最近、自動車業界向けのTISAX審査の影響で、自動車業界サプライヤー（ディーラー、パーツ製造会社など）のISMS認証取得が増加傾向にあります。

そこで今回は以下ポイントについてご紹介します。

ポイント

• TISAXとは
  • VDA-ISA
  • メインカタログ
  • アディショナルカタログ
  • 補足
• TISAXとISMS
  • ISMSとの関係性
  • TISAX審査とISMS認証の違い
• まとめ

TISAXとは

TISAXとは、Trusted Information Security Assessment Exchangeという、自動車業界のサプライチェーンを対象とした情報セキュリティの審査基準のことです。

自動車業界は非常に広範なサプライチェーンが関わっており、サプライヤーやディーラーなどで情報漏えいをはじめとするインシデントが発生した場合、大元の自動車会社からサプライヤーまでサプライチェーン全体に影響を及ぼす可能性があります。そのため、自動車業界では、サプライヤーのセキュリティレベルの確認が重要事項として取り上げられています。

その中で、自動車業界のセキュリティ評価の仕組みとして、2017年にドイツ自動車工業会（以下、「VDA」）とEuropean Network Exchange（以下、「ENX」）が協力してTISAXを確立しました。

各サプライヤーはTISAX審査を受け認証を受けることで、各自動車会社からのセキュリティチェックの手間を軽減することができます。

VDA-ISA

VDA-ISAとは、TISAX審査における評価内容の基となる評価シートのことです。
VDAが、VDA会員企業のセキュリティ水準を上げるために達成すべき基準として定めた評価基準にあたります。

VDAは一つの「メインカタログ」と、3つの「アディショナルカタログ」から構成されています。

メインカタログ

52問の評価項目で構成されており、TISAXに適合するために必ず用いられます。
そしてこのメインカタログは、ISMSの基礎でもあるISO/IEC27001をベースに設計されています。

アディショナルカタログ

アディショナルカタログは3つのテーマの評価基準に分類されています。

1. 第三者との関係（審査の要求元の情報システムを利用した業務のセキュリティ評価）
2. プロトタイプの取扱い（完成車のモックアップやパーツのプロトタイプなどの物理的な機密情報保護評価）
3. ドイツ連邦データ保護法に準拠したデータ保護（個人情報の保護評価）

必ず用いられるメインカタログに対し、アディショナルカタログは該当業務がある場合のみ評価が求められます。

また、VDA-ISAカタログには「審査レベル」が存在しており、審査レベルによって求められる管理策が異なり、レベルによっては現地審査が必ず求められるなど審査プロセスの厳しさにも差があります。
この「審査レベル」は、審査の要求元（自動車会社など）がサプライヤーに求めるレベルを要求します。

補足

VDA-ISAは現状、英語とドイツ語の記載しかないため、言語対応をする必要性があります。
また、レベル2の審査インタビューはテレカンファレンス（遠隔会議）で実施されるため、口頭で英語やドイツ語の専門的内容について応対する必要もあります。

TISAXとISMS

ISMSとの関係性

前章で紹介した通り、TISAX適合で対応が必要不可欠なVDA-ISAメインカタログはISO/IEC27001をベースとしています。

つまり、ISMS認証を取得している企業はTISAXのための要求事項にある程度対応できている状態で、TISAX固有の要求事項への対応に力を入れることができます。

TISAX審査とISMS認証の違い

それぞれの特徴についてまとめると、以下の通りです。

ISMSに対応することで情報セキュリティための仕組みや枠組みを作り、TISAX対応によって自動車業界で求められる具体的なセキュリティ対策に対応していく、というイメージが分かりやすいでしょう。

まとめ

今回は、TISAXについて簡単にご紹介しました。
今後も、TISAXについて追加で情報共有していければと思います。

自動車業界のサプライヤーは、今後、より自動車会社からのTISAX対応を求められることが予想されます。
将来的なTISAX対応を考えて、情報セキュリティの枠組み作りとしてISMS認証を取得を検討することもおすすめです。

弊社では、業界や規模を問わず様々な企業のISMS認証のご支援をしております。
ご興味があれば、お気軽にお問合せください。

参考資料

• 「Information Security」VDA