TISAX® - 自動車業界における情報セキュリティ
機密情報を守り、ブランド価値を保護し、顧客との信頼を築く
多数のプレーヤーが連携する革新的な環境において、情報の安全な共有は不可欠です。自動車産業では、長く複雑なサプライチェーン全体を見据えた「エコシステム型」の情報セキュリティが求められています。
デジタル時代における情報セキュリティの対象は、自動車部品サプライヤーだけでなく、マーケティング会社やその他の関連事業者にまで広がっています。最も重要なのは、以下を保護することです:
- プロジェクトや設計情報、試作品、機密の投資計画
- デジタル化の新概念、自動運転車開発に関連するビッグデータやプロセスデータ
- サプライチェーン・ネットワーク内での連携
- 顧客の個人情報
TISAXとは
TISAX(Trusted Information Security Assessment eXchange)は、自動車産業向けの国際的な情報セキュリティ規格です。成熟度に基づく情報セキュリティ評価アプローチで、自動車業界のニーズに特化しています。主に一次・二次サプライヤーを対象としていますが、より複雑なサプライチェーンにも拡張可能で、一部のOEMからはTISAX評価の取得が求められています。
TISAXは、ドイツ自動車工業会(VDA)の旧情報セキュリティ規則(ISA)と、ISO/IEC 27001の付属書A(技術的管理策)、さらに一部のプライバシー要件を統合して作られた規格です。
TISAX® と ISO/IEC 27001 の比較
TISAXは、情報セキュリティマネジメントシステム規格 ISO/IEC 27001 の主要な要素を基盤としており、自動車業界の文脈で特に重要な要素に焦点を当てています。
主な違いは次のとおりです:
| ISO/IEC 27001 | TISAX |
| マネジメントシステム規格 | 自動車業界の取引先に関連する情報セキュリティプロセスや項目をカバー |
| 適合確認方式(要求事項の達成/未達で評価) | 成熟度レベルに基づく評価方式(段階評価) |
| 組織が内部・外部の 課題を踏まえ、認証前に範囲を定義 |
認証範囲はあらかじめ決定されている |
| 認証機関が認証書を発行 | ENXがTISAXラベルを発行し、評価結果を交換プラットフォームに登録 |
| 定期監査および3年ごとの再認証 | 3年間有効で定期監査はなし |
TISAX評価のメリット
一部の自動車メーカーからは取引条件として評価取得が求められるだけでなく、TISAX評価はサプライチェーン全体の信頼構築にも貢献します。参加するサプライヤーは、以下のようなメリットを得られます:
- 自動車メーカーからの認知・評価を得られる
- 情報セキュリティ違反やサイバー攻撃の防止
- 顧客からの信頼獲得
- リスクの特定と対処
- 適切な情報セキュリティプロセスの実施が評価される
- ENX交換プラットフォームを通じた評価結果の共有
評価方法について
プログラムに参加する企業は、まず ENX に参加者として登録する必要があります。 手順は段階的に進められます:
- 初めに
TISAXの要求事項を理解します。 - 準備
TISAXポータルで登録し、認定監査機関を選定して監査に備えます。
自己評価を行い、準拠状況や監査への準備段階を確認します。 - 監査
監査はリモート(レベル2)または現地(レベル3)のいずれかで実施されます。
監査ではインタビュー、文書確認、発見事項の確認や次のステップの整理が行われます。 - 是正計画とフォローアップ
発見事項(ギャップ)を解消するための是正計画(CAP)を作成し、監査機関に提出します。
CAPはフォローアップを通じて評価され、TISAX報告書が完了します。 - 評価結果の登録と公開
監査機関がTISAX報告書をプラットフォームにアップロードします。
監査対象企業は、評価結果の開示先を決定します。
ENXは、監査対象企業にTISAXラベルを発行します。
DNVはENX Association認定の保証機関です。
当社の国内外のオフィスと監査ネットワークを通じて、グローバルにTISAX評価を提供できます。
