などわからないという企業も多いでしょう。
そこで、この記事では、TISAXの概要や仕組み、要求事項、取得の流れなどをわかりやすく解説します。
目次
TISAXとは
TISAX(Trusted Information Security Assessment Exchange)とは、自動車業界における情報セキュリティ認証制度です。ドイツ自動車工業会(VDA)と欧州ネットワーク自動車産業連合(ENX)によって共同で開発・運営されています。
わかりやすく言えば、自動車業界のサプライヤーに対する情報セキュリティの審査方法を標準化し、その審査結果を業界内で共有できる仕組みとなっています。
企業の立場から見ると、TISAXに参加することで、第三者評価機関によって審査された自社の情報セキュリティ対策や管理体制の結果を、安全かつ効率的に業界内の企業に共有できるようになります。
特に海外の多くの自動車メーカーやTier1企業(一次下請け)との取引においては、TISAX対応が取引条件となるケースが増えており、日本の自動車業界に関連するサプライヤー企業でも注目が高まっています。
TISAX制度の仕組み
TISAX制度の特徴は、「一度の審査で、複数企業に審査結果を共有できる仕組み」と「業界全体のセキュリティレベルを標準化する仕組み」にあります。
制度のベースとなるのは、VDA-ISA(VDA Information Security Assessment)と呼ばれる共通の審査基準です。国際的な情報セキュリティマネジメントシステム(ISMS)の基準であるISO27001に基づき、自動車業界のセキュリティ水準を向上させるために達成すべき基準として定められました。
TISAX制度は、以下の3つのプロセスを通じて運用されています。
1.自己評価
TISAXを利用する企業は、まずVDA-ISAに基づいて自己評価を実施します。
自己評価により、自社のセキュリティ管理体制がどの程度整備されているかを把握するとともに、不足点は改善につなげられます。
2.監査機関による審査
次に、ENX協会によって認定された監査機関が審査を実施します。
第三者認証によって公平性・客観性が確保されるため、審査結果は自動車業界全体で信頼できる評価基準としての役割を果たします。
3.結果の共有
審査の完了後、結果はENXポータルサイトに登録されます。
企業は評価結果を、取引先(OEMやTier1など)に対して共有できます。
TISAX制度が導入される前は、取引において複数企業とのやり取りにおいて同じような個別審査が必要でした。しかし、TISAX制度が導入されてからは、一度の審査で多くの企業に評価結果を活用できる新たな自動車業界の仕組みが成立したのです。
TISAXが注目される背景
TISAX認証が注目され、認証の必要性が高まっている背景には、「外部要求」と「内部統制」の2つの側面があります。
| 外部要求 | 内部統制 |
|---|---|
|
|
しかし、TISAX認証の取得理由の多くは「外部要求」といわれています。
国境を越えた部品調達や開発が当たり前となった現代では、自動車メーカーはサプライチェーン全体のセキュリティを確保する必要があります。そのため、サプライヤーにおいてもTISAX認証の取得を求める企業が増えているのです。
また、EVの普及は自動車をソフトウェアが主導する「走るIT機器」へと変貌させました。これにより、サイバー攻撃のリスクや膨大なデータの保護が重要な課題となっています。
サプライチェーン全体で情報セキュリティを確保する必要が生じたため、国際的な共通基準であるTISAXの取得が不可欠となっている。TISAXは、この新しいモビリティ時代に、企業が安全かつ信頼性の高いビジネスを展開するための重要な基盤となり得ます。
ISO27001との違い
TISAXとISO27001はいずれも情報セキュリティマネジメントに関する認証制度ですが、以下のような違いがあります。
| TISAX | ISO27001 | |
|---|---|---|
| 主な対象 | 自動車業界 | 業種を問わず対象 |
| 運営団体 | VDA、ENX協会 | 国際標準化機構(ISO) |
| 評価基準 | VDA-ISAに基づく自己評価と監査 | ISMSの国際規格(ISO27001)に基づく審査 |
| 共有方式 | 結果はTISAXポータル上で共有 | 審査結果は証明書発行、一般的に取引先に提示 |
TISAXはISO27001の仕組みを基盤としているものの、自動車業界で求められている具体的な情報セキュリティ対策が加えられているのです。
TISAXの対象となる業種・導入済みの大手自動車メーカー
ここでは、TISAXの対象となる業種やすでに導入している大手自動車メーカーについて解説します。
TISAXの対象となる業種
TISAXは、自動車業界に関連する以下のような業種を対象としています。
- 自動車メーカー
- サプライヤー(車体製造、部品製造など)
- 車載ソフトウェア開発
- テクノロジーサービス
特に、新型車両や部品の設計図面、試作車情報、技術仕様書、自動車の制御システム、エンジン技術などの機密情報を扱う業務に従事する企業では、TISAXへの対応が強く求められます。
TISAXを導入している大手自動車メーカー
TISAXはドイツ発祥の認証制度であることから、欧州の大手自動車メーカーが先行して導入しており、現在では世界中のOEMがTISAXを採用・推奨しています。
近年では日本国内の完成車メーカーや大手サプライヤーでもTISAX準拠を求める動きが加速しています。特に欧州との取引がある企業にとって、TISAXの取得はビジネス継続や新規契約の前提条件となるケースも増えているため、TISAXへの対応は早急に対応すべき要件といえるでしょう。
TISAXを導入するメリット
TISAXを導入するメリットについて解説します。
情報セキュリティ体制の信頼性向上
TISAXを導入する最大のメリットの一つは、「情報セキュリティ体制の信頼性を対外的に証明できる」ことです。
TISAXは、情報セキュリティに関する国際規格であるISO27001に、自動車業界特有の要件を追加した基準であるVDA-ISAに基づいて評価されます。
つまり、TISAXの取得によって「自社の情報セキュリティ管理体制は、業界に特化した情報セキュリティ水準を満たしている」ことが証明されるため、信頼性の向上につながるのです。
また、TISAXは自動車メーカーや大手Tier1企業の取引条件となるケースも増えているため、新規取引の拡大につながる可能性もあります。
他関係者とのパートナーシップの構築
TISAXの導入は、サプライチェーン全体のセキュリティ信頼性を高め、パートナーシップの構築につながる可能性があります。
それは、TISAXポータルを通じて、審査の評価結果が自動車メーカーや他サプライヤーに共有されるため、複数企業に対して自社のセキュリティ体制を確認してもらうことが可能になるためです。
コンプライアンスの遵守
TISAXの導入によって、情報セキュリティに関する国際的な法的要件や規制に対応しやすくなるというメリットもあります。というのも、TISAXには関連する法的要件や規制への適合が要件として含まれているためです。
また、TISAXの評価項目には、リスクアセスメントや従業員教育といった項目が含まれているため、情報セキュリティ管理体制を見直す機会が生まれます。そのため、日常業務の中においてもコンプライアンスを遵守する体制が構築されるのです。
TISAXの要求事項
TISAXでは、自動車業界の取引において情報セキュリティの信頼性を確保するために、共通の審査基準として「VDA-ISA」カタログが用いられています。
VDA-ISAは、企業が遵守すべき情報セキュリティ管理の項目を体系的にまとめた評価シートです。
VDA-ISAは、大きく分けて以下のように構成されています。
| メインカタログ | すべてのTISAX参加企業に求められる基本的な情報セキュリティ要件を含む45問の評価項目 |
|---|---|
| アディショナルカタログ |
|
メインカタログは必ず使用される評価基準ですが、アディショナルカタログは該当する業務がある場合のみ評価することが求められます。
以下では、TISAXの主要な3つの要求事項について、それぞれの位置づけと内容を解説します。
インフォメーションセキュリティ
インフォメーションセキュリティ(Information Security)は、VDA-ISAのメインカタログに含まれる中心的な評価項目です。ISO27001の考え方をベースに構成されており、企業の情報セキュリティ管理体制全般が対象となります。
そのため、企業の保有する情報資産を保護するために、以下の3つの要素をバランスよく向上させることが求められています。
- 機密性:許可された人だけが、情報にアクセスできるように保護すること
- 完全性:情報を、正確かつ最新の状態に保つこと
- 可用性:必要なときに、いつでも情報を使用できる状態にすること
サプライヤーが自動車メーカーから受領する図面や仕様書などの機密情報を、情報漏えいや不正アクセスから守る体制が求められます。
プロトタイププロテクション
プロトタイププロテクション(Prototype Protection)は、VDA-ISAのアディショナルカタログに含まれている評価項目です。開発段階の車両や部品に関する機密情報を保護するための情報セキュリティ基準です。
市場に出ていない試作車や部品などの未公開情報の漏えいを防ぐための要件であるため、自動車の新製品や新技術に関連する試作段階の情報を取り扱う企業を対象としています。
- 世に出ていない試作品
- 量産生産が前提ではなく、あくまで試作品の段階
取得要求があるOEMやTier1によって認識の違いがある場合もございます。どこまでが試作品なのか?が気になる場合は、TISAXの要求元へ確認を行ってから、取得する内容を精査する事をおすすめいたします。
データプロテクション
データプロテクション(Data Protection)は、VDA-ISAのアディショナルカタログに位置づけられている評価項目です。サプライチェーンやパートナー間でやり取りされる個人データや機密データを保護するための情報セキュリティ基準です。
例えば、顧客や従業員の個人情報を取り扱う企業やGDPRなどの個人情報保護法を準拠する必要がある業務に関与する企業などを対象としています。
TISAXの2つの審査方法・3つの評価レベルとは
TISAXでは、企業の情報セキュリティ体制を審査する際に、「2つの審査方法」と「3つの評価レベル(アセスメントレベル)」が設定されています。業務内容や取引先から求められるセキュリティ要件に応じて、柔軟に評価を行うための仕組みとして採用されています。
ここでは、「2つの審査方法」と「3つの評価レベル」の概要について詳しく解説します。
審査方法とVDA ISAカタログ
TISAXにおける審査は、基本的にVDA-ISAカタログに基づいて行われますが、以下の2つの審査方法が存在します。
1.自己評価
企業自身がVDA-ISAに基づいて、自社の情報セキュリティ管理体制をチェックし、自己評価を行う方法です。軽微なリスクレベルに対する対応や、簡易的な確認を行う際に用いられます。
2.第三者機関による審査
ENX協会が認定した第三者の審査機関が、企業に対して現地審査またはリモート審査を行い、VDA-ISAカタログに基づいて正式な評価を行います。より高度なセキュリティ要件が求められる場合に実施される方法です。
評価レベル「アセスメントレベル」とは
TISAXには、「アセスメントレベル(Assessment Level:AL)」と呼ばれる3つの評価レベルが設けられており、それぞれ審査の厳しさや内容が異なります。
取引先(OEMやTier1)から求められる審査レベルによって、どちらの方法を選択するかが決定されます。
以下に、各アセスメントレベルの概要や審査方法についてまとめました。
AL1(アセスメントレベル1:自己評価)
VDA-ISAに基づく自己評価のみで完了するレベルです。第三者機関による審査は実施せず、自己評価が実施された事実のみを確認します。
そのため、AL1の結果は、TISAXとしては用いられることはなく、主に社内目的で使用されます。
AL2(アセスメントレベル2:文書審査+インタビュー)
自己評価に加え、第三者機関による「自己評価の妥当性チェック+文書審査+リモートインタビュー」を通じて評価されるレベルです。
通常、音声会議によってインタビューを行いますが、被審査側の要求によって現地(オンサイト)審査を行うケースもあります。
実際に運用している内容(運用)+ それを証明するエビデンス(証跡)=これでしか確認方法がない為、オンサイト特有のその場で追加や詳細説明ができないので、良くも悪くも結果のみで評価をされます。そのため、オンサイト(現地審査)で受審した方が良いという企業も少なくはありません。
AL3(アセスメントレベル3:現地審査)
自己評価に加え、第三者機関による「現地審査」を通じて評価されるレベルです。証跡について詳細な検証を行い、インタビューも対面で行われるため、網羅的な確認が行われます。
高いセキュリティレベルが必要な機密情報の取り扱いや、プロトタイプの保護などに適用されます。
主に物理的セキュリティの確認項目が多いため、審査員も現地で確認を行い審査を行います。
TISAX認証取得の流れ・スケジュール
TISAX認証を取得するためには、約8~12か月という長期間をかけて多くの工程を段階的に踏む必要があります。審査前の準備から審査後の是正対応まで、一連の流れを理解しておくことで、スムーズな認証取得につながるでしょう。
ここでは、TISAX認証取得までの主な工程を7つにわけて解説します。
1.認証範囲の決定・ENXポータルへの登録
まずは、認証取得スコープ(審査の目的、認証範囲、対象拠点)などを決定しましょう。認証範囲では、「組織単位」「業務単位」などを検討します。審査コストや準備内容にも大きく影響するため、TISAX審査における審査対象の範囲を最初に決定するのです。
その後、ENX協会が運営するTISAXポータルサイトに基本情報を入力してアカウントを作成します。このポータルサイトを通じて、「第三者機関への審査依頼・審査日程の調整」「審査の進捗状況の確認」「審査結果の受け取り」などを行えます。
2.自己評価の実施
VDA-ISAカタログに基づき、自己評価を行います。自社の情報セキュリティ体制がVDA-ISAカタログの基準にどの程度適合しているかを内部的に確認する作業です。
具体的には、既存の規程やルールとVDA-ISAを照合し、文書整備状況やリスク管理体制を確認し、「どの程度ギャップがあるのか」「どの程度適合しているのか」を把握しましょう。
3.情報セキュリティシステムの運用・改善の実施
情報セキュリティシステムを運用するとともに、自己評価で見つかった課題や不備に対して、必要な運用改善や対策の導入を行います。具体的には、ポリシーや手順書の整備、社員教育、リスクアセスメントの実施などが挙げられます。
この段階で、VDA-ISAに準拠した管理体制・手順を現場で実践できる状態に整えておくことが大切です。一般的に、情報セキュリティシステムの構築・運用・改善に約6か月~8か月かかります。
4.審査機関による審査の受審
ENXポータルを通じて依頼した審査機関による審査を受けます。評価レベル(AL2〜AL3)に応じて、リモートでの確認や現地審査が行われます。
審査では、VDA-ISAカタログに基づいた管理体制や文書管理、セキュリティ対策の有効性などの点が確認されます。
5.指摘事項への是正処置の実施・報告
ENXポータルを通じて、審査結果が通知されますが、VDA-ISAとの不適合があった場合には、不適合または改善指摘事項が通知される場合があります。
その場合、必要な是正処置を実施したのち、ENXポータルを通じてその対応結果を報告しなければなりません。実施した是正処置の承認を得ることで、テンポラリーラベル(仮認証・仮適合ラベル)が発行されます。
6.フォローアップ監査(再審査)の受審
是正処置の承認を得たら、フォローアップ監査(再審査)を受ける必要があります。フォローアップ監査は、指摘事項に対する対応が適切に実施されているかを重点的に確認するための審査です。
フォローアップ審査も審査機関によって実施され、最終的な認証の可否判断が下されます。
なお、初回審査から9か月以内にフォローアップ審査までを完了させなければなりません。
7.認証取得
フォローアップ監査までの全過程が完了し、審査機関からの報告がENXに承認されると、正式にTISAX認証取得となります。
TISAX認証取得後、本ラベル(適合ラベル)が発行されるとともに、TISAXポータルを通じて認証情報を業界関係者と共有できるようになります。
また、TISAXには有効期限(最大3年)が設けられています。期限が近づく前に再審査が必要となることも覚えておきましょう。
TISAX認証取得におけるポイント・注意点
TISAX認証を取得するには、審査基準を満たすだけでなく、準備段階や審査対応におけるさまざまなポイント・注意点が存在します。
ここでは、TISAX取得における注意点と、スムーズな認証取得のためのポイントを解説します。
言語に対応する必要がある
TISAXはドイツ発の認証制度であるため、VDA-ISAカタログは英語またはドイツ語で提供されています。そのため、自己評価や内部文書の作成時には、専門用語を含む英語文書を正しく理解・作成できる体制が必要です。
また審査当日のインタビューも英語またはドイツ語で行われる場合があります。審査員と円滑にコミュニケーションできるように、対応可能な人材を配置するか、通訳体制を整えておくと安心です。
審査機関によっては、日本人審査員が在籍している場合もあるため、英語対応に不安がある企業は、事前に日本語対応の可否を確認することがおすすめです。
取り組んだ内容は適切に文書化する必要がある
TISAXの審査では、「情報セキュリティ管理体制がどのように運用されているか」を、文書によって明確に示す必要があります。対策そのものを実施していても、文書化した記録として残されていない場合は、評価対象外と判断される可能性もあります。
そのため、以下のような情報は、文書化して保存・管理することが大切です。
- 情報セキュリティポリシー
- リスクアセスメントの結果
- 教育訓練の実施記録
- セキュリティインシデントの対応履歴
コンサルの活用がおすすめ
TISAXは、ISO27001をベースとしているものの、自動車業界特有の要求事項が存在します。そのため、はじめてTISAX認証に取り組む企業は、VDA-ISAカタログの内容を解釈し、適切な対応をすることは困難かつ負担になる可能性があります。
そのため、これからTISAX認証を取得する企業は、認証取得のサポート実績のあるコンサルタントの支援を受けることがおすすめです。
一般的に、TISAX認証取得支援を行っているコンサルタントのサポート内容を以下にまとめました。
- 現状分析とギャップ分析
- セキュリティ対策導入に関する計画の作成
- 運用改善や内部教育のアドバイス
- 審査対応のサポート
- 審査後の是正処置サポート
「TISAX認証にかかる工数を削減したい企業」「自社内に十分なリソースがない企業」「できる限り短期間で認証を取得したい企業」などは、コンサルの活用によって負担軽減やスムーズな進行が期待できます。
まとめ
この記事では、TISAXの概要や仕組み、要求事項、取得の流れなどを解説しました。
TISAX認証は、ISO27001をベースに、自動車業界に特化した要件を加えた情報セキュリティ基準です。取得することで、自動車メーカーやTier1企業との取引要件を満たし、自社の情報セキュリティ管理体制を対外的にアピールできます。特に海外との取引がある企業において、不可欠な認証といえるでしょう。
はじめてTISAX認証を取得する場合には、経験豊富なコンサルに取得サポートを依頼することがおすすめです。自社の工数や取得にかかる期間を大幅に削減できるでしょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
営業職としてベンチャー企業で多様な商材に携わった後、ISO認証支援の分野に転身。 以降、建築建設業、製造業、化粧品製造工場、ソフトウェア・システム開発・保守、IT関連、小型モーターや精密鍛造歯車の製造販売、コネクタ・スイッチ製造、駆動モジュールの開発・適合・販売など、幅広い業種の企業に対する認証支援を担当。 また、自動車業界における情報セキュリティ認証(TISAX)支援では、ドイツ・アメリカ・中国などの海外拠点への対応実績も有する。 お客様の事務局ご担当者様と連携しながら、計画通りかつ効率的に認証取得を実現する支援体制の構築が得意。
そのため、TISAX認証を取得する事でISMSの基盤は出来ている事にも繋がるので、国内の取引企業向けへのセキュリティの信頼度アップや、ISO27001:2022の認証取得もスムーズとなります。
TISAX認証を取得しても運用の中で有効性を保てないという企業様もございます。ISO27001を取得している事で継続的な組織運用が可能となり、国内や海外への信頼度も高まります。